Parlons RGPD | Les solutions logicielles de protection des données
TNP et l’équipe Data Protection ont lancé le 27 mai 2020 « Parlons RGPD by TNP », la première émission de podcasts 100% française dédiée à la protection des données personnelles et à la cybersécurité.
A travers cette émission, nos consultants en protection des données et DPO décryptent pour leurs auditeurs l’actualité sous le prisme de la protection des données personnelles et des enjeux de cybersécurité.
Dans ce nouvel épisode du podcast « Parlons RGPD » de TNP Consultants, Florence BONNET, Antoine FARHAT et Rawad ABOU HACHEM, experts en protection des données, traitent du sujet des solutions logicielles de protection des données.
Retranscription du podcast
Antoine : Bonjour et bienvenue dans ce podcast animé par l’équipe Data Protection de TNP Consultants. Je suis Antoine FARHAT, consultant en protection des données, j’ai le plaisir d’accueillir durant ce podcast Florence BONNET, Partner chez TNP Consultants et expert en protection des données et Rawad ABU HACHEM, consultant privacy et RGPD et expert en outils de conformité. Aujourd’hui nous vous proposons de discuter de l’intérêt d’utiliser des outils pour gérer la conformité de votre organisation avec les réglementations de protection des données et de la vie privée.
Florence : Bonjour Antoine, je suis contente que nous abordions ce sujet qui concerne beaucoup de nos clients et qui va même au-delà du seul sujet de la protection des données.
Rawad : Bonjour Antoine, je suis ravi de pouvoir partager nos expériences et nos connaissances sur les outils de conformité avec les auditeurs.
Antoine : Merci à vous deux. Pour commencer, Florence, tu t’es intéressée au sujet très tôt puisque tu avais déjà édité un benchmark des outils RGPD en 2017 Peux-tu nous dire pourquoi cela a attiré ton attention dès le début de l’application du RGPD ?
Oui tu as raison, et après une « pause covid », nous avons décidé d’éditer cette année, la 5 -ème édition de notre benchmark. J’ai assez vite fait le rapprochement avec ce qui existait déjà en matière de GRC et le parallèle avec l’approche qu’avaient d’autres pays pour les sujets de conformité. Le RGPD repose sur une approche par les risques, c’est aussi un processus d’amélioration continue et chaque organisation doit être en mesure de démontrer les actions mises en place et l’efficacité de ces mesures.
Ensuite j’ai vu que le sujet de la protection des données n’en était qu’à ses débuts et que les réglementations sur la privacy et sur les données se développaient partout dans le monde. Il m’a donc semblé essentiel pour une organisation d’une certaine taille de disposer d’outils pour faciliter la gestion de la protection des données et être à jour de sa documentation.
Rawad : J’ajoute que selon l’IAPP, environ 40 % des entreprises ont déclaré avoir utilisé des outils de conformité en 2021, soit une augmentation de 25 % par rapport à 2020. Cela montre que les entreprises prennent de plus en plus au sérieux leur obligation de se conformer aux règles de protection des données.
Antoine : Merci à tous les deux. Florence, quand tu parles d’outils, à quoi fais-tu référence exactement ? peux-tu nous dresser un panorama des types d’outils de conformité disponibles sur le marché ?
Florence : Déjà je parle de logiciels. En général, on peut distinguer trois types d’outils de conformité : les outils relatifs à la gestion de la conformité avec les lois de protection des données, les outils de gestion des risques IT et les outils permettant de répondre à une ou plusieurs exigences spécifiques tels que la gestion du consentement ou la gestion des cookies. Je précise que certains outils intègrent une base documentaire très utile pour suivre l’actualité jurisprudentielle, doctrinale et législative de la protection des données mais nous n’en parlerons pas ici.
Antoine : Très bien, commençons par les outils de gestion de la conformité vis-à-vis des lois de protection des données
Florence : Ces outils sont utilisés pour documenter et tenir à jour les registres de traitements, les violations de données personnelles et les demandes d’exercice de droits des personnes concernées (comme les demandes d’accès, de rectification ou de suppression de données).
Cela permet de répondre à l’obligation de rendre compte (ou accountability).
Ils permettent également de documenter tout ce qui relève des évaluations et des analyses de risques en tant que responsable de traitement ou de sous-traitant : par exemple des audits de conformité, des audits de sous-traitants, pour réaliser les AIPD, les LIA ou les TIA en cas transferts de données vers un pays tiers.
Ensuite ils permettent de gérer les rôles et responsabilités dans l’organisation, d’attribuer des taches en fonction des profils et de suivre l’exécution de ces taches : par exemple pour gérer le traitement d’une demande d’exercice de droit ou une violation de données.
Enfin, le DPO a accès à des tableaux de bords grâce auxquels il a une vue globale ou par entité des actions réalisées et en cours, mais aussi des risques liés aux traitements de données personnelles.
Antoine : Rawad, peux-tu nous dire un mot des outils de gestion des risques IT ?
Rawad : Les outils de gestion des risques IT sont utilisés pour identifier, évaluer et gérer les risques liés à la sécurité des données personnelles, notamment en termes de confidentialité, d’intégrité et de disponibilité. Ces outils peuvent également aider à évaluer la conformité aux normes de sécurité (comme ISO 27001) et à mettre en place des plans d’actions pour remédier aux risques identifiés.
Antoine : Nous avons vu qu’il existe donc des outils de gestion de la conformité et des outils de gestion des risques qui finalement semblent couvrir l’ensemble des exigences réglementaires sur la protection et sécurité des données. Pourtant, il existe aussi d’autres types d’outils spécifiques. Finalement, à quoi servent ces autres outils ?
Rawad : Les outils dont nous venons de parler permettent de documenter, de gérer, de piloter, d’auditer, d’analyser les risques. Ils sont avant tout déclaratifs. Certaines obligations nécessitent la mise en place de mesures techniques et c’est là que d’autres outils peuvent être très utiles.
Prenons l’exemple de la gestion du consentement : l’organisation doit être en capacité de démontrer le consentement, de respecter les demandes de retrait du consentement, de diffuser les demandes de retrait aux destinataires. Ce sujet peut vite devenir très compliqué à gérer pour des entreprises qui ont une stratégie multicanale et qui réalisent divers traitements avec cette base légale. Ces outils peuvent également aider à identifier les consentements donnés pour des finalités spécifiques et à gérer les préférences de communication des personnes. Ils peuvent s’intégrer au SI de l’entreprise, par exemple au CRM.
J’ajoute que les outils de gestion de cookies vont souvent de pair avec les outils de gestion de consentement, car ils permettent aux utilisateurs de donner leur accord pour la collecte des cookies.
Ces outils offrent aux entreprises une grande flexibilité pour gérer les cookies sur leur site web. Ils permettent de personnaliser le bandeau de cookies pour l’adapter à leurs besoins, de scanner les sites web pour savoir si les cookies sont conformes ou non aux réglementations en matière de protection des données. Enfin, ils enregistrent la preuve du consentement des utilisateurs à tout moment dans un registre spécifique pour garantir la conformité et la transparence des activités de traitement de données.
Florence : J’ajoute qu’il existe aussi des outils permettant de détecter et de remédier aux fuites de données dues aux permissions d’accès données aux 3rd parties et qui sont diffusées à des tiers que l’éditeur de site ou d’application ne maitrise pas. Une fois les fuites de données personnelles ou même d’informations confidentielles détectées, il s’agira ensuite de définir une stratégie de pseudonymisation, d’anonymisation ou de blocage et de paramétrer la solution en ce sens.
Certains outils permettent d’activer l’anonymisation des adresses IP des visiteurs, de paramétrer la désactivation des mesures du “User ID”
Antoine : cela me fait penser à une autre question qui doit intéresser beaucoup de nos auditeurs. Existe-t-il des solutions d’anonymisation ?
Florence :
L’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible.
Cette technique est utilisée, par exemple, pour des besoins statistiques ou pour une non-possibilité technique de supprimer les données.
Sur le marché, on retrouve des solutions diverses :
- Les premières, les plus intuitives et les plus courantes, sont celles propres à chaque éditeur que vous utilisez quotidiennement (par exemple les CRM) ;
- Certaines, en revanche, vont se spécialiser sur des domaines particuliers, par exemple :
- Le masquage des données de test tout en conservant leur cohérence qui va éliminer notamment le risque de fuite de données hors production et permettre aux équipes de travailler avec des données fictives mais réalistes.
- D’autres vont faciliter les requêtes de demandes de droits à l’oubli et de suppression en ciblant directement les données propres à une personne
- Enfin, certaines viennent directement compléter et/ou optimiser les solutions existantes notamment en automatisant l’ensemble des règles préalablement définies.
Antoine : J’imagine que toutes les organisations ne s’équipent pas d’outils pour gérer leur conformité avec les règles de protection des outils. Le choix d’un outil de conformité à la protection des données personnelles va dépendre de ses besoins et du budget qu’elle peut y consacrer. Rawad, est-il nécessaire d’investir dans de tels outils et j’ai envie de te demander, est-ce que le rapport cout/avantage en vaut la peine?
Rawad : D’abord je voudrais dire que d’autres critères doivent être pris en considération avant de choisir un outil : la taille de l’organisation, en particulier le nombre de traitements et d’entités, le rythme d’évolution des traitements, mais aussi le besoin d’automatisation, le type de risques et le niveau d’exposition aux risques sur la protection des données. Concernant le choix de l’éditeur, on s’intéressera bien entendu au coût de la licence, à l’expérience et à la pérennité de la solution, mais il est aussi important de prendre en compte les mises à jour régulières, l’évolution de la solution et le support client. Enfin le prestataire doit apporter les garanties de conformité et de sécurité suffisantes.
Florence : Oui et un bon outil est une solution que les collaborateurs adoptent et utilisent. Il est donc essentiel qu’il soit suffisamment intuitif et facile à utiliser.
Antoine : La question que je me pose est la suivante : les organisations utilisent déjà beaucoup de solutions métiers ou génériques, y compris sur des sujets de conformité, de management des données et de sécurité. Pensez-vous que les entreprises aient besoin d’ajouter des outils dédiés à la protection des données ?
Florence : C’est une excellente question, Antoine. Comme nous l’avons dit, cela dépend de la taille et de la complexité de l’entreprise mais aussi de leur activité et des risques liés aux données qu’elles traitent. De plus, on voit émerger des acteurs qui proposent des plateformes avec divers modules permettant de répondre à tout ou partie des enjeux liés aux traitements des données, depuis le data Discovery et data mapping, en passant par le data Lineage, la gestion des risques IT, la gestion de la conformité, de l’éthique et de l’ESG et de la protection des données. Les grandes entreprises ont déjà mis en place une stratégie de rationalisation et d’optimisation de leur parc applicatif IT et il n’y a pas de raison pour que le domaine de la data y échappe. Des acteurs vont probablement disparaitre, d’autre vont se rapprocher et fusionner.
Antoine : Rawad, au-delà de se conformer aux réglementations, quels sont les autres avantages que peuvent procurer ces outils ?
Rawad : Comme on l’a dit, les outils de conformité permettent de gérer de manière pro-active les risques liés à la protection des données personnelles. De plus, ils permettent d’embarquer les collaborateurs et ainsi de diffuser une démarche de privacy by design dans l’organisation. Enfin, ils permettent une gestion plus efficace des données et des processus liés à la protection de ces dernières, ce qui peut entraîner des économies de temps et d’argent pour l’entreprise et permet de renforcer la confiance des clients et des collaborateurs, donc d’améliorer l’image de l’entreprise.
Antoine : Je vous propose maintenant d’aborder la question qui peut fâcher. Je suppose qu’il ne suffit pas d’appuyer sur un bouton pour que par miracle mon organisation soit en conformité. Ma question est donc de savoir s’il est facile d’installer ces outils et si cela a un cout ?
Florence : Tu le dis sur le ton de l’humour Antoine, mais tu as parfaitement raison de la rappeler, nous parlons d’outil et non de solutions magiques. Même si certains éditeurs travaillent à intégrer de l’IA dans leurs solutions, selon le type de solution, le déploiement peut être plus ou moins consommateur de ressources. Prenons l’exemple des solutions de gestion de la conformité à la protection des données (registres, AIPD, audits…). Il faudra travailler sur la gouvernance, le paramétrage des workflows, des Templates, parfois l’intégration avec le SI existant dans l’entreprise et bien entendu la formation des parties prenantes. Il existe des solutions très simples tout à fait adaptées aux besoins, au niveau de centralisation de l’activité de DPO et/ou à maturité encore limitée de certaines organisations ; d’autres demandent plus de paramétrage notamment parce qu’elles se placent dans une optique de décentralisation et de participation mais aussi parce qu’elles sont dans une logique d’automatisation, voire parfois d’approche globale de régulation de la donnée.
Antoine : Tu as parlé d’IA, Rawad peux-tu nous indiquer comment l’IA peut être utilisée dans ces solutions ?
Rawad :
L’IA peut être utilisée dans les outils de conformité dans le domaine de la protection des données de plusieurs façons :
Pour l’identification des données personnelles structurées et non-structurées, en analysant de grands ensembles de données et en détectant les modèles qui révèlent des informations personnelles identifiables.
Ainsi, l’IA permet d’étiqueter les données en fonction de leur classification et leur sensibilité, ce qui permet aux entreprises de gérer plus facilement leurs données, par exemple pour gérer les durées de conservation.
Pour la détection des violations de données, l’IA peut aider à détecter les violations de données en surveillant les activités sur les réseaux et en utilisant des algorithmes pour identifier les comportements suspects et les intrusions.
Je te donne un exemple, L’IA dans un outil privacy pourrait détecter une augmentation soudaine du nombre de demandes de données sensibles provenant d’un compte d’utilisateur qui n’a jamais accédé à ces données auparavant, ce qui pourrait indiquer que le compte a été compromis.
L’IA peut aussi être utilisée pour évaluer les risques associés aux pratiques de traitement des données ou pour aider les entreprises à évaluer leur conformité aux réglementations de protection des données en analysant les politiques et les procédures et en signalant les zones qui nécessitent une attention particulière.
Concernant la gestion des demandes d’exercice de droits l’IA peut être utilisée pour l’automatisation de la gestion des demandes de droits d’accès des personnes concernées. Cela permet de :
- Vérifier automatiquement l’identité du demandeur.
- Automatiser les flux de travail (workflow), ce qui permet de réduire l’intervention humaine.
- Analyser les délais de réponse et l’efficacité des processus, en fournissant des informations et des recommandations pour améliorer les délais de réponse et les résultats.
Antoine : Est-ce que les éditeurs proposent des formations et/ou des certifications concernant leurs outils ?
Rawad : Oui en effet…
Oui, de nombreux éditeurs proposent des formations et des certifications pour leurs outils. Ces formations peuvent être utiles pour les professionnels souhaitant acquérir des compétences spécifiques pour utiliser les outils de manière optimale, ainsi que pour se familiariser avec les dernières fonctionnalités et mises à jour. Les certifications sont également proposées par les éditeurs pour attester des compétences et des connaissances des utilisateurs, et peuvent être un avantage pour les professionnels cherchant à se démarquer sur le marché du travail.
J’ajoute que chez TNP, une quinzaine de membres de notre équipe sont experts ou certifiés sur divers outils de conformité.
Mais il ne suffit pas de suivre une formation de 4 heures pour savoir utiliser un outil. Il faut pratiquer et expérimenter.
Nous avons l’habitude d’assister nos clients dans la mise en place de ces outils. Une partie de notre travail consiste aussi à former les équipes, à traiter de cas pratiques avec eux et à leur fournir un support post formation afin de répondre aux difficultés qu’ils rencontrent.
Antoine : Merci à vous deux pour ces retours d’expérience. Cela fait beaucoup d’informations intéressantes. Vu l’évolution des réglementations et les risques de sanctions, il semblerait bien que les organisations n’aient d’autre choix que de s’engager dans une démarche d’automatisation des processus de conformité et qu’elles aient donc besoin de s’outiller en ce sens.
Merci d’avoir écouté ce podcast. Nous espérons que cela vous a été utile et vous a permis d’y voir un peu plus clair quant aux nombreuses solutions qui existent. N’hésitez pas à nous contacter si vous avez des questions ou si vous souhaitez en savoir plus sur la mise en place de telles solutions.