dFakto GDPR360 anticipe la mise en œuvre opérationnelle du GDPR
Face au nouveau règlement européen sur la protection des données, la plupart des organisations se focalisent sur l’audit, négligeant la mise en œuvre et opérationnelle. Avec sa solution GDPR360, dFakto propose un outil de gestion pour ce nouveau règlement.
Nombre d’organisations en sont toujours au stade de l’assessment ou de l’analyse de gap. Ce sont les plans de la maison à construire, une belle esquisse d’architecte, mais sans plus, illustre Thibaut De Vylder, CEO de dFakto. «Construire les fondations, monter les murs, choisir des couleurs et la date d’emménagement? Pas de plan précis, pas de budgets, de personnes assignées. Tout reste flou. Avec GDPR360, dFakto propose une solution pour accompagner mise en œuvre et structurer les opérations nécessaires au GDPR.»
La proposition est née d’un constat : face au GDPR, dans la phase d’analyse, les organisations sont le plus souvent soutenues par des cabinets d’avocats pour le cadre juridique et par des spécialistes de la cybersécurité, voire des consultants GDPR pour produire des assessments et DPIA (Data Protection Impact Analysis). «En somme, jusqu’ici, on produit du papier, beaucoup de papiers, poursuit Thibaut De Vylder. Et bien souvent, je constate que ces analyses sont peu concrètes et manquent de granularité… Pour bien faire, par traitement, il faut au minimum identifier des risques, des actions pour les réduire, des personnes responsables et des dates butoirs. J’en reviens à l’image de l’esquisse. Ce n’est pas avec une esquisse que l’on montera les murs de la maison dans laquelle on va vivre tous les jours. Il faut un plan d’exécution et de bons outils pour en assurer le suivi !»
Pour dFakto, la présentation du GDPR dans la plupart des séminaires n’apporte pas de réponse. Certes, il est question de principes tels que les délais de notification ou le droit à l’oubli; il est question aussi de contrôles et de sanctions. De fait, ce sont des réalités. Malheureusement, c’est l’idée de contrainte qui domine. Et qui, par conséquent, fige les initiatives. Or, se mettre en conformité avec le GDPR peut surtout constituer une belle opportunité de reprendre la main sur sa collecte de données et sur l’exploitation que l’on en fait. D’en améliorer non seulement la qualité de traitement, mais surtout sa valeur. En ce sens, le règlement européen est un projet de gouvernance en Data Management.
Inscrire le GDPR dans un cycle continu cycle d’amélioration
Le GDPR est fondamentalement un défi de gestion de données très évolutif. La solution GDPR360 nécessite une approche de données agile pour mettre en place des mesures, techniques ou organisationnelles, avec des responsabilités humaines pour les définir, appliquer, et vérifier que celles-ci sont respectées. C’est là un point central de la gouvernance des données car la data n’est pas qu’un problème informatique -loin de là ! Et donc il faut une solution simple d’utilisation. «Dans GDPR360, nous utilisons différents indicateurs très visuels, comme des pictos météorologiques, ajoute Thibaut De Vylder. La finalité est d’amener les utilisateurs à adopter et inscrire le GDPR dans un cycle continu d’amélioration.»
Rapports d’anomalies, d’analyse, tableaux de bord sont réévalués; de nouvelles tâches se font jour dès lors que de nouveaux risques sont identifiés, évalués et communiqués dans une version mise à jour des DPIA. L’évolution des progrès des tâches et de l’évolution des risques est permanente. La solution est agile et facilement extensible à d’autres sources de données et problèmes de conformité; l’architecture garantit que les nouvelles fonctionnalités ne mettront pas en péril ce qui est déjà en production.
Suite à un assessment de qualité, la solution GDPR360 peut être déployée en moins d’un mois sur base d’un prix fixe pour 4 sources de données (bien plus en option), suivi d’une mensualité reprenant les frais d’hébergement, de licence (SaaS) et de support; un budget qui peut être mutualisé pour les petites entreprises. Outre les entreprises gérant des données personnelles de leurs clients, fournisseurs… (Data Controller), dFakto a déjà sensibilisé de nombreux prestataires en marketing, ressources humaines, services informatiques, des acteurs du monde des associations et des fiduciaires (Data Processor). Et, bien sûr, les DPO qui peuvent exploiter la solution en mode as-a-service; ils peuvent dès lors centrer leur activité sur le pilotage et déployer plusieurs clients en parallèle.
La solution GDPR360 est totalement alignée et complémentaire avec les recommandations méthodologiques de la CNIL (Commission Nationale Informatique & Libertés) en France, la Commission pour la protection de la vie privée en Belgique, la Commission nationale de protection des données luxembourgeoises et, bien sûr, le Règlement Européen.
L’application GDPR360 permet de répondre point par point aux exigences du GDPR. Ainsi, les exigences de cartographie des données sensibles, de tenue d’un registre de traitements et de mise en place de procédures internes pour garantir la protection des données correspondent à l’un des principes fondateurs de la gouvernance des données; le système de gestion des priorités pour se conformer aux obligations présentes et à venir est «couvert» par la stratégie de management des données qui consiste précisément à prioriser et focaliser les efforts de data management; le système de gestion des risques, l’étude d’impact sur la vie privée et la documentation nécessaire pour prouver la conformité sont eux aussi inclus par défaut dans une démarche de gouvernance des données.
Une vraie «culture de la data» dans l’entreprise
A entendre Thibaut De Vylder, il s’agit donc d’un projet continu, la date du 25 mai 2018 n’étant pas la date d’arrivée, mais le point de départ d’un processus constant d’amélioration. Aussi, la première erreur serait de recourir à la méthode «coup de poing». En résumé : faire réfléchir chaque service impliqué dans les traitements de données sur un recueil de l’ensemble de leurs dispositifs; compiler le tout, édicter au plus vite des règles… C’est là une approche limitée. Si, de prime abord, elle peut sembler suffisante, elle n’en présente pas moins de nombreux points faibles : une version «silotée» des choses, un audit à refaire périodiquement (dès qu’un nouveau traitement est imaginé, en réalité, si l’on veut rester en conformité), aucune analyse de l’impact de ces changements sur le parcours de la donnée et donc une difficulté réelle à réaliser les études d’impact sur la vie privée… A l’issue, la possibilité -sans doute- d’être «dans les clous» du règlement européen, mais au prix de nombreux efforts dans le cas d’un traitement manuel, sans le moindre retour sur investissement à attendre de ce fastidieux chantier. Pis : l’approche risque de «stériliser» la stratégie data de l’entreprise. Et c’est passer à côté du principe «GDPR by design»…
dFakto, spécialiste de la gouvernance et du pilotage
La gouvernance des données n’est pas simplement une autre méthode pour parvenir à être fin prêt le 25 mai 2018. Ses avantages débordent très largement du cadre du nouveau règlement européen sur la protection des données. S’inscrire dans cette démarche va en effet permettre aux organisations de se placer dans une approche évolutive par rapport à l’exploitation des données personnelles. En cas de nouvelle évolution réglementaire, il importe de disposer d’une base saine» sur la connaissance des données personnelles, des outils et des méthodes pour s’y conformer sans heurt. Nul besoin dans le futur de recommencer à identifier les données personnelles, leur localisation, leur parcours dans les systèmes. C’est déjà fait, et maintenu à jour «by design» par la gouvernance des données.
Une bonne gouvernance permet aussi d’insuffler une vraie «culture de la data» dans l’entreprise et surtout de la faire quitter la sphère d’influence de l’IT. «Un déploiement de gouvernance des données est considéré comme réussi si les comportements de chacun deviennent naturels et vertueux vis-à-vis des données, assure Thibaut De Vylder. Ceci vaut bien entendu par rapport aux données personnelles. Corollaire : il n’y a plus d’un côté un DPO qui ne serait qu’un ‘Monsieur Conformité’ et, de l’autre, des métiers qui utilisent à leur façon les données… mais des utilisateurs responsabilisés, des ‘data citizens’ au service de leur organisation en utilisant, d’une part, les données de manière plus efficace (simplification des traitements, automatisation travail manuel, réduction des coûts…) mais aussi, de l’autre, en leur permettant de saisir plus facilement de nouvelles opportunités d’utilisation des données dans un monde digital (impact sur les ventes, les revenus, cocréation de nouveaux produits et services…)
Tourner une obligation en opportunité
La gouvernance des données est un sujet dans lequel dFakto excelle depuis 17 ans. Outre GDPR360, qui répond à la mise en œuvre post-audit du GDPR et aux défis opérationnels journaliers, la même application peut également gérer d’autres types de conformité tel que ISO27001, ePrivacy et autres à venir. Ensuite, sur le même principe, dFakto a développé Transformation360, une solution de gestion aujourd’hui reconnue mondialement pour piloter et analyser des portefeuilles complexes de programmes et de projets et Client 360, qui fournit une vue ‘client-centric’ complète, de la vérité sur les clients. «Nous sommes un spécialiste du pilotage d’initiatives transversales dans de grandes institutions comme BNP Paribas Groupe, avec plus de 15 programmes majeurs pilotés en parallèle dont certains comptant plus de 3400 projets et 1200 programmes suivis à haute fréquence», insiste Thibaut De Vylder.
GDPR360 version B2B pour Data Controller ou Data Processor
Avec sa solution GDPR360, dFakto propose une réelle solution aux entreprises tant comme data controller (Client) que comme data processor (Fournisseur, on pense par exemple aux éditeurs de logiciels non conformes), qui tous deux ont hérité de nouveaux droits et obligations, au regard tant des autorités (Supervising Authorities) que des titulaires d’informations (data Subjects). Ainsi tous les fournisseurs qui gèrent des données privées pour le compte d’un client peuvent assumer leur responsabilité en conformité avec la législation mais aussi offrir ce label à leur client. Afin d’être eux-mêmes conforme, nombre de clients vérifient actuellement la conformité de leurs sous-traitants. La solution permet de gérer plusieurs sources de données pour les deux parties, même délocalisées.
Etablir une nouvelle chaine de valeurs de la gestion des données.
Partant de cette nouvelle législation, différents types d’acteurs se sont profilés pour répondre aux premiers besoins d’assessment et dFakto cherche à produire un écosystème plus large, une solution end to end, regroupant plusieurs acteurs complémentaires de qualité. dFakto propose sa solution à ses clients en direct mais aussi en indirect via des revendeurs, soit en son nom soit en marque blanche. Pour les petites entreprises, un mode de mutualisation à l’implémentation est également possible. Enfin, les DPO ne sont pas en reste puisque la technologie proposée leur permet de se considérer comme «Augmented DPO», en leur permettant de gérer plus efficacement leurs clients en leur apportant une valeur ajoutée supplémentaire en terme de réduction de coût de gestion de leur conformité.
Pour de plus amples informations :
Phone lu : +352 691 94 60 72
Phone be : +32 484 90 65 74
dFakto
Phone : +32 2 290 63 90
Fax : +32 2 290 63 99
Email: info@dfakto.com
https://www.dfakto.com/data-driven-products/#GDPR360
Boulevard Louis Schmidt 29/7
1040 Etterbeek – Brussels
Belgium