"Un an après le premier benchmark de TNP sur les outils du DPO, il nous semblait important de l’actualiser. En raison du grand nombre de solutions GDPR, nous avons fait le choix de nous focaliser sur les outils permettant au DPO d’exercer sa mission, notamment de documenter et d’analyser les traitements, de tenir le registre et d’assurer la gestion et le suivi de la conformité (audit et workflow). Les solutions de sécurité et notamment de pseudonymisation et d’anonymisation n’ont donc pas été analysées dans cette nouvelle version, qui n’a d’ailleurs pas pour objectif d’être exhaustive"
Florence Bonnet, CIL Consulting by TNP, experte en protection des données.
https://www.tnpconsultants.com/fr/actualites/benchmark-gdpr-outils-dpo
3. 3
Guy LETURCQ
Directeur
Général TNP
Nous sommes heureux de vous présenter la seconde édition de
notre livre blanc consacré aux outils du DPO.
Dans un monde où tout s’accélère, TNP est un cabinet
indépendant spécialisé dans la définition et la mise en place
de programmes de transformation. Pour cela TNP cultive deux
forces :
• Des équipes multisectorielles et multispécialistes,
• Des démarches outillées, s’appuyant sur la capitalisation de
nos expériences
C’est dans ce cadre que nous avons souhaité dresser le
panorama des outils dédiés au DPO. Notre objectif est de
proposer les solutions qui nous paraissent les plus adaptées aux
contextes et aux besoins de nos clients, en toute indépendance.
Des nombreuses missions que nous effectuons, il en ressort
que mettre en place les bonnes pratiques de gouvernance des
données est au cœur des enjeux GDPR. L’outillage du DPO est à
penser dans un cadre plus global amenant plus d’agilité face au
respect des nombreuses réglementations en vigueur ou à venir
dans la plupart des secteurs d’activité.
Vous souhaitant bonne lecture !
AVANT-PROPOS
4. Benchmark outils DPO by TNP
4
INTRODUCTION
Le Règlement Général sur la Protection des Données personnelles
(GDPR ou GDPR) oblige les organisations à rendre compte des me-
sures de conformité des traitements de données (accountability).
Pour le G29, cela se traduit notamment par la mise en place d’une
documentation des traitements, par l’application de procédures
permettant d’identifier, de recenser et d’encadrer les traitements
de données personnelles, d’évaluer les risques pour les personnes
et de garantir et de contrôler l’application effective des mesures.
« Compliance is no longer a pure theorical and legal issue, it has
to be embedded into the business processes and to be managed
in a dynamic way » Isabelle Falque Pierrotin, Présidente de la
CNIL.
Après avoir établi un diagnostic de conformité, référencé les trai-
tements de données personnelles et avoir engagé les premières
actions de remédiation, l’heure est à la réflexion sur les moyens de répondre à l’obligation de
rendre compte (accountability) et sur les outils permettant de gérer le suivi et la documenta-
tion des mesures mises en place. La plupart des organisations ont développé des tableaux
Excel, mais leur niveau de détail rend leur compréhension difficile par les opérationnels ; leur
maintien à jour sera de toute évidence une véritable gageure.
Le Délégué à la Protection des données ou « DPO » (Data Protection Officer) quant à lui est
au cœur de ce nouveau dispositif réglementaire. Véritable chef d’orchestre de la conformité ,
le DPO est notamment chargé d’informer et de conseiller le responsable de traitement ou le
sous-traitant, de contrôler le respect du Règlement et du droit applicable en matière de pro-
tection des données et de donner des conseils sur la réalisation d’une analyse d’impact, tout
en contrôlant son application.
Au-delà de ce qui est prévu par le Règlement, le responsable du traitement ou le sous-traitant
peut demander à ce que le DPO ait la charge de la tenue du registre des traitements sous la
responsabilité du responsable de traitement ou du sous-traitant.
La protection des données s’inscrit dans un processus d’amélioration continue ; tout ne s’ar-
rêtera pas au 25 mai 2018, bien au contraire ! C’est une nouvelle ère de la protection des
données qui devrait s’ouvrir.
« 25 May is the date the legislation takes effect but no business stands still. You will be
expected to continue to identify and address emerging privacy and security risks in the
weeks, months and years beyond May 2018 » Elizabeth DENHAM, Présidente de l’ICO.
À quelques semaines de l’échéance du 25 mai 2018 et au regard de l’existant dans les
organisations, six constats s’imposent :
• La première étape consiste à évaluer et comprendre le besoin de l’organisation au regard
de sa taille, de la complexité de ses traitements, des ressources disponibles.
• Dans les organisations complexes ou avec de nombreux traitements évolutifs, le Délégué
à la Protection des Données pourra difficilement garantir le maintien, la documentation et
le contrôle de la conformité dans le temps sans l’aide d’outils logiciels.
Florence BONNET
Directrice
5. 5
• Selon les cas, le développement de solutions en interne ou l’adaptation d’une solution
déjà utilisée sera un choix plus pertinent que le recours à un nouvel outil ; a contrario,
dans d’autres cas, le choix d’une nouvelle solution sera moins coûteux que d’envisager
l’évolution d’outils existants.
• L’outil ne sera d’aucune utilité si personne ne sait ou ne veut l’utiliser ; les modalités de
formation au nouvel outil sont donc un critère de sélection essentiel à prendre en consi-
dération.
• Bien que cela semble évident, rappelons qu’il n’existe pas d’outil miracle garantissant à
lui seul, la conformité des traitements de données au GDPR.
• Enfin, nous restons convaincus que le GDPR n’est que la face immergée de l’iceberg.
Dans un contexte de « datafication » et de « data driven transformation », les organisations
ne pourront répondre aux exigences réglementaires en cours ou à venir et toujours plus
nombreuses sans l’aide de solutions intelligentes.
Depuis notre premier benchmark sur les outils du DPO, les solutions GDPR se sont mul-
tipliées sur le marché. L’offre est toujours très hétérogène avec des niveaux de maturité
très variés et beaucoup d’outils sont encore en cours d’évolution.
Les outils proposés peuvent être classés en trois grandes catégories :
• Des outils conçus pour la gestion de la gouvernance, des risques et de la conformité
(GRC) ou des outils répondant à des problématiques de sécurité que les éditeurs ont
fait évoluer afin de les rendre « GDPR compatibles »,
• Des outils créés ex nihilo pour répondre à plusieurs exigences du GDPR et parti-
culièrement à l’obligation de documenter les traitements et de gérer le suivi de la
conformité,
• Des outils existant et proposant une fonctionnalité particulièrement utile dans le
contexte du GDPR (gestion du consentement, gestion des violations de données,
gestion des droits des personnes…).
Comme nous l’avions anticipé, la plupart des outils ont évolué et regroupent plusieurs
fonctionnalités permettant d’alimenter le registre des traitements. Une partie des acteurs
ont noué des partenariats afin de proposer des outils de registre avec des fonctionnalités
de mapping des données.
Un an après le premier benchmark de TNP sur les outils du DPO, il nous semblait impor-
tant de l’actualiser. En raison du grand nombre de solutions GDPR, nous avons fait le
choix de nous focaliser sur les outils permettant au DPO d’exercer sa mission, notam-
ment de documenter et d’analyser les traitements, de tenir le registre et d’assurer la
gestion et le suivi de la conformité (audit et workflow).
Les solutions de sécurité et notamment de pseudonymisation et d’anonymisation n’ont
donc pas été analysées dans cette nouvelle version, qui n’a d’ailleurs pas pour objectif
d’être exhaustive.
5
Retrouvez sur le blog TNP l’article : http://blog.tnpconsultants.fr/on-ne-simprovise-pas-DPO/
6. Benchmark outils DPO by TNP
6
Exigences GDPR
Outil de
registre
Analyse
des risques
et DPIA
Identifica-
tion des
données
Workflow
Sensibi-
lisation/
Formation
Gestion des
droits des
personnes
Gestion du
consente-
ment
Mise en place
des mesures
pour s'assurer
et être en
mesure de
démontrer que
le traitement est
conforme
(Art. 24)
Contrôler le
respect du
règlement et de
toutes règles
de protection
des données
applicables
(Art. 39)
Tenir un registre
des activités de
traitement
(Art. 30)
Evaluer les
risques et mener
une analyse
d’impact
(Art. 25, 32, 35,
39)
Gérer le
consentement
et les demandes
d’exercice
des droits des
personnes
concernées
(Art. 7,12 à 21)
Accountability(Art.24)
Les outils sont classés par ordre alphabétique.
7. Benchmark outils DPO by TNP
7
SOMMAIRE
Avant-propos 3
Introduction 4
Outils testés ou ayant fait l’objet
d’unedémonstrationdelapartdel’éditeur 11
Outils évalués sur la base de la
documentation fournie par les éditeurs 19
Outils gratuits 35
8. Benchmark outils DPO by TNP
8
Les critères d’évaluation des outils du DPO
L’étude repose sur l’analyse de la documentation publiée et/ou fournie par l’éditeur
et sur le test d’une partie des versions d’essai disponibles. Les outils qui n’ont pas pu
être testés ou dont il n’a pas été possible d’avoir une démonstration sont décrits dans
la troisième partie de ce document.
Un certain nombre d’outils ont été volontairement exclus de l’analyse comparative :
• En raison de leur cible spécifique cf. outils Open source tels que ESUP CIL (ESUP) et
Open Registre CIL (Open Mairie),
• Ou parce qu’il s’agissait d’outils de conformité ou d’analyse des risques dont le péri-
mètre dépasse largement celui de GDPR et qui n’ont pas fait l’objet d’une évolution
particulière.
Nous avons indiqué la date de création de la société éditrice. Certains acteurs présents
sur le marché de la protection des données depuis plusieurs années ont récemment
scindé leur activité d’édition de logiciel, ce qui peut expliquer que la date de création soit
relativement récente.
NB : les critères relatifs aux niveaux sont cumulatifs (ex. le niveau 2 cumule les critères
des niveaux 1 et 2).
CRITÈRES LIÉS À LA NATURE DE L’OUTIL
Ergonomie : facilité d’utilisation et lisibilité des représentations
La prise en main de l’outil est difficile sans formation de l’utilisateur
La prise en main de l’outil demande un minimum d’investissement de la
part de l’utilisateur
Utilisation confortable avec des interfaces graphiques claires et facile d’uti-
lisation
Interface utilisateur augmentée et offrant une plus-value à l’usage
(user-friendly)
Multilingue : outil / solution disponible en plusieurs langues
Outil / solution disponible en une seule langue
Outil / solution disponible en deux langues dont l’anglais
Outil / solution disponible en quelques langues
Outil / solution disponible en un grand nombre de langues
9. Benchmark outils DPO by TNP
9
Multi-utilisateurs / multi-entité : gestion des accès, des droits et des habilitations
Outil / solution avec un compte utilisateur unique
Outil /solution avec plusieurs comptes disposant des mêmes droits
Outil /solution avec plusieurs comptes avec une gestion fine des habilita-
tions au sein d’une même entité
Outil /solution avec plusieurs comptes avec une gestion fine des habilita-
tions permettant de gérer plusieurs entités et des utilisateurs externes à
l’organisation
Déploiement (On-premise ou SaaS)
Outil sous format Excel
Outil /solution avec un déploiement en mode SaaS uniquement
Outil /solution avec un déploiement en mode on-premise uniquement
Outil / solution avec un déploiement en mode SaaS ou on-premise au choix
Confidentialité
Transparence sur le stockage et l’utilisation des données utilisateurs ou
des informations
Stockage et transmission sécurisée des données
Stockage dans un pays offrant un niveau adéquat de protection des don-
nées
Choix et gestion du stockage par l’utilisateur (possible déploiement interne)
Évolution de l’outil
Support et maintenance de l’existant, déploiement de correctifs
Mises à jour régulières et amélioration de l’outil
Prise en compte des retours utilisateurs et des exigences « métier »
Capacité à prendre en compte sans délai l’évolution de l’état de l’art
CRITÈRES LIÉS AUX FONCTIONNALITÉS DE L’OUTIL
Registre des activités de traitement : capacité de l’outil / solution à produire le registre
des activités de traitements conforme à l’article 30 du GDPR
Outil / solution dotée d’une fonctionnalité de création de fiches de traite-
ment sans assistance
Outil / solution dotée d’une fonctionnalité de création de fiches de traite-
ment avec assistance
Outil / solution dotée d’une fonctionnalité de création automatique de
fiches de traitement
Outil / solution dotée d’une fonctionnalité de création automatique et par
importation de fiches de traitement
10. Cartographie des données
Outil / solution dotée d’une fonctionnalité de cartographie basique
Outil / solution dotée d’une fonctionnalité de cartographie avec assistance
(templates disponibles)
Outil / solution dotée d’une fonctionnalité de cartographie automatisée
des données structurées
Outil / solution dotée d’une fonctionnalité de cartographie automatisée
des données non structurées
DPIA / PIA
Outil / solution dotée d’une fonctionnalité de DPIA/PIA ne permettant pas
de répondre aux exigences du GDPR
Outil / solution dotée d’une fonctionnalité de DPIA/PIA basé sur un ques-
tionnaire prédéfini
Outil / solution dotée d’une fonctionnalité de DPIA/PIA basé sur plusieurs
modèles de questionnaires prédéfinis et paramétrables
Outil / solution dotée d’une fonctionnalité de DPIA/PIA répondant aux exi-
gences du GDPR (art. 35)
Workflow et reporting
Méthode manuelle de création d’utilisateurs et d’affectation des tâches
Gestion des évènements et traçabilité des workflows terminés
Routage des workflows vers les services concernés, gestion des partici-
pants, statistiques prêtes à l’emploi
Tableau de bord, rapport d’activités, workflow et gestion de l’état d’avan-
cement
Gestion des droits des personnes
Fonctionnalité basique de gestion des droits des personnes sans assis-
tance
Fonctionnalité basique de gestion des droits des personnes avec assis-
tance
Fonctionnalité de gestion automatisée des droits des personnes
Fonctionnalité de gestion automatisée des droits des personnes et suivi
des actions
Gestion du consentement
Fonctionnalité basique de gestion du consentement sur la base des infor-
mations renseignées sans assistance
Fonctionnalitédegestionduconsentementfacilitéeparlemappingdesdonnées
Fonctionnalité de gestion automatisée du consentement (mapping des
données et formulaires dédiés)
Fonctionnalité de gestion automatisée du consentement et suivi des actions
10
11. Benchmark outils DPO by TNP
11
CAST
Création : 1995
Nationalité : Américaine
Castsoftware est un éditeur de solutions d’analytics. L’outil permet de mener une analyse
détaillée du code source des applications et de formater les informations extraites dans
des outils d’aide à la décision. La solution permet d’assurer un inventaire automatique
des traitements informatiques manipulant des données personnelles et d’identifier les
risques de sécurité et de robustesse vis-à-vis de ces traitements. Elle permet en particulier
de mettre en lumière les transactions « inconnues et inattendues » dans les applications
ou sous-systèmes complexes (multiprofils et multiusages). Cet inventaire et les éléments
de caractérisation généraux et des risques permettent de construire automatiquement
une grande partie du registre des traitements et outille le DPO dans l’analyse de ces don-
nées pour consolider la stratégie de mise en conformité.
La solution CAST est particulièrement adaptée aux environnements IT complexes avec des
centaines d’applications.
Elle propose une radiographie en profondeur multilangage, multicouches et multitechno-
logies des risques structurels des applications à traiter prioritairement dans la stratégie de
mise en conformité en raison de la densité de données personnelles traitées. L’ensemble
de ces informations doit alimenter un outil de travail du DPO afin de définir le registre.
La solution permet de s’assurer du maintien de la conformité dans le temps.
L’outil permet de mettre en place un plan d’actions associé à la cartographie des données.
Il propose également un index des données critiques permettant d‘évaluer la vulnérabilité
et la robustesse du chemin (Data Risk Index).
http://www.castsoftware.com/use-cases/security-data-safety/gdpr
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
Outils testés ou ayant fait l’objet d’une
démonstration de la part de l’éditeur
12. Benchmark outils DPO by TNP
12
DFaKto
Création : 2000
Nationalité : Belge
La solution permet de gérer la phase de diagnostic, d’implémentation (projet) et de main-
tien en conformité. DFakto propose une plateforme Data Driven avec deux modules com-
plémentaires :
• GDPR360 PILOT gère les tâches et les risques identifiés dans les DPIA, ainsi que les
mises à jour des DPIA.
• GDPR360 ANALYTICS permet de suivre de manière régulière les actions effectuées
sur les données sensibles. Ainsi DFakto offre une historisation combinée et systéma-
tique de toutes les actions impliquant des données et permet ainsi un audit complet
des tâches et actions, en contrôle la conformité et permet de planifier les actions
correctives. L’outil produit également les registres de traitements au sens du GDPR.
La tarification repose sur un set up et une licence mensuelle.
Les prochaines versions devraient comprendre des options de ticketing, de gestion des
demandes d’exercice des droits.
https://www.dfakto.com/data-driven-risk-compliance-gdpr-2/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
DPOrganizer
Création : 2015
Nationalité : Suédoise
L’outil est simple et agréable à utiliser et consiste principalement en un registre des trai-
tements. Il permet de visualiser les informations par strates et de faire des recherches
par filtres. Il permet de cartographier et de documenter les activités liées aux traitements
avec une représentation géographique des flux de données, des transferts vers un pays
tiers ou vers des destinataires et donc de la chaine de responsabilité. DPOrganizer per-
met notamment de documenter les fiches de traitements, les informations relatives aux
sous-traitants et aux sous-traitants secondaires, les lieux de stockage des données, les
mesures de sécurité, autant d’informations utiles à la réalisation d’analyses d’impact.
Dans le courant du deuxième trimestre 2018, l’outil sera doté d’une fonctionnalité de
gestion des violations de données et d’audit et pourra interagir avec d’autres systèmes à
travers des API ouvertes.
https://www.dporganizer.com/
13. Benchmark outils DPO by TNP
13
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
EGERIE SOFTWARE : Privacy Manager
Création : 2015 (développement depuis 2013 société FIDENS)
Nationalité : Française
EGERIE Software, expert des outillages collaboratif de conformité et de cybersécurité,
propose depuis plusieurs années maintenant son logiciel Privacy Manager (v2.4).
Privacy Manager assure les fonctions clés suivantes :
• La gestion des registres et des fiches de traitement,
• La pré-catégorisation des risques sur la Protection des Données,
• La génération automatique de rapports et un dashboard,
• Le pilotage global de la mise en conformité au GDPR,
• La Cartographie et le suivi des mesures juridiques et techniques.
Pour bénéficier d’une analyse d’impact comprenant une analyse méthodique des risques,
Privacy Manager renvoie à la solution Risk Manager via un lien. Le logiciel Risk Manager
a comme fonctions clés la modélisation et la cartographie des risques, l’évaluation et
l’analyse d’impact et la proposition de mesures de remédiations.
EGERIE travaille en permanence à l’amélioration de ses solutions en prenant en compte le
retour des experts du domaine et les demandes des clients (club utilisateurs).
La prochaine version (S1 2018) intégrera la personnalisation complète d’une fiche de trai-
tement (personnalisation et modification de l’ensemble des corps communs d’une fiche)
et un service de Workflow permettant au DPO de suivre le processus de création, valida-
tion et acceptation des traitements.
https://www.egerie-software.com/fr/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
14. Benchmark outils DPO by TNP
14
IMB StoredIQ
Création : 1924
Nationalité : Américaine
IBM propose une suite logicielle dédiée à la conformité au GDPR. Cette solution com-
posée de plusieurs fonctionnalités s’articule autour de trois axes, à savoir la donnée, la
gouvernance et la sécurité. StoredIQI, Analyser et Guardium offrent des fonctionnalités
d’exploration, d’identification et de classification des données structurées et non structu-
rées en se connectant aux API du système de l’entreprise sur la base d’une bibliothèque
de filtres prédéfinis par l’auteur de la recherche. Il est ensuite possible de réaliser des ac-
tions sur les données (suppression, mise en quarantaine, déplacement) à l’aide d’autres
modules et de suivre les actions via des tableaux de bord et des changelogs. La solution
étant modulaire, il est possible d’interfacer StoredIQ notamment avec Information Ana-
lyzer (pour le traitement des données structurées) ou avec Optim (pour réaliser d’autres
actions d’anonymisation et d’effacement des données). IMB StoredIQ s’interface avec la
solution ORYGA de BMI System pour l’identification des données non structurées et les
traitements associés.
https://www-03.ibm.com/software/products/fr/storediq-suite
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
Kensu :
Création : 2015
Nationalité : Américaine
Data Activity Manager est une solution intelligente de GRC qui se connecte aux activités
du Data Scientist et apprend automatiquement. DAM fournit des tableaux de bord
intelligents et des rapports à la volée et permet ainsi de contrôler la source des données,
la destination des données et plus généralement l’activité relative aux données. DAM
peut être déployé en mode SaaS ou on-premise.
https://www.kensu.io/
15. Benchmark outils DPO by TNP
15
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
NayaEdge GDPR by Knovos
Création : 2002
Nationalité : Américaine
NayaEdge est présentée comme une solution de gestion de la conformité dont les
fonctionnalités permettent de répondre à une partie des exigences du GDPR. La
solution fournit une vue des données traitées dans l’organisation, des applicatifs, et
des processus de gestion des informations. Elle est dotée de plusieurs fonctionnalités
comme l’identification et la classification des données structurées et non structurées à
l’aide d’une fonctionnalité de recherche avancée. La solution propose des fonctionnalités
de gestion des droits des personnes (portabilité, effacement) grâce à des fonctions de
découverte, de purge ou d’export des données relatives à une personne concernée.
https://www.knovos.com/solutions/information-governance-compliance-solutions/gdpr-
nayaedge
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
NSP NSP NSP
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
16. Benchmark outils DPO by TNP
16
OneTrust
Création : 2016
Nationalité : Américaine
Plateforme multilingue et multiutilisateurs avec trois éditions : Standard, Avancé et Enter-
prise. Il existe également une version gratuite avec des fonctionnalités limitées.
One Trust est l’outil le plus massivement adopté à l’heure actuelle et semble être celui
qui répond de la manière la plus exhaustive aux attentes du DPO. Un soin particulier est
apporté à l’UX et l’éditeur tient compte des retours utilisateurs pour enrichir les versions
successives.
Son approche de GDPR permet un accompagnement approfondi de la mise en conformité,
sans nécessiter de déploiement trop intrusif au sein des métiers. Selon l’offre choisie, il
peut être déployé sur un Cloud US, un Cloud européen, un Cloud privé ou on-premise.
L’outil comprend un registre des traitements, permet d’automatiser les analyses d’impact
et la cartographie des données. Il permet également de gérer la conformité des sites In-
ternet, les droits des personnes (portail paramétrable pour que les personnes concernées
formulent et transmettent leurs demandes avec un système de double authentification
par mail). Toutes ces tâches sont réalisées grâce à des questionnaires que l’on peut adap-
ter à ses propres besoins. Il est possible d’importer une liste de traitement ou un registre,
mais cela nécessite l’intervention de l’éditeur.
Un module de collecte et de gestion du consentement permettra prochainement de suivre
le consentement pour chaque traitement de donnée, à la manière d’une transaction iden-
tifiée par un token et accompagnée d’un reçu. L’outil a aussi une fonction de reporting.
L’outil offre une gestion fine des droits d’utilisation. Chaque utilisateur peut être rattaché
à n’importe quelle entité ou département défini dans l’outil et aura un accès aux projets
et traitements correspondants. Des utilisateurs externes peuvent être créés, avec un ac-
cès temporaire à l’outil et des habilitations en fonction de leur rôle. Enfin, les utilisateurs
invités n’ont accès qu’à un questionnaire ou un projet donné auquel ils accèdent par une
URL.
Il est aussi possible de modifier les intitulés des rubriques selon la terminologie employée
dans l’entreprise. En revanche, la solution fonctionne selon une logique qui lui est propre
et qui n’est pas forcément adaptée aux processus existants dans l’organisation. Attention
aussi à ne pas négliger le temps nécessaire au paramétrage de l’outil avant de com-
mencer à y intégrer des données. OneTrust propose enfin une formation certifiante d’une
journée à l’outil.
https://onetrust.com/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
17. Benchmark outils DPO by TNP
17
ORYGA (BMI System)
Création : 2004
Nationalité : Française
Solution de gestion complète de gouvernance de la protection des données à caractère
personnel pour la mise en œuvre et le maintien en conformité au GDPR adaptée aux
grosses PME et aux grandes organisations. La solution fonctionne en mode Saas (Set Up
et abonnement mensuel ; il existe aussi une option Oryga Corporate sur devis).
ORYGA est évolutive et permet d’intégrer les mises à jour réglementaires et les dernières
technologies de gestion des données personnelles. Outre l’indispensable registre des ac-
tivités de traitement (par entité juridique et par pays), ORYGA permet de disposer d’indica-
teurs et de tableaux de bord (dans sa version actuelle 22 indicateurs visualisables dans
5 tableaux de bord), d’effectuer des analyses d’impact sur la base du référentiel EBIOS
adapté par le CNIL et des audits, de suivre la conformité, de gérer les demandes d’exer-
cice des droits et les violations de données personnelles.
L’outil permet d’importer des fiches de traitement et il permet aussi de créer des fiches
de traitements modulables qui génèrent des alertes dynamiques en cas de risques élevés
nécessitant une analyse d’impact.
L’outil donne une vue générale des traitements avec un filtre par registre, par DPO, par
pays ou par statut du traitement.
La grande force de BMI System est de pouvoir proposer une cartographie des données
(partenariat avec IBM), sur la base de filtres métiers de données personnelles mais aus-
si d’informations contextuelles liées aux contraintes réglementaires du secteur d’activité
(santé/pharma, banque, assurance…). Il est ainsi possible, sur un périmètre ciblé, de
réconcilier les données inventoriées dans le registre et celles cartographiées avec l’outil.
Une prochaine version de la solution devrait permettre d’alimenter le Registre de manière
automatisée grâce à l’identification des données dans le système d’information.
Dans sa version actuelle, l’outil ne propose pas de base documentaire.
Côté sécurité, la solution impose 2 niveaux d’authentification avant d’accéder au portail,
les Backups sont chiffrés et le client a la possibilité de se connecter par VPN.
http://www.bmi-system.com/oryga-gdpr/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
18. Benchmark outils DPO by TNP
18
Privacy perfect
Création : 2013
Nationalité : Hollandaise
PrivacyPerfect fournit un flux entre les quatre exigences requises par le GDPR : évaluations
de l’impact sur la protection des données, consultations préalables, traitements (y compris
les transferts) et violations des données (y compris les notifications d’infractions aux
autorités de contrôle et aux personnes concernées). L’outil prend en charge les obligations
communes des responsables de traitement et des sous-traitants, de respecter les droits
des personnes concernées et de répondre aux requêtes des autorités de contrôle. Il
permet à votre organisation de saisir et d’évaluer les données sensibles pertinentes et
de les promouvoir par le biais de « l’entonnoir de confidentialité » tout en surveillant le flux
de travail.
https://www.privacyperfect.com/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
ServiceNow
Création : 2004
Nationalité : Américaine
Plateforme de GRC (gouvernance, gestion des risques et conformité) et de workflow
adaptée à la gestion de la protection des données.
Prérequis : création des actifs informationnels dans la CMDB
Lasolutionpermetdecréerdesanalysesd’impactsurlavieprivée(élémentsdéclencheurs),
de documenter des audits, de programmer l’envoi de questionnaires aux sous-traitants,
de gérer les incidents de sécurité entraînant une violation des données personnelles. Elle
permet aussi de gérer le cycle de vie des politiques en matière de protection des données
personnelles. ServiceNow permet de faire un lien entre les processus (exemple : analyse
d’impacts et gestion des violations de données).
La plateforme ServiceNow permet d’attribuer et de notifier des actions et d’en faire le suivi
(par entités, processus, systèmes, informations, projets…) : pour chaque écart, une tâche
de remédiation est automatiquement créée et affectée au responsable concerné.
La solution dispose d’un tableau de bord permettant au DPO d’avoir une vue de la
conformité et des risques et d’éditer des rapports.
19. Benchmark outils DPO by TNP
19
TESI GRC
Création : 1995
Nationalité : Italienne
Cet éditeur de logiciel propose un outil GDPR issu d’une suite logicielle de GRC. La solution
se veut très competitive en termes de qualité prix. Elle est entièrement paramétrable, il
permet d’importer des référentiels et d’adapter l’outil au contexte de l’organisation. La
solution GDPR de TESI est déjà déployée dans plusieurs grandes entreprises en Italie.
Solution de support à la conformité GDPR avec un workflow permettant de structurer,
automatiser et exécuter l’approche GDPR au sein d’un groupe ou d’une grande structure.
L’outil permet d’envoyer des tâches, des notifications et des questionnaires automatisés
aux différents acteurs au sein d’un même groupe et de suivre leur état d’avancement.
Parmi les fonctionnalités de registre, l’outil permet de mener des analyses de risques
macro relatives à la sécurité et à la conformité des traitements et de prévoir des mesures
de sécurité adaptées pour atténuer les risques.
L’outil est adapté aux structures complexes et permet de répondre aux besoins suivants:
• Bénéficier d’une gestion collaborative basée sur un workflow capable d’engager
quand cela est nécessaire les rôles qui ont des responsabilités
• Mener des analyses (DPIA) sur la base de son propre modèle ou de modèles présents
dans la bibliothèque
Elle propose enfin la mise à disposition de la personne concernée d’un espace lui
permettant d’avoir accès aux données la concernant et d’exercer ses droits sur les
données personnelles.
Ainsi, ServiceNow, à travers ses fonctionnalités et ses différentes applications permet
entre autres de :
• Gérer les demandes d’exercice des droits des personnes
• Mettre en place le registre des données et des traitements
• Gérer les violations de données conformément aux exigences du GDPR
• Gérer les risques fournisseurs
https://www.servicenow.com/products/governance-risk-and-compliance.html
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
20. Benchmark outils DPO by TNP
20
Advice PrIMe
Création : 2003
Nationalité : Allemande
Outil de registre en mode Saas avec client local ou plateforme Web, qui permet de
documenter les activités liées aux traitements de données au moyen de procédures et de
politiques fournies par l’outil. L’outil met à disposition des modèles de questionnaires, des
listes de mesures, des templates de rapport et de formulaires qui permettent de gérer la
conformité selon divers référentiels (GDPR, ISO 27001 ou HIPPA). Il est possible d’utiliser la
solution pour former les collaborateurs. C’est un outil multifonctionnel et personnalisable.
Il permet aussi de paramétrer des accès à des relais internes ou à des auditeurs externes.
https://www.2b-advice.com/LLC-en/home
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
NSP NSP
Outils évalués sur la base de la
documentation fournie par les éditeurs
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
• Gérer l’approche et les processus relatifs à la Privacy by Design et la Privacy by Default
• Mettre en place une gestion et une gouvernance des sous-traitants, de la qualification du
sous-traitant jusqu’à l’audit des mesures de conformité et de sécurité
• Gérer le registre des requêtes des personnes concernées
• Gérer le registre des incidents et des violations de données
https://tesisquare.com/it/gdpr_it/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
21. Benchmark outils DPO by TNP
21
Actecil Privacy Management
Création : 2007
Nationalité : Française
L’application APM permet de réaliser la gestion et le suivi de vos traitements de données
à caractère personnel, d’identifier le niveau de conformité et d’évaluer les risques
associés aux traitements. APM dispose de plusieurs fonctionnalités comme la tenue du
registre des traitements et comprend des modèles de fiches de traitements et permet de
documenter des analyses d’impact sur la protection des données. La solution comprend
une fonctionnalité de workflow et un gestionnaire de tâches. APM permet ainsi de générer
des tableaux à filtres multiples, des statistiques visuelles. APM est déployé» sous trois
solutions : APM - SaaS, APM – SaaS isolé ou APM – Black Box.
https://actecil.fr/actecil-privacy-manager-apm/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
NSP NSP NSP
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
AvePoint
Création : 2001
Nationalité : Américaine
AvePoint propose plusieurs solutions, notamment une solution de gestion de la conformité
à diverses réglementations y compris au GDPR (Data Governance Solution). AvePoint
Compliance Guardian est un outil de suivi des actions et des mesures de protection mises
en place. La solution est dotée de fonctionnalités de découverte des données selon leur
emplacement et leur type et de classification, de prévention de leur perte et de gestion
des incidents. AvePoint Compliance Guardian propose des rapports et tableaux de bord
personnalisés, déléguant automatiquement les violations aux personnes autorisées pour
les résoudre rapidement. La solution propose également un outil d’analyse d’impact
sur la vie privée (AvePoint’s Privacy Impact Assessment) qui permet de sélectionner des
questions d’évaluation ou de créer ses propres questions. L’utilisateur peut aussi exporter
des plans d’actions.
https://www.avepoint.com/solutions/compliance/
22. Benchmark outils DPO by TNP
22
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
NSP
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
BigID
Création : 2016
Nationalité : Américaine
Les solutions de BigID permettent notamment de cartographier les données en
automatisant le processus de collecte et de contextualisation des flux de données
dans l’organisation avec un dashboard faisant apparaître la localisation des données
structurées ou non structurées. BigID est capable de découvrir toutes les données
personnelles sensibles de vos environnements, établir des profils d’identité. BigID dispose
des fonctionnalités de gestion des droits des personnes, de gestion du consentement et
de gestion des violations de données.
https://bigid.com/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
NSP
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
Bizoneo
Nationalité : Irlandaise
Bizoneo est une solution d’aide à la gestion du GDPR permettant
de créer et d’alimenter un registre des traitements et de mener des
audits de conformité au moyen de questionnaires. L’outil permet d’évaluer la sensibilité
des données, d’évaluer les risques liés aux traitements et de mener des DPIA, de gérer
l’exercice des droits des personnes, de programmer et de suivre l’avancement de sessions
de formation, de générer des templates et des rapports. Il est aussi possible de créer
et d’adresser des questionnaires à destination des sous-traitants avec un système
d’identification.
23. Benchmark outils DPO by TNP
23
Les clients peuvent se connecter si besoin dans leur propre univers (client final).
L’outil dispose d’une fonction de piste d’audit des connexions et de chiffrement des flux.
Solution en mode Saas dont la tarification comprend un set up et un abonnement fonction
du nombre d’utilisateurs.
Bizoneo propose aussi un mode On-premise
https://www.bizoneo.eu/home/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP
Captain DPO (Jamespot)
Création : 2005
Nationalité : Française
Captain DPO est une plateforme collaborative pour DPO développée et commercialisée
par Jamespot, un éditeur de logiciels spécialisé dans les solutions collaboratives et so-
ciales. La solution propose des tableaux de bord dynamique et des KPI, des registres, elle
permet de documenter une cartographie des applications, propose une gestion des de-
mandes d’exercices des droits, une gestion des alertes et de gestion de crise, une gestion
documentaire avec versioning.
Concernant les DPIA, Captain DPO embarque le logiciel de la CNIL.
Solution disponible en mode Saas.
https://www.captaindpo.com/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP
24. Benchmark outils DPO by TNP
24
Connexica : GDPR Data Discovery and Management
Création : 2006
Nationalité : Britannique
Connexica a développé une solution « self service » dédiée à la gestion de la conformité
GDPR, disponible On Premise ou dans le cloud. La solution se veut flexible et adaptable
aux besoins les plus simples comme les plus complexes comme la modélisation
prédictive. Connexica propose un mapping des données structurées et non structurées,
la possibilité de créer un inventaire des données (types de données, propriétaire
des données, base légale des traitements, durées de conservation, localisation des
données...) et un reporting. La solution permet aussi d’automatiser un certain nombre
de tâche comme des alertes en cas de dépassement des durées de conservation ou la
gestion des droits des personnes. La solution permet d’avoir une seule et même vision
de l’état des données relatives à une personne déterminée.
https://www.connexica.com/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
NSP NSP
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
Collibra
Création : 2008
Nationalité : Américaine
Plateforme de gouvernance et de gestion automatisée des données avec un inventaire
centralisé des données. Collibra permet de cartographier les données, de définir les
règles associées à chaque catégorie de données et de suivre les actions sur celles-ci
dans l’ensemble des processus métiers. La solution propose un dashboard permettant de
suivre les projets et les flux de données qui y sont associés et une fonction de reporting.
https://www.collibra.com/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
25. Benchmark outils DPO by TNP
25
Data Gravity
Création : 2012
Nationalité : Américaine
Data Gravity permet à une entreprise d’avoir une vue des données et de leurs utilisateurs.
La solution permet par exemple d’identifier des données sensibles telles que les numéros
de carte de crédit et de sécurité sociale, de détecter tout comportement suspect et d’alerter
les responsables. Des tableaux de bord intégrés permettent de comprendre les schémas
d’accès aux données et il est possible d’enregistrer un évènement dans son journal système.
https://datagravity.org/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
DataGuise
Création : 2007
Nationalité : Américaine
Solution de « Data Centric Audit » pour Hadoop grâce à laquelle une organisation «
data driven » peut découvrir et classer, auditer et contrôler en temps réel des données
structurées et non structurées situées dans ses répertoires. Il s’agit d’une simple
plateforme disponible On Premise ou dans le Cloud. Dataguise DgSecure permet de
déterminer les règles associées à la classification des données. Les tableaux de bord et
rapports visuels permettent de déterminer la localisation des données, qui accède aux
données et à quel moment, si les données sont chiffrées ou pas. Un système d’alerte
se déclenche chaque fois que des données sensibles sont découvertes. La plate-forme
offre une méthode automatisée de chiffrement des informations dans des référentiels
et permet de contrôler la conformité aux exigences réglementaires et aux règles de
confidentialité. Dataguise peut être déployée dans des environnements distribués.
https://www.dataguise.com/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
26. Benchmark outils DPO by TNP
26
D.Day Labs (DataSense)
Création : 2016
Nationalité : Israélienne
Solution d’intelligence articifielle « Out of the box » destinée à la gestion automatisée
des données structurées et non structurées On Premise ou dans le Cloud. La solution
est capable de cartographier et de classifier les données, de déterminer qui a accès aux
données, d’appliquer une politique de sécurité et de répondre activement aux menaces
internes et externes en temps réel. DataSense permet une évaluation des risques et
de la conformité pouvant donner lieu à des mesures correctives automatisées en cas
de violation. La solution garantit une approche intégrative de la gestion des données et
de la conformité au moyen d’une seule et même plate-forme. Elle comprend aussi une
fonctionnalité de reporting avec cartes de chaleur et analyse des risques
http://ddaylabs.com/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
NSP NSP
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP
DPM by Lexagone
Création : 2006
Nationalité : Française
Solution de tenue du registre.
L’outil a évolué vers un registre des traitements enrichi et dynamique sous la forme d’une
solution collaborative avec un versionnage des traitements et un niveau de sécurité
amélioré par rapport à la version précédente. Un tableau de bord des traitements permet
de visualiser en temps réel l’avancement de la saisie des traitements et de les exporter au
format HTML ou PDF. Il permet de faire un suivi des contrats, de joindre des documents.
DPM ne nécessite pas d’installation. Il dispose de droits d’accès avec filtres. L’outil propose
également des vidéos, de la documentation et des sessions de prise en main.
Côté sécurité, les accès peuvent êtres tracés et les échanges se font via https.
DPM propose aussi une solution on-premise.
https://dataprivacymanager.com/le-logiciel-dpm/
27. Benchmark outils DPO by TNP
27
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
NSP NSP
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP
Exonar
Création : 2007
Nationalité : Britannique
Plateforme permettant d’identifier les informations sensibles, qu’il s’agisse de données
structurées ou non structurées et de les classer en catégories en fonction de l’endroit
où elles se trouvent dans le système d’information. La solution identifie également
les fichiers contenant des mots de passe et des données confidentielles et surveille
les données créées, déplacées ou supprimées. La plateforme permet d’attribuer des
actions aux propriétaires de données, tout en permettant aux entreprises d’automatiser
l’application des politiques.
Il est ainsi possible d’identifier et de localiser les données en cas de demande de portabilité
ou de demande d’exercice des droits des personnes.
La solution comprend une fonction de reporting.
Solution en mode Saas ou on-premise.
https://www.exonar.com/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
NSP
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
Flowz
Nationalité : Britannique
Solution Saas de gestion de la conformité GDPR développée par APIRA, un éditeur de
solution de gestion de la gouvernance de l’information dans le secteur de la santé. Flowz
est une solution adaptable au contexte de l’organisation.
28. Benchmark outils DPO by TNP
28
Elle permet de tenir le registre, de gérer le workflow, d’évaluer les risques de manière
automatique (Iso 27005). La solution peut importer les fichiers excel. La prochaine
version comprendra des fonctionnalités de gestion de l’exercice des droits et de DPIA.
Cet éditeur propose une formation à l’outil.
Flowz bénéficie des retours d’expériences terrain via son groupe d’utilisateurs.
La solution peut être gérée via le SSO de l’organisation. La tarification dépend du
nombre d’actifs enregistrés. La plateforme est hébergée au Royaume Uni.
Flowz propose aussi une option intégration avec identification automatisée de données
(ediscovery).
https://flowz.co.uk/services/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
NSP NSP
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
Indica
Création : 2013
Nationalité : Hollandaise
Le module GDPR d’Indica est un outil dédié qui s’ajoute à la solution e-discovery. Il fournit
une vue d’ensemble des données en indiquant où elles se trouvent et qui y a accès. La
solution hérite des politiques d’accès, analyse tous les fichiers de données disponibles
et fait une corrélation entre les données structurées et non structurées, reconnaît les
attributs de données confidentielles (carte de crédit, téléphone, numéro sécurité sociale,
IBAN, etc.). La solution permet également de créer plusieurs tableaux de bord pour
différentes parties prenantes en fonction de leurs intérêts et de leurs droits d’accès.
https://indica.nl/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
29. Benchmark outils DPO by TNP
29
Informatica
Création : 1993
Nationalité : Américaine
Solution de surveillance et de protection des données confidentielles et sensibles
structurées et non structurées. Elle permet de classifier et de localiser les données à
caractère personnel, d’analyser comment on y accède et d’établir un score de risque
pour hiérarchiser les mesures correctives telles que le contrôle d’accès, le chiffrement, la
tokenisation et le masquage des données. La plateforme surveille également les flux de
données, les accès et les comportements et alerte l’organisation en cas d’événements
inhabituels ou anormaux. La solution fournit l’anonymisation et la protection des données
grâce à un masquage dynamique et persistant des données.
https://www.informatica.com/fr/solutions/data-governance.html
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
Integris
Création : 2016
Nationalité : Américaine
Intégris est une solution intelligente qui en s’intégrant aux systèmes existants, permet
d’avoir une visibilité sur la localisation des données personnelles dans le système
d’information de l’entreprise et sur la façon dont elles sont utilisées. Cette solution
permet de découvrir et de tagger les données personnelles structurées et non
structurées. Cela contribue ainsi à gérer le consentement, les demandes d’exercice
des droits des personnes concernées ainsi que les violations de données personnelles.
La solution propose des pistes d’audit et permet d’évaluer les risques associés aux
pratiques en matière de traitement des données personnelles.
https://integris.io/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
NSP NSP NSP NSP
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
30. Benchmark outils DPO by TNP
30
Global Suite GDPR
Nationalité : Espagnol
Global Suite est une suite logicielle développée par la société espagnole Audisec.
L’outil, initialement créé pour répondre aux obligations de la loi organique sur la protection
des données personnelles (LOPD) espagnole, a évolué vers une version de conformité
GDPR. Global Suite GDPR est un logiciel conçu pour aider à la mise en œuvre, à la gestion
dans le temps et à la maintenance en conformité à travers un processus simple, agile,
automatisé et traçable. Il comprend une fonctionnalité de registre des traitements,
d’audit, d’analyse des risques (identification, analyse et évaluation) et d’analyse d’impact
ou de gestion des demandes d’exercice des droits des personnes.
Solution en mode Saas ou on-premise.
https://www.globalsuite.es/en/globalsuite-data-protection-gdpr/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
Gravicus
Création : 2016
Nationalité : Britannique
Osprey DPIA est une solution « user friendly » d’analyse d’impact sur la protection des
données. Osprey DPIA guide l’utilisateur étape par étape à travers un questionnaire
détaillé. Il s’agit d’une solution avec des caractéristiques d’approbation et de verrouillage
à des fins de preuve.
La prochaine version « annoncée » de l’outil utilisera une solution d’intelligence artificielle
et de gestion des données afin de rechercher dans les documents et dans les sources,
les données à caractère personnel structurées et non structurées en vue de produire des
rapports détaillés sur les risques liés aux traitements. Osprey DPIA établira un lien vers
Osprey Privacy pour conserver la preuve de l’information des personnes.
Osprey DPIA et Privacy font partie d’une plateforme intelligente évolutive, capable de
répondre à diverses problématiques : data clean, gestion des risques réglementaires,
e-discovery, Due Diligence.
https://gravicus.com/products/#dpia
31. Benchmark outils DPO by TNP
31
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
MetaCompliance
Création : 2006
Nationalité : Américaine
MetaCompliance offre plusieurs solutions adaptées à la gestion de la cybersécurité et
de la conformité d’une organisation, y compris au règlement général sur la protection
des données personnelles. La solution propose des fonctionnalités de tenue du registre
des activités de traitement, de catégorisation des risques, d’édition de politiques et de
procédures relatives à la protection de la vie privée. Elle permet aussi de former les
collaborateurs sur les enjeux du GDPR. Elle comprend des tableaux de bord de gestion,
un suivi des tâches en temps réel et des rapports détaillés permettant aux responsables
de la protection des données de suivre facilement les progrès de la mise en œuvre et de
démontrer une responsabilité permanente.
Solution en mode Saas.
https://www.metacompliance.com/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
Nymity Privacy Compliance Software
Création : 2002
Nationalité : Canadienne
NYMITY innovating compliance est un logiciel avec trois modules : un logiciel de veille
juridique, un logiciel d’aide à la conformité privacy et un logiciel d’automatisation de la
mise en conformité (PIA, registre et évaluation générale de conformité de l’entreprise).
Le logiciel d’aide à la conformité est un logiciel support pour les professionnels de la
32. Benchmark outils DPO by TNP
32
protection des données dans les organisations. Il propose des templates (mentions
d’information, consentement, politiques internes, procédures internes, contrats, audits…),
des pragmatic documents de conformité (spreadsheets, checklists, real world samples,
etc.). Il permet aussi d’identifier et de quantifier les écarts de conformité dans un tableau
de bord et d’évaluer les ressources nécessaires à la mise en conformité.
Le logiciel de privacy management fonctionne sur la base d’un questionnaire et d’un
système de workflow. Ces éléments permettent visent à identifier et à évaluer les risques.
Sur cette base le logiciel édite un registre et un DPIA et lance des actions de mise en
conformité : notification à la direction privacy, envoi de politiques / procédures internes
aux métiers identifiés (ce sont les deux points les plus pertinents).
De manière générale, cet outil permet de gérer la conformité vis-à-vis de plusieurs
législations.
https://www.nymity.com/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP
Proteus-GDPReady
Création : 2003
Nationalité : Américaine
La solution fournit au DPO une suite d’outils prêts à l’emploi pour modéliser les processus
métier, identifier les données sensibles et leur emplacement, cartographier les flux de
données, réaliser des analyses d’impact sur la vie privée, mener des audits de conformité.
Solution en mode SaaS en plusieurs versions et on-premise.
https://proteuscyber.com/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
33. Benchmark outils DPO by TNP
33
Prifender
Création : 2015
Nationalité : Américaine
Cet outil offre plusieurs fonctionnalités comme la recherche automatique de données
personnelles structurées ou non structurées, la détection et le suivi des actions effectuées
sur les données personnelles, le suivi des flux et des destinataires des données. Prifender
enrichit les données en y associant des obligations et des métadonnées. L’outil permet
de localiser les données personnelles et utilise l’intelligence artificielle pour répondre aux
exigences du GDPR relatives aux droits des personnes telles que la documentation des
traitements, la gestion des violations de données personnelles, la gestion des demandes
d’exercice des droits.
http://www.prifender.com/gdpr.php
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
NSP
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
PrivaCil (DPMS)
Création : 2016
Nationalité : Française
L’outil a fortement évolué depuis sa version précédente. Il est composé d’un module de
base et de modules optionnels en fonction de la taille de l’organisation et de son secteur
d’activité. L’outil propose les fonctionnalités suivantes :
• Gestion de l’accountability
• Gestion des analyses d’impact (DPIA)
• Analyse des risques associés aux traitements
• Gestion des notifications des violations de données
• Workflows (RT, CIL/ DPO, RIL, DSI, RSSI, chefs de projet…)
• Référentiel des traitements
• Gestion des mentions types (contrats Sous-Traitants, documents, sites web…)
• Audit des traitements
Côté sécurité, la solution comprend un système d’authentification forte, les transmissions
de données sont sécurisées à l’aide du protocole https, des tests d’intrusions sont
34. Benchmark outils DPO by TNP
34
régulièrement réalisés.
La solution est disponible en mode Saas et On Premise sur demande.
https://www.dpms.eu/logiciel-outil-GDPR-dpo/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
Real GDPR Software (RGS)
RGS est une solution dont l’objectif est de faciliter, simplifier
et maintenir la conformité au GDPR en faisant le lien entre les
données décrites par les juristes dans le registre des traitements
et la réalité technique opérationnelle des applications informatiques. La solution est
présentée comme étant une boîte à outil du DPO comprenant des outils d’inventaire
pour construire et maintenir le référentiel des données à caractère personnel et ceux
permettant de d’exploiter ce référentiel afin de respecter les exigences du GDPR. RGS
est doté des fonctionnalités de fiches et registres de traitement, de fiches individuelles
pour la gestion des droits des personnes, d’inventaires des données et des processus
techniques, d’anonymisation/pseudonymisation des données et d’audits.
RGS Express a été conçue pour les PME, RGS Entreprise est une version modulable
pour les grandes entreprises. La solution est conçue pour 5 à 10 utilisateurs et 3 à 10
serveurs, selon la version.
http://www.rever.eu/fr/real-gdpr-software
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
35. Benchmark outils DPO by TNP
35
SAS Global Data Management
Création : 1976
Nationalité : Américaine
SAS propose une plateforme conçue pour permettre aux organisations d’identifier, de gérer
et de protéger l’ensemble de leurs données, d’évaluer le besoin de pseudonymisation
et le risque associé aux traitements des données personnelles. La solution permet aux
entreprises de pseudonymiser ou d’anonymiser les données et de surveiller les profils
accédant aux données afin d’en garantir la confidentialité.
https://www.sas.com/en_us/solutions/personal-data-protection.html
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
SecuPi
Création : 2014
Nationalité : Américaine
Suite logicielle avec des fonctionnalités de pseudonymisation et d’anonymisation, de
gestion dynamique des consentements, de suppression des données, de surveillance en
temps réel des accès aux données et des flux de données sensibles et réglementées. La
plateforme comprend aussi une fonction d’audit des logs de connexion.
Solution en mode Saas et on-premise.
https://www.secupi.com/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
NSP
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
36. Benchmark outils DPO by TNP
36
TrustArc
Création : 1997
Nationalité : Américaine
TrustArc est une solution flexible et facile d’utilisation de gestion des risques et de gestion
de la conformité. Elle permet de mener des audits sur la base de questionnaires, de
scanner les sites internet, de cartographier de manière visuelle les flux de données, de
tenir le registre des activités de traitement, de conduire des analyses d’impact, de gérer
le consentement des personnes et les demandes d’exercices des droits des personnes.
L’outil comprend des pistes d’audit et une fonction de reporting. TrustArc propose des
certifications TRUSTe et une solution de gestion des litiges.
https://www.trustarc.com/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP
Trust Hub
Nationalité : Britannique
Solution de support aux règlementations de protection des données et de la vie privée,
notamment au GDPR. Plateforme présentée comme ultra sécurisée comportant
notamment un contrôle en continu permettant de détecter les évènements anormaux
sur les données et de disposer de pistes d’audit, avec une gestion fine des habilitations
et des droits d’utilisation. L’outil a été conçu en intégrant les principes de Data Protection
by Design. Solution modulable, qui propose des fonctionnalités de chiffrement et de
pseudonymisation, de gestion des consentements, de portabilité, la solution comprend
un dashboard et des fonctions de reporting. Les données sont présentées de manière
visuelle et interactive faisant apparaitre les liens avec les personnes, les processus, leur
localisation. Les personnes peuvent mettre leurs données à jour de manière intuitive (la
solution est disponible sur mobile et tablette). Trust Hub est disponible en mode Saas
(hébergement au Royaume Uni ou On Premise).
https://www.trust-hub.com/privacy-hub/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP
37. Benchmark outils DPO by TNP
37
Usoft
Création : 1987
Nationalité : Hollandaise
Outil de gestion de la conformité comprenant un registre des
traitements, il permet de catégoriser les données et de déterminer les traitements à
risques, de documenter des PIA sur la base de questionnaires diffusés via l’outil, de
profiter de dashboard et d’éditer des rapports. Les organisations peuvent configurer leur
propre méthode de travail.
https://www.usoft.com/solutions/smartpia
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
NSP NSP
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Veritas
Création : 1995
Nationalité : Américaine
Avec la solution 360 Data management for GDPR, Veritas propose une approche intégrée
de la conformité au GDPR. L’outil propose une cartographie et une classification des
données personnelles structurées et non structurées, le suivi des accès à ces données, la
diffusion de règles de sécurité sur les données et de suppression si nécessaire; La solution
est dotée d’un puissant outil d’indexation permettant de découvrir les attributs implicites
et explicites des données personnelles. La solution de Veritas vise aussi à répondre aux
exigences de minimisation des données, de gestion des durées de conservation et de
l’exercice des droits des personnes.
https://www.veritas.com/
Ergonomie Multilingue
Multiutilisa-
teurs
Déploie-
ment
Registre
des
traitements
DPIA/PIA
Workflow et
reporting
Gestion des
droits des
personnes
Gestion du
consente-
ment
Cartogra-
phie
Confiden-
tialité
Évolution
de l’outil
38. Benchmark outils DPO by TNP
38
CNIL : Outil de PIA
Logiciel open source de l’autorité française de protection des données
destiné à faciliter la conduite et la formalisation d’analyses d’impact
sur la protection des données telles que prévues par le GDPR et l’appropriation des guides
PIA de la CNIL. L’outil comprend une interface didactique et une base documentaire. Le
contenu peut être adapté au contexte de chaque organisation.
L’outil est disponible en français et en anglais.
https://www.cnil.fr/en/node/23952
MONARC
MONARC est une solution open-source d’analyse de risques, qui peut
être utilisée pour analyser les risques sur la protection des données. Il
existe deux possibilités d’installer l’outil :
MONARC BackOffice peut être déployé pour de grands groupes avec plusieurs entités.
Chaque entité disposera de son instance MONARC (FrontOffice) avec plusieurs
fonctionnalités comme la création d’un projet d’analyse de risques, import / export
d’analyse de risques. Il permet une gestion fine des utilisateurs et une gestion des
autorisations par projet.
MONARC BackOffice permet d’avoir une gestion centralisée de toutes les instances
d’analyse des risques effectuées au niveau des entités.
http://monarc.lu https://github.com/monarc-project
Outils gratuits
40. www.tnpconsultants.com
PA S S E Z À L’ H Y B R I D E
P O U R G A G N E R E N P E R F O R M A N C E
BUSINESS - TECHNOLOGY - ANALYTICS
TNP est le premier cabinet de conseil hybride et indépendant.
Nous associons expérience sectorielle et expertise fonctionnelle,
innovations technologiques et savoir-faire traditionnels ; pour faire évoluer
la culture, l’organisation, les usages de votre entreprise. Et faire de
l’innovation et du digital de vrais leviers de performance opérationnelle.