RGPD : des outils pour se mettre en conformité

Le 08/01/2018 - Par Bruno Texier
Les éditeurs de logiciels proposent aux entreprises des solutions compatibles avec les exigences du futur règlement. ( Pixabay)

Sommaire du dossier :

Alors que l'entrée en vigueur du RGPD se rapproche à grands pas, les éditeurs de logiciels proposent une série d'outils et de prestations afin d'aider les entreprises à faire face à ce big bang documentaire.

À moins de six mois de l'entrée en vigueur du Règlement général sur la protection des données (RGPD), les prestataires et les éditeurs sont dans les starting-blocks.

Objectif : proposer aux entreprises des solutions compatibles avec les exigences du futur règlement. « L'arrivée du Règlement général sur la protection des données va demander aux solutions de gestion de contenu plus d'intelligence (afin de reconnaître les informations à caractère personnel identifiées) et plus de capacité de fédération, afin de pouvoir appliquer des workflows et traitements à des ensembles hétérogènes d'informations provenant de différentes sources », prévient Alain Escaffre, directeur produits chez Nuxeo.

L'éditeur français de solutions ECM a développé un « accélérateur RGPD » basé sur les fonctionnalités de case management. Au programme : ... 

...automatisation des demandes d'accès aux données personnelles, gestion des procédures liées au RGPD, établissement d'une piste d'audit des accès, sécurisation de l'accès aux données selon les personnes autorisées...

De nombreuses procédures donc, mais l'éditeur entend jouer la transparence : « Nuxeo ne s'engage pas à fournir une solution qui va rendre l'entreprise conforme RGPD. Cette solution n'existe pas », explique Alain Escaffre.

​renforcer la sécurité au plus près des données

Dans le domaine de la gestion des bases de données, Oracle propose à ses clients trois modules répondant aux exigences du RGPD. Le premier, dédié à l'évaluation des données, réalise une série d'actions : profils, sensibilité des données, risques... Le deuxième est orienté prévention à travers diverses procédures : chiffrement, pseudonymisation-anonymisation, contrôle d'accès au niveau le plus fin, etc.

Troisième point, la détection concerne les actions de surveillance de l'activité, les alertes, les audits et le reporting. L'éditeur attire également l'attention sur la sécurité : « Dans l’optique de réduire l’exposition aux attaques et le nombre de biais par lesquels les cybercriminels peuvent atteindre la base de données, il est extrêmement important de renforcer la sécurité au plus près possible des données ».

Le Groupe ActeCil, quant à lui, propose le logiciel APM qui permet de gérer un registre sous-traitant en plus d'un registre habituel. Grâce à un module de cartographie, les traitements sous-traitants sont réalisés en conformité avec le RGPD. Une extraction du registre peut également être réalisée aux formats PDF, Word ou Excel.

La solution APM liste les éléments qui doivent être contenus dans le registre du sous-traitant et automatise le remplissage : catégorie de traitements effectués pour le compte de chaque client, information relative à un éventuel transfert de données vers un pays hors Union européenne, nom et coordonnées du sous-traitant, de son client et de son DPO (digital protection officer) s'il a été désigné...

ActeCil s'est pas ailleurs associé aux éditeurs Rever et Geolsemantics pour proposer une suite logicielle : « Cette suite permet de construire et de maintenir un “référentiel GDPR” contenant le registre des traitements (aspects métier) et ses liens avec les applications informatiques (aspects techniques) », précise Dominique Orban, président de Geolsemantics.

triple expertise

Du côté des prestataires, IBM s'est associé à des partenaires (cabinets d'avocats et d'audit) pour commercialiser un accompagnement aux entreprises.

« Tout l'enjeu de ce projet transversal est de proposer des compétences multi-expertise, nous déclarait récemment Thierry Brun, ambassadeur RGPD au sein d'IBM ; grâce à l'embarquement de nos technologies au sein des méthodologies d'assessment (ensemble de méthodes d'évaluation “en situation” qui utilisent différents moyens et outils) de nos partenaires, l'audit n'est plus simplement déclaratif : nous pouvons enfin regarder et intervenir directement dans le système d'information ».

Après une première phase baptisée « assessment » qui combine une triple expertise (juridique, conseil et technologique), IBM procède à un état des lieux de l'entreprise et de sa maîtrise des données personnelles.

D'une durée de plusieurs semaines à plusieurs mois selon la taille de l'organisation, cette première étape débouche sur un second chantier qui peut prendre plusieurs formes : anonymisation des données, chiffrement des fichiers, mise en quarantaine, suppression de fichiers...

À lire sur Archimag