SlideShare une entreprise Scribd logo

Benchmark gdpr outils dpo

TNP Consultant
TNP Consultant

"Un an après le premier benchmark de TNP sur les outils du DPO, il nous semblait important de l’actualiser. En raison du grand nombre de solutions GDPR, nous avons fait le choix de nous focaliser sur les outils permettant au DPO d’exercer sa mission, notamment de documenter et d’analyser les traitements, de tenir le registre et d’assurer la gestion et le suivi de la conformité (audit et workflow). Les solutions de sécurité et notamment de pseudonymisation et d’anonymisation n’ont donc pas été analysées dans cette nouvelle version, qui n’a d’ailleurs pas pour objectif d’être exhaustive" Florence Bonnet, CIL Consulting by TNP, experte en protection des données. https://www.tnpconsultants.com/fr/actualites/benchmark-gdpr-outils-dpo

Technologie
1  sur  40
Télécharger pour lire hors ligne
BENCHMARK TNP OUTILS DPO
3 Guy LETURCQ Directeur Général TNP Nous sommes heureux de vous présenter la seconde édition de notre livre blanc consacré aux outils du DPO. Dans un monde où tout s’accélère, TNP est un cabinet indépendant spécialisé dans la définition et la mise en place de programmes de transformation. Pour cela TNP cultive deux forces : • Des équipes multisectorielles et multispécialistes, • Des démarches outillées, s’appuyant sur la capitalisation de nos expériences C’est dans ce cadre que nous avons souhaité dresser le panorama des outils dédiés au DPO. Notre objectif est de proposer les solutions qui nous paraissent les plus adaptées aux contextes et aux besoins de nos clients, en toute indépendance. Des nombreuses missions que nous effectuons, il en ressort que mettre en place les bonnes pratiques de gouvernance des données est au cœur des enjeux GDPR. L’outillage du DPO est à penser dans un cadre plus global amenant plus d’agilité face au respect des nombreuses réglementations en vigueur ou à venir dans la plupart des secteurs d’activité. Vous souhaitant bonne lecture ! AVANT-PROPOS
Benchmark outils DPO by TNP 4 INTRODUCTION Le Règlement Général sur la Protection des Données personnelles (GDPR ou GDPR) oblige les organisations à rendre compte des me- sures de conformité des traitements de données (accountability). Pour le G29, cela se traduit notamment par la mise en place d’une documentation des traitements, par l’application de procédures permettant d’identifier, de recenser et d’encadrer les traitements de données personnelles, d’évaluer les risques pour les personnes et de garantir et de contrôler l’application effective des mesures. « Compliance is no longer a pure theorical and legal issue, it has to be embedded into the business processes and to be managed in a dynamic way » Isabelle Falque Pierrotin, Présidente de la CNIL. Après avoir établi un diagnostic de conformité, référencé les trai- tements de données personnelles et avoir engagé les premières actions de remédiation, l’heure est à la réflexion sur les moyens de répondre à l’obligation de rendre compte (accountability) et sur les outils permettant de gérer le suivi et la documenta- tion des mesures mises en place. La plupart des organisations ont développé des tableaux Excel, mais leur niveau de détail rend leur compréhension difficile par les opérationnels ; leur maintien à jour sera de toute évidence une véritable gageure. Le Délégué à la Protection des données ou « DPO » (Data Protection Officer) quant à lui est au cœur de ce nouveau dispositif réglementaire. Véritable chef d’orchestre de la conformité , le DPO est notamment chargé d’informer et de conseiller le responsable de traitement ou le sous-traitant, de contrôler le respect du Règlement et du droit applicable en matière de pro- tection des données et de donner des conseils sur la réalisation d’une analyse d’impact, tout en contrôlant son application. Au-delà de ce qui est prévu par le Règlement, le responsable du traitement ou le sous-traitant peut demander à ce que le DPO ait la charge de la tenue du registre des traitements sous la responsabilité du responsable de traitement ou du sous-traitant. La protection des données s’inscrit dans un processus d’amélioration continue ; tout ne s’ar- rêtera pas au 25 mai 2018, bien au contraire ! C’est une nouvelle ère de la protection des données qui devrait s’ouvrir. « 25 May is the date the legislation takes effect but no business stands still. You will be expected to continue to identify and address emerging privacy and security risks in the weeks, months and years beyond May 2018 » Elizabeth DENHAM, Présidente de l’ICO.  À quelques semaines de l’échéance du 25 mai 2018 et au regard de l’existant dans les organisations, six constats s’imposent : • La première étape consiste à évaluer et comprendre le besoin de l’organisation au regard de sa taille, de la complexité de ses traitements, des ressources disponibles. • Dans les organisations complexes ou avec de nombreux traitements évolutifs, le Délégué à la Protection des Données pourra difficilement garantir le maintien, la documentation et le contrôle de la conformité dans le temps sans l’aide d’outils logiciels. Florence BONNET Directrice
5 • Selon les cas, le développement de solutions en interne ou l’adaptation d’une solution déjà utilisée sera un choix plus pertinent que le recours à un nouvel outil ; a contrario, dans d’autres cas, le choix d’une nouvelle solution sera moins coûteux que d’envisager l’évolution d’outils existants. • L’outil ne sera d’aucune utilité si personne ne sait ou ne veut l’utiliser ; les modalités de formation au nouvel outil sont donc un critère de sélection essentiel à prendre en consi- dération. • Bien que cela semble évident, rappelons qu’il n’existe pas d’outil miracle garantissant à lui seul, la conformité des traitements de données au GDPR. • Enfin, nous restons convaincus que le GDPR n’est que la face immergée de l’iceberg. Dans un contexte de « datafication » et de « data driven transformation », les organisations ne pourront répondre aux exigences réglementaires en cours ou à venir et toujours plus nombreuses sans l’aide de solutions intelligentes. Depuis notre premier benchmark sur les outils du DPO, les solutions GDPR se sont mul- tipliées sur le marché. L’offre est toujours très hétérogène avec des niveaux de maturité très variés et beaucoup d’outils sont encore en cours d’évolution. Les outils proposés peuvent être classés en trois grandes catégories : • Des outils conçus pour la gestion de la gouvernance, des risques et de la conformité (GRC) ou des outils répondant à des problématiques de sécurité que les éditeurs ont fait évoluer afin de les rendre « GDPR compatibles », • Des outils créés ex nihilo pour répondre à plusieurs exigences du GDPR et parti- culièrement à l’obligation de documenter les traitements et de gérer le suivi de la conformité, • Des outils existant et proposant une fonctionnalité particulièrement utile dans le contexte du GDPR (gestion du consentement, gestion des violations de données, gestion des droits des personnes…). Comme nous l’avions anticipé, la plupart des outils ont évolué et regroupent plusieurs fonctionnalités permettant d’alimenter le registre des traitements. Une partie des acteurs ont noué des partenariats afin de proposer des outils de registre avec des fonctionnalités de mapping des données. Un an après le premier benchmark de TNP sur les outils du DPO, il nous semblait impor- tant de l’actualiser. En raison du grand nombre de solutions GDPR, nous avons fait le choix de nous focaliser sur les outils permettant au DPO d’exercer sa mission, notam- ment de documenter et d’analyser les traitements, de tenir le registre et d’assurer la gestion et le suivi de la conformité (audit et workflow). Les solutions de sécurité et notamment de pseudonymisation et d’anonymisation n’ont donc pas été analysées dans cette nouvelle version, qui n’a d’ailleurs pas pour objectif d’être exhaustive. 5 Retrouvez sur le blog TNP l’article : http://blog.tnpconsultants.fr/on-ne-simprovise-pas-DPO/
Benchmark outils DPO by TNP 6 Exigences GDPR Outil de registre Analyse des risques et DPIA Identifica- tion des données Workflow Sensibi- lisation/ Formation Gestion des droits des personnes Gestion du consente- ment Mise en place des mesures pour s'assurer et être en mesure de démontrer que le traitement est conforme (Art. 24) Contrôler le respect du règlement et de toutes règles de protection des données applicables (Art. 39) Tenir un registre des activités de traitement (Art. 30) Evaluer les risques et mener une analyse d’impact (Art. 25, 32, 35, 39) Gérer le consentement et les demandes d’exercice des droits des personnes concernées (Art. 7,12 à 21) Accountability(Art.24) Les outils sont classés par ordre alphabétique.
Benchmark outils DPO by TNP 7 SOMMAIRE Avant-propos 3 Introduction 4 Outils testés ou ayant fait l’objet d’unedémonstrationdelapartdel’éditeur 11 Outils évalués sur la base de la documentation fournie par les éditeurs 19 Outils gratuits 35
Benchmark outils DPO by TNP 8 Les critères d’évaluation des outils du DPO L’étude repose sur l’analyse de la documentation publiée et/ou fournie par l’éditeur et sur le test d’une partie des versions d’essai disponibles. Les outils qui n’ont pas pu être testés ou dont il n’a pas été possible d’avoir une démonstration sont décrits dans la troisième partie de ce document. Un certain nombre d’outils ont été volontairement exclus de l’analyse comparative : • En raison de leur cible spécifique cf. outils Open source tels que ESUP CIL (ESUP) et Open Registre CIL (Open Mairie), • Ou parce qu’il s’agissait d’outils de conformité ou d’analyse des risques dont le péri- mètre dépasse largement celui de GDPR et qui n’ont pas fait l’objet d’une évolution particulière. Nous avons indiqué la date de création de la société éditrice. Certains acteurs présents sur le marché de la protection des données depuis plusieurs années ont récemment scindé leur activité d’édition de logiciel, ce qui peut expliquer que la date de création soit relativement récente. NB : les critères relatifs aux niveaux sont cumulatifs (ex. le niveau 2 cumule les critères des niveaux 1 et 2). CRITÈRES LIÉS À LA NATURE DE L’OUTIL Ergonomie : facilité d’utilisation et lisibilité des représentations La prise en main de l’outil est difficile sans formation de l’utilisateur La prise en main de l’outil demande un minimum d’investissement de la part de l’utilisateur Utilisation confortable avec des interfaces graphiques claires et facile d’uti- lisation Interface utilisateur augmentée et offrant une plus-value à l’usage (user-friendly) Multilingue : outil / solution disponible en plusieurs langues Outil / solution disponible en une seule langue Outil / solution disponible en deux langues dont l’anglais Outil / solution disponible en quelques langues Outil / solution disponible en un grand nombre de langues
Benchmark outils DPO by TNP 9 Multi-utilisateurs / multi-entité : gestion des accès, des droits et des habilitations Outil / solution avec un compte utilisateur unique Outil /solution avec plusieurs comptes disposant des mêmes droits Outil /solution avec plusieurs comptes avec une gestion fine des habilita- tions au sein d’une même entité Outil /solution avec plusieurs comptes avec une gestion fine des habilita- tions permettant de gérer plusieurs entités et des utilisateurs externes à l’organisation Déploiement (On-premise ou SaaS) Outil sous format Excel Outil /solution avec un déploiement en mode SaaS uniquement Outil /solution avec un déploiement en mode on-premise uniquement Outil / solution avec un déploiement en mode SaaS ou on-premise au choix Confidentialité Transparence sur le stockage et l’utilisation des données utilisateurs ou des informations Stockage et transmission sécurisée des données Stockage dans un pays offrant un niveau adéquat de protection des don- nées Choix et gestion du stockage par l’utilisateur (possible déploiement interne) Évolution de l’outil Support et maintenance de l’existant, déploiement de correctifs Mises à jour régulières et amélioration de l’outil Prise en compte des retours utilisateurs et des exigences « métier » Capacité à prendre en compte sans délai l’évolution de l’état de l’art CRITÈRES LIÉS AUX FONCTIONNALITÉS DE L’OUTIL Registre des activités de traitement : capacité de l’outil / solution à produire le registre des activités de traitements conforme à l’article 30 du GDPR Outil / solution dotée d’une fonctionnalité de création de fiches de traite- ment sans assistance Outil / solution dotée d’une fonctionnalité de création de fiches de traite- ment avec assistance Outil / solution dotée d’une fonctionnalité de création automatique de fiches de traitement Outil / solution dotée d’une fonctionnalité de création automatique et par importation de fiches de traitement
Cartographie des données Outil / solution dotée d’une fonctionnalité de cartographie basique Outil / solution dotée d’une fonctionnalité de cartographie avec assistance (templates disponibles) Outil / solution dotée d’une fonctionnalité de cartographie automatisée des données structurées Outil / solution dotée d’une fonctionnalité de cartographie automatisée des données non structurées DPIA / PIA Outil / solution dotée d’une fonctionnalité de DPIA/PIA ne permettant pas de répondre aux exigences du GDPR Outil / solution dotée d’une fonctionnalité de DPIA/PIA basé sur un ques- tionnaire prédéfini Outil / solution dotée d’une fonctionnalité de DPIA/PIA basé sur plusieurs modèles de questionnaires prédéfinis et paramétrables Outil / solution dotée d’une fonctionnalité de DPIA/PIA répondant aux exi- gences du GDPR (art. 35) Workflow et reporting Méthode manuelle de création d’utilisateurs et d’affectation des tâches Gestion des évènements et traçabilité des workflows terminés Routage des workflows vers les services concernés, gestion des partici- pants, statistiques prêtes à l’emploi Tableau de bord, rapport d’activités, workflow et gestion de l’état d’avan- cement Gestion des droits des personnes Fonctionnalité basique de gestion des droits des personnes sans assis- tance Fonctionnalité basique de gestion des droits des personnes avec assis- tance Fonctionnalité de gestion automatisée des droits des personnes Fonctionnalité de gestion automatisée des droits des personnes et suivi des actions Gestion du consentement Fonctionnalité basique de gestion du consentement sur la base des infor- mations renseignées sans assistance Fonctionnalitédegestionduconsentementfacilitéeparlemappingdesdonnées Fonctionnalité de gestion automatisée du consentement (mapping des données et formulaires dédiés) Fonctionnalité de gestion automatisée du consentement et suivi des actions 10
Benchmark outils DPO by TNP 11 CAST Création : 1995 Nationalité : Américaine Castsoftware est un éditeur de solutions d’analytics. L’outil permet de mener une analyse détaillée du code source des applications et de formater les informations extraites dans des outils d’aide à la décision. La solution permet d’assurer un inventaire automatique des traitements informatiques manipulant des données personnelles et d’identifier les risques de sécurité et de robustesse vis-à-vis de ces traitements. Elle permet en particulier de mettre en lumière les transactions « inconnues et inattendues » dans les applications ou sous-systèmes complexes (multiprofils et multiusages). Cet inventaire et les éléments de caractérisation généraux et des risques permettent de construire automatiquement une grande partie du registre des traitements et outille le DPO dans l’analyse de ces don- nées pour consolider la stratégie de mise en conformité. La solution CAST est particulièrement adaptée aux environnements IT complexes avec des centaines d’applications. Elle propose une radiographie en profondeur multilangage, multicouches et multitechno- logies des risques structurels des applications à traiter prioritairement dans la stratégie de mise en conformité en raison de la densité de données personnelles traitées. L’ensemble de ces informations doit alimenter un outil de travail du DPO afin de définir le registre. La solution permet de s’assurer du maintien de la conformité dans le temps. L’outil permet de mettre en place un plan d’actions associé à la cartographie des données. Il propose également un index des données critiques permettant d‘évaluer la vulnérabilité et la robustesse du chemin (Data Risk Index). http://www.castsoftware.com/use-cases/security-data-safety/gdpr Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil Outils testés ou ayant fait l’objet d’une démonstration de la part de l’éditeur
Benchmark outils DPO by TNP 12 DFaKto Création : 2000 Nationalité : Belge La solution permet de gérer la phase de diagnostic, d’implémentation (projet) et de main- tien en conformité. DFakto propose une plateforme Data Driven avec deux modules com- plémentaires : • GDPR360 PILOT gère les tâches et les risques identifiés dans les DPIA, ainsi que les mises à jour des DPIA. • GDPR360 ANALYTICS permet de suivre de manière régulière les actions effectuées sur les données sensibles. Ainsi DFakto offre une historisation combinée et systéma- tique de toutes les actions impliquant des données et permet ainsi un audit complet des tâches et actions, en contrôle la conformité et permet de planifier les actions correctives. L’outil produit également les registres de traitements au sens du GDPR. La tarification repose sur un set up et une licence mensuelle. Les prochaines versions devraient comprendre des options de ticketing, de gestion des demandes d’exercice des droits. https://www.dfakto.com/data-driven-risk-compliance-gdpr-2/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil DPOrganizer Création : 2015 Nationalité : Suédoise L’outil est simple et agréable à utiliser et consiste principalement en un registre des trai- tements. Il permet de visualiser les informations par strates et de faire des recherches par filtres. Il permet de cartographier et de documenter les activités liées aux traitements avec une représentation géographique des flux de données, des transferts vers un pays tiers ou vers des destinataires et donc de la chaine de responsabilité. DPOrganizer per- met notamment de documenter les fiches de traitements, les informations relatives aux sous-traitants et aux sous-traitants secondaires, les lieux de stockage des données, les mesures de sécurité, autant d’informations utiles à la réalisation d’analyses d’impact. Dans le courant du deuxième trimestre 2018, l’outil sera doté d’une fonctionnalité de gestion des violations de données et d’audit et pourra interagir avec d’autres systèmes à travers des API ouvertes. https://www.dporganizer.com/
Benchmark outils DPO by TNP 13 Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil EGERIE SOFTWARE : Privacy Manager Création : 2015 (développement depuis 2013 société FIDENS) Nationalité : Française EGERIE Software, expert des outillages collaboratif de conformité et de cybersécurité, propose depuis plusieurs années maintenant son logiciel Privacy Manager (v2.4). Privacy Manager assure les fonctions clés suivantes : • La gestion des registres et des fiches de traitement, • La pré-catégorisation des risques sur la Protection des Données, • La génération automatique de rapports et un dashboard, • Le pilotage global de la mise en conformité au GDPR, • La Cartographie et le suivi des mesures juridiques et techniques. Pour bénéficier d’une analyse d’impact comprenant une analyse méthodique des risques, Privacy Manager renvoie à la solution Risk Manager via un lien. Le logiciel Risk Manager a comme fonctions clés la modélisation et la cartographie des risques, l’évaluation et l’analyse d’impact et la proposition de mesures de remédiations. EGERIE travaille en permanence à l’amélioration de ses solutions en prenant en compte le retour des experts du domaine et les demandes des clients (club utilisateurs). La prochaine version (S1 2018) intégrera la personnalisation complète d’une fiche de trai- tement (personnalisation et modification de l’ensemble des corps communs d’une fiche) et un service de Workflow permettant au DPO de suivre le processus de création, valida- tion et acceptation des traitements. https://www.egerie-software.com/fr/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
Benchmark outils DPO by TNP 14 IMB StoredIQ Création : 1924 Nationalité : Américaine IBM propose une suite logicielle dédiée à la conformité au GDPR. Cette solution com- posée de plusieurs fonctionnalités s’articule autour de trois axes, à savoir la donnée, la gouvernance et la sécurité. StoredIQI, Analyser et Guardium offrent des fonctionnalités d’exploration, d’identification et de classification des données structurées et non structu- rées en se connectant aux API du système de l’entreprise sur la base d’une bibliothèque de filtres prédéfinis par l’auteur de la recherche. Il est ensuite possible de réaliser des ac- tions sur les données (suppression, mise en quarantaine, déplacement) à l’aide d’autres modules et de suivre les actions via des tableaux de bord et des changelogs. La solution étant modulaire, il est possible d’interfacer StoredIQ notamment avec Information Ana- lyzer (pour le traitement des données structurées) ou avec Optim (pour réaliser d’autres actions d’anonymisation et d’effacement des données). IMB StoredIQ s’interface avec la solution ORYGA de BMI System pour l’identification des données non structurées et les traitements associés. https://www-03.ibm.com/software/products/fr/storediq-suite Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil Kensu : Création : 2015 Nationalité : Américaine Data Activity Manager est une solution intelligente de GRC qui se connecte aux activités du Data Scientist et apprend automatiquement. DAM fournit des tableaux de bord intelligents et des rapports à la volée et permet ainsi de contrôler la source des données, la destination des données et plus généralement l’activité relative aux données. DAM peut être déployé en mode SaaS ou on-premise. https://www.kensu.io/
Benchmark outils DPO by TNP 15 Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP NayaEdge GDPR by Knovos Création : 2002 Nationalité : Américaine NayaEdge est présentée comme une solution de gestion de la conformité dont les fonctionnalités permettent de répondre à une partie des exigences du GDPR. La solution fournit une vue des données traitées dans l’organisation, des applicatifs, et des processus de gestion des informations. Elle est dotée de plusieurs fonctionnalités comme l’identification et la classification des données structurées et non structurées à l’aide d’une fonctionnalité de recherche avancée. La solution propose des fonctionnalités de gestion des droits des personnes (portabilité, effacement) grâce à des fonctions de découverte, de purge ou d’export des données relatives à une personne concernée. https://www.knovos.com/solutions/information-governance-compliance-solutions/gdpr- nayaedge Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP NSP NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA
Benchmark outils DPO by TNP 16 OneTrust Création : 2016 Nationalité : Américaine Plateforme multilingue et multiutilisateurs avec trois éditions : Standard, Avancé et Enter- prise. Il existe également une version gratuite avec des fonctionnalités limitées. One Trust est l’outil le plus massivement adopté à l’heure actuelle et semble être celui qui répond de la manière la plus exhaustive aux attentes du DPO. Un soin particulier est apporté à l’UX et l’éditeur tient compte des retours utilisateurs pour enrichir les versions successives. Son approche de GDPR permet un accompagnement approfondi de la mise en conformité, sans nécessiter de déploiement trop intrusif au sein des métiers. Selon l’offre choisie, il peut être déployé sur un Cloud US, un Cloud européen, un Cloud privé ou on-premise. L’outil comprend un registre des traitements, permet d’automatiser les analyses d’impact et la cartographie des données. Il permet également de gérer la conformité des sites In- ternet, les droits des personnes (portail paramétrable pour que les personnes concernées formulent et transmettent leurs demandes avec un système de double authentification par mail). Toutes ces tâches sont réalisées grâce à des questionnaires que l’on peut adap- ter à ses propres besoins. Il est possible d’importer une liste de traitement ou un registre, mais cela nécessite l’intervention de l’éditeur. Un module de collecte et de gestion du consentement permettra prochainement de suivre le consentement pour chaque traitement de donnée, à la manière d’une transaction iden- tifiée par un token et accompagnée d’un reçu. L’outil a aussi une fonction de reporting. L’outil offre une gestion fine des droits d’utilisation. Chaque utilisateur peut être rattaché à n’importe quelle entité ou département défini dans l’outil et aura un accès aux projets et traitements correspondants. Des utilisateurs externes peuvent être créés, avec un ac- cès temporaire à l’outil et des habilitations en fonction de leur rôle. Enfin, les utilisateurs invités n’ont accès qu’à un questionnaire ou un projet donné auquel ils accèdent par une URL. Il est aussi possible de modifier les intitulés des rubriques selon la terminologie employée dans l’entreprise. En revanche, la solution fonctionne selon une logique qui lui est propre et qui n’est pas forcément adaptée aux processus existants dans l’organisation. Attention aussi à ne pas négliger le temps nécessaire au paramétrage de l’outil avant de com- mencer à y intégrer des données. OneTrust propose enfin une formation certifiante d’une journée à l’outil. https://onetrust.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
Benchmark outils DPO by TNP 17 ORYGA (BMI System) Création : 2004 Nationalité : Française Solution de gestion complète de gouvernance de la protection des données à caractère personnel pour la mise en œuvre et le maintien en conformité au GDPR adaptée aux grosses PME et aux grandes organisations. La solution fonctionne en mode Saas (Set Up et abonnement mensuel ; il existe aussi une option Oryga Corporate sur devis). ORYGA est évolutive et permet d’intégrer les mises à jour réglementaires et les dernières technologies de gestion des données personnelles. Outre l’indispensable registre des ac- tivités de traitement (par entité juridique et par pays), ORYGA permet de disposer d’indica- teurs et de tableaux de bord (dans sa version actuelle 22 indicateurs visualisables dans 5 tableaux de bord), d’effectuer des analyses d’impact sur la base du référentiel EBIOS adapté par le CNIL et des audits, de suivre la conformité, de gérer les demandes d’exer- cice des droits et les violations de données personnelles. L’outil permet d’importer des fiches de traitement et il permet aussi de créer des fiches de traitements modulables qui génèrent des alertes dynamiques en cas de risques élevés nécessitant une analyse d’impact. L’outil donne une vue générale des traitements avec un filtre par registre, par DPO, par pays ou par statut du traitement. La grande force de BMI System est de pouvoir proposer une cartographie des données (partenariat avec IBM), sur la base de filtres métiers de données personnelles mais aus- si d’informations contextuelles liées aux contraintes réglementaires du secteur d’activité (santé/pharma, banque, assurance…). Il est ainsi possible, sur un périmètre ciblé, de réconcilier les données inventoriées dans le registre et celles cartographiées avec l’outil. Une prochaine version de la solution devrait permettre d’alimenter le Registre de manière automatisée grâce à l’identification des données dans le système d’information. Dans sa version actuelle, l’outil ne propose pas de base documentaire. Côté sécurité, la solution impose 2 niveaux d’authentification avant d’accéder au portail, les Backups sont chiffrés et le client a la possibilité de se connecter par VPN. http://www.bmi-system.com/oryga-gdpr/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
Benchmark outils DPO by TNP 18 Privacy perfect Création : 2013 Nationalité : Hollandaise PrivacyPerfect fournit un flux entre les quatre exigences requises par le GDPR : évaluations de l’impact sur la protection des données, consultations préalables, traitements (y compris les transferts) et violations des données (y compris les notifications d’infractions aux autorités de contrôle et aux personnes concernées). L’outil prend en charge les obligations communes des responsables de traitement et des sous-traitants, de respecter les droits des personnes concernées et de répondre aux requêtes des autorités de contrôle. Il permet à votre organisation de saisir et d’évaluer les données sensibles pertinentes et de les promouvoir par le biais de « l’entonnoir de confidentialité » tout en surveillant le flux de travail. https://www.privacyperfect.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil ServiceNow Création : 2004 Nationalité : Américaine Plateforme de GRC (gouvernance, gestion des risques et conformité) et de workflow adaptée à la gestion de la protection des données. Prérequis : création des actifs informationnels dans la CMDB Lasolutionpermetdecréerdesanalysesd’impactsurlavieprivée(élémentsdéclencheurs), de documenter des audits, de programmer l’envoi de questionnaires aux sous-traitants, de gérer les incidents de sécurité entraînant une violation des données personnelles. Elle permet aussi de gérer le cycle de vie des politiques en matière de protection des données personnelles. ServiceNow permet de faire un lien entre les processus (exemple : analyse d’impacts et gestion des violations de données). La plateforme ServiceNow permet d’attribuer et de notifier des actions et d’en faire le suivi (par entités, processus, systèmes, informations, projets…) : pour chaque écart, une tâche de remédiation est automatiquement créée et affectée au responsable concerné. La solution dispose d’un tableau de bord permettant au DPO d’avoir une vue de la conformité et des risques et d’éditer des rapports.
Benchmark outils DPO by TNP 19 TESI GRC Création : 1995 Nationalité : Italienne Cet éditeur de logiciel propose un outil GDPR issu d’une suite logicielle de GRC. La solution se veut très competitive en termes de qualité prix. Elle est entièrement paramétrable, il permet d’importer des référentiels et d’adapter l’outil au contexte de l’organisation. La solution GDPR de TESI est déjà déployée dans plusieurs grandes entreprises en Italie. Solution de support à la conformité GDPR avec un workflow permettant de structurer, automatiser et exécuter l’approche GDPR au sein d’un groupe ou d’une grande structure. L’outil permet d’envoyer des tâches, des notifications et des questionnaires automatisés aux différents acteurs au sein d’un même groupe et de suivre leur état d’avancement. Parmi les fonctionnalités de registre, l’outil permet de mener des analyses de risques macro relatives à la sécurité et à la conformité des traitements et de prévoir des mesures de sécurité adaptées pour atténuer les risques. L’outil est adapté aux structures complexes et permet de répondre aux besoins suivants: • Bénéficier d’une gestion collaborative basée sur un workflow capable d’engager quand cela est nécessaire les rôles qui ont des responsabilités • Mener des analyses (DPIA) sur la base de son propre modèle ou de modèles présents dans la bibliothèque Elle propose enfin la mise à disposition de la personne concernée d’un espace lui permettant d’avoir accès aux données la concernant et d’exercer ses droits sur les données personnelles. Ainsi, ServiceNow, à travers ses fonctionnalités et ses différentes applications permet entre autres de : • Gérer les demandes d’exercice des droits des personnes • Mettre en place le registre des données et des traitements • Gérer les violations de données conformément aux exigences du GDPR • Gérer les risques fournisseurs https://www.servicenow.com/products/governance-risk-and-compliance.html Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
Benchmark outils DPO by TNP 20 Advice PrIMe Création : 2003 Nationalité : Allemande Outil de registre en mode Saas avec client local ou plateforme Web, qui permet de documenter les activités liées aux traitements de données au moyen de procédures et de politiques fournies par l’outil. L’outil met à disposition des modèles de questionnaires, des listes de mesures, des templates de rapport et de formulaires qui permettent de gérer la conformité selon divers référentiels (GDPR, ISO 27001 ou HIPPA). Il est possible d’utiliser la solution pour former les collaborateurs. C’est un outil multifonctionnel et personnalisable. Il permet aussi de paramétrer des accès à des relais internes ou à des auditeurs externes. https://www.2b-advice.com/LLC-en/home Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP NSP Outils évalués sur la base de la documentation fournie par les éditeurs Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP • Gérer l’approche et les processus relatifs à la Privacy by Design et la Privacy by Default • Mettre en place une gestion et une gouvernance des sous-traitants, de la qualification du sous-traitant jusqu’à l’audit des mesures de conformité et de sécurité • Gérer le registre des requêtes des personnes concernées • Gérer le registre des incidents et des violations de données https://tesisquare.com/it/gdpr_it/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
Benchmark outils DPO by TNP 21 Actecil Privacy Management Création : 2007 Nationalité : Française L’application APM permet de réaliser la gestion et le suivi de vos traitements de données à caractère personnel, d’identifier le niveau de conformité et d’évaluer les risques associés aux traitements. APM dispose de plusieurs fonctionnalités comme la tenue du registre des traitements et comprend des modèles de fiches de traitements et permet de documenter des analyses d’impact sur la protection des données. La solution comprend une fonctionnalité de workflow et un gestionnaire de tâches. APM permet ainsi de générer des tableaux à filtres multiples, des statistiques visuelles. APM est déployé» sous trois solutions : APM - SaaS, APM – SaaS isolé ou APM – Black Box. https://actecil.fr/actecil-privacy-manager-apm/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP NSP NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP AvePoint Création : 2001 Nationalité : Américaine AvePoint propose plusieurs solutions, notamment une solution de gestion de la conformité à diverses réglementations y compris au GDPR (Data Governance Solution). AvePoint Compliance Guardian est un outil de suivi des actions et des mesures de protection mises en place. La solution est dotée de fonctionnalités de découverte des données selon leur emplacement et leur type et de classification, de prévention de leur perte et de gestion des incidents. AvePoint Compliance Guardian propose des rapports et tableaux de bord personnalisés, déléguant automatiquement les violations aux personnes autorisées pour les résoudre rapidement. La solution propose également un outil d’analyse d’impact sur la vie privée (AvePoint’s Privacy Impact Assessment) qui permet de sélectionner des questions d’évaluation ou de créer ses propres questions. L’utilisateur peut aussi exporter des plans d’actions. https://www.avepoint.com/solutions/compliance/
Benchmark outils DPO by TNP 22 Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil BigID Création : 2016 Nationalité : Américaine Les solutions de BigID permettent notamment de cartographier les données en automatisant le processus de collecte et de contextualisation des flux de données dans l’organisation avec un dashboard faisant apparaître la localisation des données structurées ou non structurées. BigID est capable de découvrir toutes les données personnelles sensibles de vos environnements, établir des profils d’identité. BigID dispose des fonctionnalités de gestion des droits des personnes, de gestion du consentement et de gestion des violations de données. https://bigid.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP Bizoneo Nationalité : Irlandaise Bizoneo est une solution d’aide à la gestion du GDPR permettant de créer et d’alimenter un registre des traitements et de mener des audits de conformité au moyen de questionnaires. L’outil permet d’évaluer la sensibilité des données, d’évaluer les risques liés aux traitements et de mener des DPIA, de gérer l’exercice des droits des personnes, de programmer et de suivre l’avancement de sessions de formation, de générer des templates et des rapports. Il est aussi possible de créer et d’adresser des questionnaires à destination des sous-traitants avec un système d’identification.
Benchmark outils DPO by TNP 23 Les clients peuvent se connecter si besoin dans leur propre univers (client final). L’outil dispose d’une fonction de piste d’audit des connexions et de chiffrement des flux. Solution en mode Saas dont la tarification comprend un set up et un abonnement fonction du nombre d’utilisateurs. Bizoneo propose aussi un mode On-premise https://www.bizoneo.eu/home/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP Captain DPO (Jamespot) Création : 2005 Nationalité : Française Captain DPO est une plateforme collaborative pour DPO développée et commercialisée par Jamespot, un éditeur de logiciels spécialisé dans les solutions collaboratives et so- ciales. La solution propose des tableaux de bord dynamique et des KPI, des registres, elle permet de documenter une cartographie des applications, propose une gestion des de- mandes d’exercices des droits, une gestion des alertes et de gestion de crise, une gestion documentaire avec versioning. Concernant les DPIA, Captain DPO embarque le logiciel de la CNIL. Solution disponible en mode Saas. https://www.captaindpo.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP
Benchmark outils DPO by TNP 24 Connexica : GDPR Data Discovery and Management Création : 2006 Nationalité : Britannique Connexica a développé une solution « self service » dédiée à la gestion de la conformité GDPR, disponible On Premise ou dans le cloud. La solution se veut flexible et adaptable aux besoins les plus simples comme les plus complexes comme la modélisation prédictive. Connexica propose un mapping des données structurées et non structurées, la possibilité de créer un inventaire des données (types de données, propriétaire des données, base légale des traitements, durées de conservation, localisation des données...) et un reporting. La solution permet aussi d’automatiser un certain nombre de tâche comme des alertes en cas de dépassement des durées de conservation ou la gestion des droits des personnes. La solution permet d’avoir une seule et même vision de l’état des données relatives à une personne déterminée. https://www.connexica.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP Collibra Création : 2008 Nationalité : Américaine Plateforme de gouvernance et de gestion automatisée des données avec un inventaire centralisé des données. Collibra permet de cartographier les données, de définir les règles associées à chaque catégorie de données et de suivre les actions sur celles-ci dans l’ensemble des processus métiers. La solution propose un dashboard permettant de suivre les projets et les flux de données qui y sont associés et une fonction de reporting. https://www.collibra.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
Benchmark outils DPO by TNP 25 Data Gravity Création : 2012 Nationalité : Américaine Data Gravity permet à une entreprise d’avoir une vue des données et de leurs utilisateurs. La solution permet par exemple d’identifier des données sensibles telles que les numéros de carte de crédit et de sécurité sociale, de détecter tout comportement suspect et d’alerter les responsables. Des tableaux de bord intégrés permettent de comprendre les schémas d’accès aux données et il est possible d’enregistrer un évènement dans son journal système. https://datagravity.org/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil DataGuise Création : 2007 Nationalité : Américaine Solution de « Data Centric Audit » pour Hadoop grâce à laquelle une organisation « data driven » peut découvrir et classer, auditer et contrôler en temps réel des données structurées et non structurées situées dans ses répertoires. Il s’agit d’une simple plateforme disponible On Premise ou dans le Cloud. Dataguise DgSecure permet de déterminer les règles associées à la classification des données. Les tableaux de bord et rapports visuels permettent de déterminer la localisation des données, qui accède aux données et à quel moment, si les données sont chiffrées ou pas. Un système d’alerte se déclenche chaque fois que des données sensibles sont découvertes. La plate-forme offre une méthode automatisée de chiffrement des informations dans des référentiels et permet de contrôler la conformité aux exigences réglementaires et aux règles de confidentialité. Dataguise peut être déployée dans des environnements distribués. https://www.dataguise.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
Benchmark outils DPO by TNP 26 D.Day Labs (DataSense) Création : 2016 Nationalité : Israélienne Solution d’intelligence articifielle « Out of the box » destinée à la gestion automatisée des données structurées et non structurées On Premise ou dans le Cloud. La solution est capable de cartographier et de classifier les données, de déterminer qui a accès aux données, d’appliquer une politique de sécurité et de répondre activement aux menaces internes et externes en temps réel. DataSense permet une évaluation des risques et de la conformité pouvant donner lieu à des mesures correctives automatisées en cas de violation. La solution garantit une approche intégrative de la gestion des données et de la conformité au moyen d’une seule et même plate-forme. Elle comprend aussi une fonctionnalité de reporting avec cartes de chaleur et analyse des risques http://ddaylabs.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP DPM by Lexagone Création : 2006 Nationalité : Française Solution de tenue du registre. L’outil a évolué vers un registre des traitements enrichi et dynamique sous la forme d’une solution collaborative avec un versionnage des traitements et un niveau de sécurité amélioré par rapport à la version précédente. Un tableau de bord des traitements permet de visualiser en temps réel l’avancement de la saisie des traitements et de les exporter au format HTML ou PDF. Il permet de faire un suivi des contrats, de joindre des documents. DPM ne nécessite pas d’installation. Il dispose de droits d’accès avec filtres. L’outil propose également des vidéos, de la documentation et des sessions de prise en main. Côté sécurité, les accès peuvent êtres tracés et les échanges se font via https. DPM propose aussi une solution on-premise. https://dataprivacymanager.com/le-logiciel-dpm/
Benchmark outils DPO by TNP 27 Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP Exonar Création : 2007 Nationalité : Britannique Plateforme permettant d’identifier les informations sensibles, qu’il s’agisse de données structurées ou non structurées et de les classer en catégories en fonction de l’endroit où elles se trouvent dans le système d’information. La solution identifie également les fichiers contenant des mots de passe et des données confidentielles et surveille les données créées, déplacées ou supprimées. La plateforme permet d’attribuer des actions aux propriétaires de données, tout en permettant aux entreprises d’automatiser l’application des politiques. Il est ainsi possible d’identifier et de localiser les données en cas de demande de portabilité ou de demande d’exercice des droits des personnes. La solution comprend une fonction de reporting. Solution en mode Saas ou on-premise. https://www.exonar.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP Flowz Nationalité : Britannique Solution Saas de gestion de la conformité GDPR développée par APIRA, un éditeur de solution de gestion de la gouvernance de l’information dans le secteur de la santé. Flowz est une solution adaptable au contexte de l’organisation.
Benchmark outils DPO by TNP 28 Elle permet de tenir le registre, de gérer le workflow, d’évaluer les risques de manière automatique (Iso 27005). La solution peut importer les fichiers excel. La prochaine version comprendra des fonctionnalités de gestion de l’exercice des droits et de DPIA. Cet éditeur propose une formation à l’outil. Flowz bénéficie des retours d’expériences terrain via son groupe d’utilisateurs. La solution peut être gérée via le SSO de l’organisation. La tarification dépend du nombre d’actifs enregistrés. La plateforme est hébergée au Royaume Uni. Flowz propose aussi une option intégration avec identification automatisée de données (ediscovery). https://flowz.co.uk/services/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil Indica Création : 2013 Nationalité : Hollandaise Le module GDPR d’Indica est un outil dédié qui s’ajoute à la solution e-discovery. Il fournit une vue d’ensemble des données en indiquant où elles se trouvent et qui y a accès. La solution hérite des politiques d’accès, analyse tous les fichiers de données disponibles et fait une corrélation entre les données structurées et non structurées, reconnaît les attributs de données confidentielles (carte de crédit, téléphone, numéro sécurité sociale, IBAN, etc.). La solution permet également de créer plusieurs tableaux de bord pour différentes parties prenantes en fonction de leurs intérêts et de leurs droits d’accès. https://indica.nl/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
Benchmark outils DPO by TNP 29 Informatica Création : 1993 Nationalité : Américaine Solution de surveillance et de protection des données confidentielles et sensibles structurées et non structurées. Elle permet de classifier et de localiser les données à caractère personnel, d’analyser comment on y accède et d’établir un score de risque pour hiérarchiser les mesures correctives telles que le contrôle d’accès, le chiffrement, la tokenisation et le masquage des données. La plateforme surveille également les flux de données, les accès et les comportements et alerte l’organisation en cas d’événements inhabituels ou anormaux. La solution fournit l’anonymisation et la protection des données grâce à un masquage dynamique et persistant des données. https://www.informatica.com/fr/solutions/data-governance.html Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil Integris Création : 2016 Nationalité : Américaine Intégris est une solution intelligente qui en s’intégrant aux systèmes existants, permet d’avoir une visibilité sur la localisation des données personnelles dans le système d’information de l’entreprise et sur la façon dont elles sont utilisées. Cette solution permet de découvrir et de tagger les données personnelles structurées et non structurées. Cela contribue ainsi à gérer le consentement, les demandes d’exercice des droits des personnes concernées ainsi que les violations de données personnelles. La solution propose des pistes d’audit et permet d’évaluer les risques associés aux pratiques en matière de traitement des données personnelles. https://integris.io/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP NSP NSP NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP
Benchmark outils DPO by TNP 30 Global Suite GDPR Nationalité : Espagnol Global Suite est une suite logicielle développée par la société espagnole Audisec. L’outil, initialement créé pour répondre aux obligations de la loi organique sur la protection des données personnelles (LOPD) espagnole, a évolué vers une version de conformité GDPR. Global Suite GDPR est un logiciel conçu pour aider à la mise en œuvre, à la gestion dans le temps et à la maintenance en conformité à travers un processus simple, agile, automatisé et traçable. Il comprend une fonctionnalité de registre des traitements, d’audit, d’analyse des risques (identification, analyse et évaluation) et d’analyse d’impact ou de gestion des demandes d’exercice des droits des personnes. Solution en mode Saas ou on-premise. https://www.globalsuite.es/en/globalsuite-data-protection-gdpr/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP Gravicus Création : 2016 Nationalité : Britannique Osprey DPIA est une solution « user friendly » d’analyse d’impact sur la protection des données. Osprey DPIA guide l’utilisateur étape par étape à travers un questionnaire détaillé. Il s’agit d’une solution avec des caractéristiques d’approbation et de verrouillage à des fins de preuve. La prochaine version « annoncée » de l’outil utilisera une solution d’intelligence artificielle et de gestion des données afin de rechercher dans les documents et dans les sources, les données à caractère personnel structurées et non structurées en vue de produire des rapports détaillés sur les risques liés aux traitements. Osprey DPIA établira un lien vers Osprey Privacy pour conserver la preuve de l’information des personnes. Osprey DPIA et Privacy font partie d’une plateforme intelligente évolutive, capable de répondre à diverses problématiques : data clean, gestion des risques réglementaires, e-discovery, Due Diligence. https://gravicus.com/products/#dpia
Benchmark outils DPO by TNP 31 Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP MetaCompliance Création : 2006 Nationalité : Américaine MetaCompliance offre plusieurs solutions adaptées à la gestion de la cybersécurité et de la conformité d’une organisation, y compris au règlement général sur la protection des données personnelles. La solution propose des fonctionnalités de tenue du registre des activités de traitement, de catégorisation des risques, d’édition de politiques et de procédures relatives à la protection de la vie privée. Elle permet aussi de former les collaborateurs sur les enjeux du GDPR. Elle comprend des tableaux de bord de gestion, un suivi des tâches en temps réel et des rapports détaillés permettant aux responsables de la protection des données de suivre facilement les progrès de la mise en œuvre et de démontrer une responsabilité permanente. Solution en mode Saas. https://www.metacompliance.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP Nymity Privacy Compliance Software Création : 2002 Nationalité : Canadienne NYMITY innovating compliance est un logiciel avec trois modules : un logiciel de veille juridique, un logiciel d’aide à la conformité privacy et un logiciel d’automatisation de la mise en conformité (PIA, registre et évaluation générale de conformité de l’entreprise). Le logiciel d’aide à la conformité est un logiciel support pour les professionnels de la
Benchmark outils DPO by TNP 32 protection des données dans les organisations. Il propose des templates (mentions d’information, consentement, politiques internes, procédures internes, contrats, audits…), des pragmatic documents de conformité (spreadsheets, checklists, real world samples, etc.). Il permet aussi d’identifier et de quantifier les écarts de conformité dans un tableau de bord et d’évaluer les ressources nécessaires à la mise en conformité. Le logiciel de privacy management fonctionne sur la base d’un questionnaire et d’un système de workflow. Ces éléments permettent visent à identifier et à évaluer les risques. Sur cette base le logiciel édite un registre et un DPIA et lance des actions de mise en conformité : notification à la direction privacy, envoi de politiques / procédures internes aux métiers identifiés (ce sont les deux points les plus pertinents). De manière générale, cet outil permet de gérer la conformité vis-à-vis de plusieurs législations. https://www.nymity.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP Proteus-GDPReady Création : 2003 Nationalité : Américaine La solution fournit au DPO une suite d’outils prêts à l’emploi pour modéliser les processus métier, identifier les données sensibles et leur emplacement, cartographier les flux de données, réaliser des analyses d’impact sur la vie privée, mener des audits de conformité. Solution en mode SaaS en plusieurs versions et on-premise. https://proteuscyber.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP
Benchmark outils DPO by TNP 33 Prifender Création : 2015 Nationalité : Américaine Cet outil offre plusieurs fonctionnalités comme la recherche automatique de données personnelles structurées ou non structurées, la détection et le suivi des actions effectuées sur les données personnelles, le suivi des flux et des destinataires des données. Prifender enrichit les données en y associant des obligations et des métadonnées. L’outil permet de localiser les données personnelles et utilise l’intelligence artificielle pour répondre aux exigences du GDPR relatives aux droits des personnes telles que la documentation des traitements, la gestion des violations de données personnelles, la gestion des demandes d’exercice des droits. http://www.prifender.com/gdpr.php Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP PrivaCil (DPMS) Création : 2016 Nationalité : Française L’outil a fortement évolué depuis sa version précédente. Il est composé d’un module de base et de modules optionnels en fonction de la taille de l’organisation et de son secteur d’activité. L’outil propose les fonctionnalités suivantes : • Gestion de l’accountability • Gestion des analyses d’impact (DPIA) • Analyse des risques associés aux traitements • Gestion des notifications des violations de données • Workflows (RT, CIL/ DPO, RIL, DSI, RSSI, chefs de projet…) • Référentiel des traitements • Gestion des mentions types (contrats Sous-Traitants, documents, sites web…) • Audit des traitements Côté sécurité, la solution comprend un système d’authentification forte, les transmissions de données sont sécurisées à l’aide du protocole https, des tests d’intrusions sont
Benchmark outils DPO by TNP 34 régulièrement réalisés. La solution est disponible en mode Saas et On Premise sur demande. https://www.dpms.eu/logiciel-outil-GDPR-dpo/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil Real GDPR Software (RGS) RGS est une solution dont l’objectif est de faciliter, simplifier et maintenir la conformité au GDPR en faisant le lien entre les données décrites par les juristes dans le registre des traitements et la réalité technique opérationnelle des applications informatiques. La solution est présentée comme étant une boîte à outil du DPO comprenant des outils d’inventaire pour construire et maintenir le référentiel des données à caractère personnel et ceux permettant de d’exploiter ce référentiel afin de respecter les exigences du GDPR. RGS est doté des fonctionnalités de fiches et registres de traitement, de fiches individuelles pour la gestion des droits des personnes, d’inventaires des données et des processus techniques, d’anonymisation/pseudonymisation des données et d’audits. RGS Express a été conçue pour les PME, RGS Entreprise est une version modulable pour les grandes entreprises. La solution est conçue pour 5 à 10 utilisateurs et 3 à 10 serveurs, selon la version. http://www.rever.eu/fr/real-gdpr-software Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP
Benchmark outils DPO by TNP 35 SAS Global Data Management Création : 1976 Nationalité : Américaine SAS propose une plateforme conçue pour permettre aux organisations d’identifier, de gérer et de protéger l’ensemble de leurs données, d’évaluer le besoin de pseudonymisation et le risque associé aux traitements des données personnelles. La solution permet aux entreprises de pseudonymiser ou d’anonymiser les données et de surveiller les profils accédant aux données afin d’en garantir la confidentialité. https://www.sas.com/en_us/solutions/personal-data-protection.html Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP SecuPi Création : 2014 Nationalité : Américaine Suite logicielle avec des fonctionnalités de pseudonymisation et d’anonymisation, de gestion dynamique des consentements, de suppression des données, de surveillance en temps réel des accès aux données et des flux de données sensibles et réglementées. La plateforme comprend aussi une fonction d’audit des logs de connexion. Solution en mode Saas et on-premise. https://www.secupi.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP
Benchmark outils DPO by TNP 36 TrustArc Création : 1997 Nationalité : Américaine TrustArc est une solution flexible et facile d’utilisation de gestion des risques et de gestion de la conformité. Elle permet de mener des audits sur la base de questionnaires, de scanner les sites internet, de cartographier de manière visuelle les flux de données, de tenir le registre des activités de traitement, de conduire des analyses d’impact, de gérer le consentement des personnes et les demandes d’exercices des droits des personnes. L’outil comprend des pistes d’audit et une fonction de reporting. TrustArc propose des certifications TRUSTe et une solution de gestion des litiges. https://www.trustarc.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP Trust Hub Nationalité : Britannique Solution de support aux règlementations de protection des données et de la vie privée, notamment au GDPR. Plateforme présentée comme ultra sécurisée comportant notamment un contrôle en continu permettant de détecter les évènements anormaux sur les données et de disposer de pistes d’audit, avec une gestion fine des habilitations et des droits d’utilisation. L’outil a été conçu en intégrant les principes de Data Protection by Design. Solution modulable, qui propose des fonctionnalités de chiffrement et de pseudonymisation, de gestion des consentements, de portabilité, la solution comprend un dashboard et des fonctions de reporting. Les données sont présentées de manière visuelle et interactive faisant apparaitre les liens avec les personnes, les processus, leur localisation. Les personnes peuvent mettre leurs données à jour de manière intuitive (la solution est disponible sur mobile et tablette). Trust Hub est disponible en mode Saas (hébergement au Royaume Uni ou On Premise). https://www.trust-hub.com/privacy-hub/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP
Benchmark outils DPO by TNP 37 Usoft Création : 1987 Nationalité : Hollandaise Outil de gestion de la conformité comprenant un registre des traitements, il permet de catégoriser les données et de déterminer les traitements à risques, de documenter des PIA sur la base de questionnaires diffusés via l’outil, de profiter de dashboard et d’éditer des rapports. Les organisations peuvent configurer leur propre méthode de travail. https://www.usoft.com/solutions/smartpia Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Veritas Création : 1995 Nationalité : Américaine Avec la solution 360 Data management for GDPR, Veritas propose une approche intégrée de la conformité au GDPR. L’outil propose une cartographie et une classification des données personnelles structurées et non structurées, le suivi des accès à ces données, la diffusion de règles de sécurité sur les données et de suppression si nécessaire; La solution est dotée d’un puissant outil d’indexation permettant de découvrir les attributs implicites et explicites des données personnelles. La solution de Veritas vise aussi à répondre aux exigences de minimisation des données, de gestion des durées de conservation et de l’exercice des droits des personnes. https://www.veritas.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
Benchmark outils DPO by TNP 38 CNIL : Outil de PIA Logiciel open source de l’autorité française de protection des données destiné à faciliter la conduite et la formalisation d’analyses d’impact sur la protection des données telles que prévues par le GDPR et l’appropriation des guides PIA de la CNIL. L’outil comprend une interface didactique et une base documentaire. Le contenu peut être adapté au contexte de chaque organisation. L’outil est disponible en français et en anglais. https://www.cnil.fr/en/node/23952 MONARC MONARC est une solution open-source d’analyse de risques, qui peut être utilisée pour analyser les risques sur la protection des données. Il existe deux possibilités d’installer l’outil : MONARC BackOffice peut être déployé pour de grands groupes avec plusieurs entités. Chaque entité disposera de son instance MONARC (FrontOffice) avec plusieurs fonctionnalités comme la création d’un projet d’analyse de risques, import / export d’analyse de risques. Il permet une gestion fine des utilisateurs et une gestion des autorisations par projet. MONARC BackOffice permet d’avoir une gestion centralisée de toutes les instances d’analyse des risques effectuées au niveau des entités. http://monarc.lu https://github.com/monarc-project Outils gratuits
Benchmark outils DPO by TNP 39
www.tnpconsultants.com PA S S E Z À L’ H Y B R I D E P O U R G A G N E R E N P E R F O R M A N C E BUSINESS - TECHNOLOGY - ANALYTICS TNP est le premier cabinet de conseil hybride et indépendant. Nous associons expérience sectorielle et expertise fonctionnelle, innovations technologiques et savoir-faire traditionnels ; pour faire évoluer la culture, l’organisation, les usages de votre entreprise. Et faire de l’innovation et du digital de vrais leviers de performance opérationnelle.

Recommandé

Pmp risk chapter 11
Pmp risk chapter 11Pmp risk chapter 11
Pmp risk chapter 11Ahmed Elshaboury,PMP,LEED GA
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
3 time management
3 time management3 time management
3 time managementgianni raducci
 
9 reporting pilotage_donnees_sociales
9 reporting pilotage_donnees_sociales9 reporting pilotage_donnees_sociales
9 reporting pilotage_donnees_socialesLamia Hanine
 
Diagnostic d\'entreprise
Diagnostic d\'entrepriseDiagnostic d\'entreprise
Diagnostic d\'entrepriseLeader Plus
 
Identifying and managing benefits masterclass
Identifying and managing benefits masterclassIdentifying and managing benefits masterclass
Identifying and managing benefits masterclassAssociation for Project Management
 
Iter - Compte rendu de veille stratégique février à juillet 2011
Iter - Compte rendu de veille stratégique février à juillet 2011Iter - Compte rendu de veille stratégique février à juillet 2011
Iter - Compte rendu de veille stratégique février à juillet 2011Iter, coopérative de conseil en mobilités
 
Il Ciclo Di Vita Del Progetto
Il Ciclo Di Vita Del ProgettoIl Ciclo Di Vita Del Progetto
Il Ciclo Di Vita Del ProgettoAliante
 

Recommandé

Pmp risk chapter 11
Pmp risk chapter 11Pmp risk chapter 11
Pmp risk chapter 11Ahmed Elshaboury,PMP,LEED GA
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
3 time management
3 time management3 time management
3 time managementgianni raducci
 
9 reporting pilotage_donnees_sociales
9 reporting pilotage_donnees_sociales9 reporting pilotage_donnees_sociales
9 reporting pilotage_donnees_socialesLamia Hanine
 
Diagnostic d\'entreprise
Diagnostic d\'entrepriseDiagnostic d\'entreprise
Diagnostic d\'entrepriseLeader Plus
 
Identifying and managing benefits masterclass
Identifying and managing benefits masterclassIdentifying and managing benefits masterclass
Identifying and managing benefits masterclassAssociation for Project Management
 
Iter - Compte rendu de veille stratégique février à juillet 2011
Iter - Compte rendu de veille stratégique février à juillet 2011Iter - Compte rendu de veille stratégique février à juillet 2011
Iter - Compte rendu de veille stratégique février à juillet 2011Iter, coopérative de conseil en mobilités
 
Il Ciclo Di Vita Del Progetto
Il Ciclo Di Vita Del ProgettoIl Ciclo Di Vita Del Progetto
Il Ciclo Di Vita Del ProgettoAliante
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...PMI-Montréal
 
Présentation BPM CBOK V3
Présentation BPM CBOK V3Présentation BPM CBOK V3
Présentation BPM CBOK V3BPMSinfo
 
Modèle de maturité CMMi-DEV
Modèle de maturité CMMi-DEVModèle de maturité CMMi-DEV
Modèle de maturité CMMi-DEVPierre
 
Rse et gouvernance
Rse et gouvernanceRse et gouvernance
Rse et gouvernanceMohammed Reddam
 
Sto 3 Day Course Presentation
Sto 3 Day Course PresentationSto 3 Day Course Presentation
Sto 3 Day Course PresentationEdmund (Ted) Lister
 
Ready-to-use Documentation for ISO 18788 with Training Kit - Free Demo
Ready-to-use Documentation for ISO 18788 with Training Kit - Free DemoReady-to-use Documentation for ISO 18788 with Training Kit - Free Demo
Ready-to-use Documentation for ISO 18788 with Training Kit - Free DemoGlobal Manager Group
 
What is a PRINCE2 Project Management
What is a PRINCE2 Project ManagementWhat is a PRINCE2 Project Management
What is a PRINCE2 Project ManagementprojectingIT
 
Australian Plant Shutdown and Turnaround Forum
Australian Plant Shutdown and Turnaround ForumAustralian Plant Shutdown and Turnaround Forum
Australian Plant Shutdown and Turnaround ForumJosephVipin Rajan جوزيف راجان
 
PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...
PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...
PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...PECB
 
Grc governance, risk management & compliance
Grc governance, risk management & complianceGrc governance, risk management & compliance
Grc governance, risk management & complianceHR Globe Consulting
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Business Process Management Training | By ex-Deloitte & McKinsey Consultants
Business Process Management Training | By ex-Deloitte & McKinsey ConsultantsBusiness Process Management Training | By ex-Deloitte & McKinsey Consultants
Business Process Management Training | By ex-Deloitte & McKinsey ConsultantsAurelien Domont, MBA
 
Project Schedule Management - Estimate Activity Durations - PMP Workgroup
Project Schedule Management - Estimate Activity Durations - PMP WorkgroupProject Schedule Management - Estimate Activity Durations - PMP Workgroup
Project Schedule Management - Estimate Activity Durations - PMP WorkgroupTùng Trần Thanh
 
poster-agile framework to implement togaf with lean ix
poster-agile framework to implement togaf with lean ixposter-agile framework to implement togaf with lean ix
poster-agile framework to implement togaf with lean ixLaurent Nonne
 
IT PMO Charter (Linkedin)
IT PMO Charter (Linkedin)IT PMO Charter (Linkedin)
IT PMO Charter (Linkedin)jimmcdonaldpmp
 
Segregation of Duties
Segregation of DutiesSegregation of Duties
Segregation of DutiesPECB
 
Ultimate guide to_bpmn2_2016_edition_110716
Ultimate guide to_bpmn2_2016_edition_110716Ultimate guide to_bpmn2_2016_edition_110716
Ultimate guide to_bpmn2_2016_edition_110716yomito_2
 
Anatomy of a Business Process - How Work Gets Done
Anatomy of a Business Process - How Work Gets DoneAnatomy of a Business Process - How Work Gets Done
Anatomy of a Business Process - How Work Gets DoneDATAVERSITY
 
Managing risk with deliverables planning
Managing risk with deliverables planningManaging risk with deliverables planning
Managing risk with deliverables planningGlen Alleman
 
Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMELoïc Charpentier
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Andrea MARTELLETTI
 

Contenu connexe

Tendances

La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...PMI-Montréal
 
Présentation BPM CBOK V3
Présentation BPM CBOK V3Présentation BPM CBOK V3
Présentation BPM CBOK V3BPMSinfo
 
Modèle de maturité CMMi-DEV
Modèle de maturité CMMi-DEVModèle de maturité CMMi-DEV
Modèle de maturité CMMi-DEVPierre
 
Ready-to-use Documentation for ISO 18788 with Training Kit - Free Demo
Ready-to-use Documentation for ISO 18788 with Training Kit - Free DemoReady-to-use Documentation for ISO 18788 with Training Kit - Free Demo
Ready-to-use Documentation for ISO 18788 with Training Kit - Free DemoGlobal Manager Group
 
What is a PRINCE2 Project Management
What is a PRINCE2 Project ManagementWhat is a PRINCE2 Project Management
What is a PRINCE2 Project ManagementprojectingIT
 
PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...
PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...
PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...PECB
 
Grc governance, risk management & compliance
Grc governance, risk management & complianceGrc governance, risk management & compliance
Grc governance, risk management & complianceHR Globe Consulting
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Business Process Management Training | By ex-Deloitte & McKinsey Consultants
Business Process Management Training | By ex-Deloitte & McKinsey ConsultantsBusiness Process Management Training | By ex-Deloitte & McKinsey Consultants
Business Process Management Training | By ex-Deloitte & McKinsey ConsultantsAurelien Domont, MBA
 
Project Schedule Management - Estimate Activity Durations - PMP Workgroup
Project Schedule Management - Estimate Activity Durations - PMP WorkgroupProject Schedule Management - Estimate Activity Durations - PMP Workgroup
Project Schedule Management - Estimate Activity Durations - PMP WorkgroupTùng Trần Thanh
 
poster-agile framework to implement togaf with lean ix
poster-agile framework to implement togaf with lean ixposter-agile framework to implement togaf with lean ix
poster-agile framework to implement togaf with lean ixLaurent Nonne
 
IT PMO Charter (Linkedin)
IT PMO Charter (Linkedin)IT PMO Charter (Linkedin)
IT PMO Charter (Linkedin)jimmcdonaldpmp
 
Segregation of Duties
Segregation of DutiesSegregation of Duties
Segregation of DutiesPECB
 
Ultimate guide to_bpmn2_2016_edition_110716
Ultimate guide to_bpmn2_2016_edition_110716Ultimate guide to_bpmn2_2016_edition_110716
Ultimate guide to_bpmn2_2016_edition_110716yomito_2
 
Anatomy of a Business Process - How Work Gets Done
Anatomy of a Business Process - How Work Gets DoneAnatomy of a Business Process - How Work Gets Done
Anatomy of a Business Process - How Work Gets DoneDATAVERSITY
 
Managing risk with deliverables planning
Managing risk with deliverables planningManaging risk with deliverables planning
Managing risk with deliverables planningGlen Alleman
 

Tendances (20)

La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
 
Présentation BPM CBOK V3
Présentation BPM CBOK V3Présentation BPM CBOK V3
Présentation BPM CBOK V3
 
Modèle de maturité CMMi-DEV
Modèle de maturité CMMi-DEVModèle de maturité CMMi-DEV
Modèle de maturité CMMi-DEV
 
Rse et gouvernance
Rse et gouvernanceRse et gouvernance
Rse et gouvernance
 
Sto 3 Day Course Presentation
Sto 3 Day Course PresentationSto 3 Day Course Presentation
Sto 3 Day Course Presentation
 
Ready-to-use Documentation for ISO 18788 with Training Kit - Free Demo
Ready-to-use Documentation for ISO 18788 with Training Kit - Free DemoReady-to-use Documentation for ISO 18788 with Training Kit - Free Demo
Ready-to-use Documentation for ISO 18788 with Training Kit - Free Demo
 
What is a PRINCE2 Project Management
What is a PRINCE2 Project ManagementWhat is a PRINCE2 Project Management
What is a PRINCE2 Project Management
 
Australian Plant Shutdown and Turnaround Forum
Australian Plant Shutdown and Turnaround ForumAustralian Plant Shutdown and Turnaround Forum
Australian Plant Shutdown and Turnaround Forum
 
PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...
PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...
PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...
 
Grc governance, risk management & compliance
Grc governance, risk management & complianceGrc governance, risk management & compliance
Grc governance, risk management & compliance
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
Business Process Management Training | By ex-Deloitte & McKinsey Consultants
Business Process Management Training | By ex-Deloitte & McKinsey ConsultantsBusiness Process Management Training | By ex-Deloitte & McKinsey Consultants
Business Process Management Training | By ex-Deloitte & McKinsey Consultants
 
Project Schedule Management - Estimate Activity Durations - PMP Workgroup
Project Schedule Management - Estimate Activity Durations - PMP WorkgroupProject Schedule Management - Estimate Activity Durations - PMP Workgroup
Project Schedule Management - Estimate Activity Durations - PMP Workgroup
 
poster-agile framework to implement togaf with lean ix
poster-agile framework to implement togaf with lean ixposter-agile framework to implement togaf with lean ix
poster-agile framework to implement togaf with lean ix
 
IT PMO Charter (Linkedin)
IT PMO Charter (Linkedin)IT PMO Charter (Linkedin)
IT PMO Charter (Linkedin)
 
Segregation of Duties
Segregation of DutiesSegregation of Duties
Segregation of Duties
 
Ultimate guide to_bpmn2_2016_edition_110716
Ultimate guide to_bpmn2_2016_edition_110716Ultimate guide to_bpmn2_2016_edition_110716
Ultimate guide to_bpmn2_2016_edition_110716
 
Anatomy of a Business Process - How Work Gets Done
Anatomy of a Business Process - How Work Gets DoneAnatomy of a Business Process - How Work Gets Done
Anatomy of a Business Process - How Work Gets Done
 
Managing risk with deliverables planning
Managing risk with deliverables planningManaging risk with deliverables planning
Managing risk with deliverables planning
 

Similaire à Benchmark gdpr outils dpo

Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMELoïc Charpentier
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de SedonaAgence West
 
Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018cedric delberghe
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018cedric delberghe
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume Valcin
 
La solution externalisée pour les TPE ppt
La solution externalisée pour les TPE pptLa solution externalisée pour les TPE ppt
La solution externalisée pour les TPE pptMartin Dupuy
 
Mise en conformité d'un traitement de données de bout-en-bout
Mise en conformité d'un traitement de données de bout-en-boutMise en conformité d'un traitement de données de bout-en-bout
Mise en conformité d'un traitement de données de bout-en-boutAndrea MARTELLETTI
 
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Mailjet
 
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Sollan France
 
La solution GDPR externalisée pour les tpe ppt
La solution GDPR externalisée pour les tpe pptLa solution GDPR externalisée pour les tpe ppt
La solution GDPR externalisée pour les tpe pptJeanny LUCAS
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 
RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?OlivierDEKETER
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018David Blampain
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationPECB
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPDConverteo
 
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTRh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTProf. Jacques Folon (Ph.D)
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données PersonnellesSoft Computing
 

Similaire à Benchmark gdpr outils dpo (20)

Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PME
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona
 
Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018Rgpd simplifié - Présentation CGA du 22/05/2018
Rgpd simplifié - Présentation CGA du 22/05/2018
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
 
La solution externalisée pour les TPE ppt
La solution externalisée pour les TPE pptLa solution externalisée pour les TPE ppt
La solution externalisée pour les TPE ppt
 
Mise en conformité d'un traitement de données de bout-en-bout
Mise en conformité d'un traitement de données de bout-en-boutMise en conformité d'un traitement de données de bout-en-bout
Mise en conformité d'un traitement de données de bout-en-bout
 
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
Webinar Mailjet - RGPD & IT - Quelles actions pour assurer la protection des ...
 
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
 
La solution GDPR externalisée pour les tpe ppt
La solution GDPR externalisée pour les tpe pptLa solution GDPR externalisée pour les tpe ppt
La solution GDPR externalisée pour les tpe ppt
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’information
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
 
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTRh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
 
Offre dqm et reporting
Offre dqm et reportingOffre dqm et reporting
Offre dqm et reporting
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles
 

Benchmark gdpr outils dpo

  • 2.
  • 3. 3 Guy LETURCQ Directeur Général TNP Nous sommes heureux de vous présenter la seconde édition de notre livre blanc consacré aux outils du DPO. Dans un monde où tout s’accélère, TNP est un cabinet indépendant spécialisé dans la définition et la mise en place de programmes de transformation. Pour cela TNP cultive deux forces : • Des équipes multisectorielles et multispécialistes, • Des démarches outillées, s’appuyant sur la capitalisation de nos expériences C’est dans ce cadre que nous avons souhaité dresser le panorama des outils dédiés au DPO. Notre objectif est de proposer les solutions qui nous paraissent les plus adaptées aux contextes et aux besoins de nos clients, en toute indépendance. Des nombreuses missions que nous effectuons, il en ressort que mettre en place les bonnes pratiques de gouvernance des données est au cœur des enjeux GDPR. L’outillage du DPO est à penser dans un cadre plus global amenant plus d’agilité face au respect des nombreuses réglementations en vigueur ou à venir dans la plupart des secteurs d’activité. Vous souhaitant bonne lecture ! AVANT-PROPOS
  • 4. Benchmark outils DPO by TNP 4 INTRODUCTION Le Règlement Général sur la Protection des Données personnelles (GDPR ou GDPR) oblige les organisations à rendre compte des me- sures de conformité des traitements de données (accountability). Pour le G29, cela se traduit notamment par la mise en place d’une documentation des traitements, par l’application de procédures permettant d’identifier, de recenser et d’encadrer les traitements de données personnelles, d’évaluer les risques pour les personnes et de garantir et de contrôler l’application effective des mesures. « Compliance is no longer a pure theorical and legal issue, it has to be embedded into the business processes and to be managed in a dynamic way » Isabelle Falque Pierrotin, Présidente de la CNIL. Après avoir établi un diagnostic de conformité, référencé les trai- tements de données personnelles et avoir engagé les premières actions de remédiation, l’heure est à la réflexion sur les moyens de répondre à l’obligation de rendre compte (accountability) et sur les outils permettant de gérer le suivi et la documenta- tion des mesures mises en place. La plupart des organisations ont développé des tableaux Excel, mais leur niveau de détail rend leur compréhension difficile par les opérationnels ; leur maintien à jour sera de toute évidence une véritable gageure. Le Délégué à la Protection des données ou « DPO » (Data Protection Officer) quant à lui est au cœur de ce nouveau dispositif réglementaire. Véritable chef d’orchestre de la conformité , le DPO est notamment chargé d’informer et de conseiller le responsable de traitement ou le sous-traitant, de contrôler le respect du Règlement et du droit applicable en matière de pro- tection des données et de donner des conseils sur la réalisation d’une analyse d’impact, tout en contrôlant son application. Au-delà de ce qui est prévu par le Règlement, le responsable du traitement ou le sous-traitant peut demander à ce que le DPO ait la charge de la tenue du registre des traitements sous la responsabilité du responsable de traitement ou du sous-traitant. La protection des données s’inscrit dans un processus d’amélioration continue ; tout ne s’ar- rêtera pas au 25 mai 2018, bien au contraire ! C’est une nouvelle ère de la protection des données qui devrait s’ouvrir. « 25 May is the date the legislation takes effect but no business stands still. You will be expected to continue to identify and address emerging privacy and security risks in the weeks, months and years beyond May 2018 » Elizabeth DENHAM, Présidente de l’ICO.  À quelques semaines de l’échéance du 25 mai 2018 et au regard de l’existant dans les organisations, six constats s’imposent : • La première étape consiste à évaluer et comprendre le besoin de l’organisation au regard de sa taille, de la complexité de ses traitements, des ressources disponibles. • Dans les organisations complexes ou avec de nombreux traitements évolutifs, le Délégué à la Protection des Données pourra difficilement garantir le maintien, la documentation et le contrôle de la conformité dans le temps sans l’aide d’outils logiciels. Florence BONNET Directrice
  • 5. 5 • Selon les cas, le développement de solutions en interne ou l’adaptation d’une solution déjà utilisée sera un choix plus pertinent que le recours à un nouvel outil ; a contrario, dans d’autres cas, le choix d’une nouvelle solution sera moins coûteux que d’envisager l’évolution d’outils existants. • L’outil ne sera d’aucune utilité si personne ne sait ou ne veut l’utiliser ; les modalités de formation au nouvel outil sont donc un critère de sélection essentiel à prendre en consi- dération. • Bien que cela semble évident, rappelons qu’il n’existe pas d’outil miracle garantissant à lui seul, la conformité des traitements de données au GDPR. • Enfin, nous restons convaincus que le GDPR n’est que la face immergée de l’iceberg. Dans un contexte de « datafication » et de « data driven transformation », les organisations ne pourront répondre aux exigences réglementaires en cours ou à venir et toujours plus nombreuses sans l’aide de solutions intelligentes. Depuis notre premier benchmark sur les outils du DPO, les solutions GDPR se sont mul- tipliées sur le marché. L’offre est toujours très hétérogène avec des niveaux de maturité très variés et beaucoup d’outils sont encore en cours d’évolution. Les outils proposés peuvent être classés en trois grandes catégories : • Des outils conçus pour la gestion de la gouvernance, des risques et de la conformité (GRC) ou des outils répondant à des problématiques de sécurité que les éditeurs ont fait évoluer afin de les rendre « GDPR compatibles », • Des outils créés ex nihilo pour répondre à plusieurs exigences du GDPR et parti- culièrement à l’obligation de documenter les traitements et de gérer le suivi de la conformité, • Des outils existant et proposant une fonctionnalité particulièrement utile dans le contexte du GDPR (gestion du consentement, gestion des violations de données, gestion des droits des personnes…). Comme nous l’avions anticipé, la plupart des outils ont évolué et regroupent plusieurs fonctionnalités permettant d’alimenter le registre des traitements. Une partie des acteurs ont noué des partenariats afin de proposer des outils de registre avec des fonctionnalités de mapping des données. Un an après le premier benchmark de TNP sur les outils du DPO, il nous semblait impor- tant de l’actualiser. En raison du grand nombre de solutions GDPR, nous avons fait le choix de nous focaliser sur les outils permettant au DPO d’exercer sa mission, notam- ment de documenter et d’analyser les traitements, de tenir le registre et d’assurer la gestion et le suivi de la conformité (audit et workflow). Les solutions de sécurité et notamment de pseudonymisation et d’anonymisation n’ont donc pas été analysées dans cette nouvelle version, qui n’a d’ailleurs pas pour objectif d’être exhaustive. 5 Retrouvez sur le blog TNP l’article : http://blog.tnpconsultants.fr/on-ne-simprovise-pas-DPO/
  • 6. Benchmark outils DPO by TNP 6 Exigences GDPR Outil de registre Analyse des risques et DPIA Identifica- tion des données Workflow Sensibi- lisation/ Formation Gestion des droits des personnes Gestion du consente- ment Mise en place des mesures pour s'assurer et être en mesure de démontrer que le traitement est conforme (Art. 24) Contrôler le respect du règlement et de toutes règles de protection des données applicables (Art. 39) Tenir un registre des activités de traitement (Art. 30) Evaluer les risques et mener une analyse d’impact (Art. 25, 32, 35, 39) Gérer le consentement et les demandes d’exercice des droits des personnes concernées (Art. 7,12 à 21) Accountability(Art.24) Les outils sont classés par ordre alphabétique.
  • 7. Benchmark outils DPO by TNP 7 SOMMAIRE Avant-propos 3 Introduction 4 Outils testés ou ayant fait l’objet d’unedémonstrationdelapartdel’éditeur 11 Outils évalués sur la base de la documentation fournie par les éditeurs 19 Outils gratuits 35
  • 8. Benchmark outils DPO by TNP 8 Les critères d’évaluation des outils du DPO L’étude repose sur l’analyse de la documentation publiée et/ou fournie par l’éditeur et sur le test d’une partie des versions d’essai disponibles. Les outils qui n’ont pas pu être testés ou dont il n’a pas été possible d’avoir une démonstration sont décrits dans la troisième partie de ce document. Un certain nombre d’outils ont été volontairement exclus de l’analyse comparative : • En raison de leur cible spécifique cf. outils Open source tels que ESUP CIL (ESUP) et Open Registre CIL (Open Mairie), • Ou parce qu’il s’agissait d’outils de conformité ou d’analyse des risques dont le péri- mètre dépasse largement celui de GDPR et qui n’ont pas fait l’objet d’une évolution particulière. Nous avons indiqué la date de création de la société éditrice. Certains acteurs présents sur le marché de la protection des données depuis plusieurs années ont récemment scindé leur activité d’édition de logiciel, ce qui peut expliquer que la date de création soit relativement récente. NB : les critères relatifs aux niveaux sont cumulatifs (ex. le niveau 2 cumule les critères des niveaux 1 et 2). CRITÈRES LIÉS À LA NATURE DE L’OUTIL Ergonomie : facilité d’utilisation et lisibilité des représentations La prise en main de l’outil est difficile sans formation de l’utilisateur La prise en main de l’outil demande un minimum d’investissement de la part de l’utilisateur Utilisation confortable avec des interfaces graphiques claires et facile d’uti- lisation Interface utilisateur augmentée et offrant une plus-value à l’usage (user-friendly) Multilingue : outil / solution disponible en plusieurs langues Outil / solution disponible en une seule langue Outil / solution disponible en deux langues dont l’anglais Outil / solution disponible en quelques langues Outil / solution disponible en un grand nombre de langues
  • 9. Benchmark outils DPO by TNP 9 Multi-utilisateurs / multi-entité : gestion des accès, des droits et des habilitations Outil / solution avec un compte utilisateur unique Outil /solution avec plusieurs comptes disposant des mêmes droits Outil /solution avec plusieurs comptes avec une gestion fine des habilita- tions au sein d’une même entité Outil /solution avec plusieurs comptes avec une gestion fine des habilita- tions permettant de gérer plusieurs entités et des utilisateurs externes à l’organisation Déploiement (On-premise ou SaaS) Outil sous format Excel Outil /solution avec un déploiement en mode SaaS uniquement Outil /solution avec un déploiement en mode on-premise uniquement Outil / solution avec un déploiement en mode SaaS ou on-premise au choix Confidentialité Transparence sur le stockage et l’utilisation des données utilisateurs ou des informations Stockage et transmission sécurisée des données Stockage dans un pays offrant un niveau adéquat de protection des don- nées Choix et gestion du stockage par l’utilisateur (possible déploiement interne) Évolution de l’outil Support et maintenance de l’existant, déploiement de correctifs Mises à jour régulières et amélioration de l’outil Prise en compte des retours utilisateurs et des exigences « métier » Capacité à prendre en compte sans délai l’évolution de l’état de l’art CRITÈRES LIÉS AUX FONCTIONNALITÉS DE L’OUTIL Registre des activités de traitement : capacité de l’outil / solution à produire le registre des activités de traitements conforme à l’article 30 du GDPR Outil / solution dotée d’une fonctionnalité de création de fiches de traite- ment sans assistance Outil / solution dotée d’une fonctionnalité de création de fiches de traite- ment avec assistance Outil / solution dotée d’une fonctionnalité de création automatique de fiches de traitement Outil / solution dotée d’une fonctionnalité de création automatique et par importation de fiches de traitement
  • 10. Cartographie des données Outil / solution dotée d’une fonctionnalité de cartographie basique Outil / solution dotée d’une fonctionnalité de cartographie avec assistance (templates disponibles) Outil / solution dotée d’une fonctionnalité de cartographie automatisée des données structurées Outil / solution dotée d’une fonctionnalité de cartographie automatisée des données non structurées DPIA / PIA Outil / solution dotée d’une fonctionnalité de DPIA/PIA ne permettant pas de répondre aux exigences du GDPR Outil / solution dotée d’une fonctionnalité de DPIA/PIA basé sur un ques- tionnaire prédéfini Outil / solution dotée d’une fonctionnalité de DPIA/PIA basé sur plusieurs modèles de questionnaires prédéfinis et paramétrables Outil / solution dotée d’une fonctionnalité de DPIA/PIA répondant aux exi- gences du GDPR (art. 35) Workflow et reporting Méthode manuelle de création d’utilisateurs et d’affectation des tâches Gestion des évènements et traçabilité des workflows terminés Routage des workflows vers les services concernés, gestion des partici- pants, statistiques prêtes à l’emploi Tableau de bord, rapport d’activités, workflow et gestion de l’état d’avan- cement Gestion des droits des personnes Fonctionnalité basique de gestion des droits des personnes sans assis- tance Fonctionnalité basique de gestion des droits des personnes avec assis- tance Fonctionnalité de gestion automatisée des droits des personnes Fonctionnalité de gestion automatisée des droits des personnes et suivi des actions Gestion du consentement Fonctionnalité basique de gestion du consentement sur la base des infor- mations renseignées sans assistance Fonctionnalitédegestionduconsentementfacilitéeparlemappingdesdonnées Fonctionnalité de gestion automatisée du consentement (mapping des données et formulaires dédiés) Fonctionnalité de gestion automatisée du consentement et suivi des actions 10
  • 11. Benchmark outils DPO by TNP 11 CAST Création : 1995 Nationalité : Américaine Castsoftware est un éditeur de solutions d’analytics. L’outil permet de mener une analyse détaillée du code source des applications et de formater les informations extraites dans des outils d’aide à la décision. La solution permet d’assurer un inventaire automatique des traitements informatiques manipulant des données personnelles et d’identifier les risques de sécurité et de robustesse vis-à-vis de ces traitements. Elle permet en particulier de mettre en lumière les transactions « inconnues et inattendues » dans les applications ou sous-systèmes complexes (multiprofils et multiusages). Cet inventaire et les éléments de caractérisation généraux et des risques permettent de construire automatiquement une grande partie du registre des traitements et outille le DPO dans l’analyse de ces don- nées pour consolider la stratégie de mise en conformité. La solution CAST est particulièrement adaptée aux environnements IT complexes avec des centaines d’applications. Elle propose une radiographie en profondeur multilangage, multicouches et multitechno- logies des risques structurels des applications à traiter prioritairement dans la stratégie de mise en conformité en raison de la densité de données personnelles traitées. L’ensemble de ces informations doit alimenter un outil de travail du DPO afin de définir le registre. La solution permet de s’assurer du maintien de la conformité dans le temps. L’outil permet de mettre en place un plan d’actions associé à la cartographie des données. Il propose également un index des données critiques permettant d‘évaluer la vulnérabilité et la robustesse du chemin (Data Risk Index). http://www.castsoftware.com/use-cases/security-data-safety/gdpr Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil Outils testés ou ayant fait l’objet d’une démonstration de la part de l’éditeur
  • 12. Benchmark outils DPO by TNP 12 DFaKto Création : 2000 Nationalité : Belge La solution permet de gérer la phase de diagnostic, d’implémentation (projet) et de main- tien en conformité. DFakto propose une plateforme Data Driven avec deux modules com- plémentaires : • GDPR360 PILOT gère les tâches et les risques identifiés dans les DPIA, ainsi que les mises à jour des DPIA. • GDPR360 ANALYTICS permet de suivre de manière régulière les actions effectuées sur les données sensibles. Ainsi DFakto offre une historisation combinée et systéma- tique de toutes les actions impliquant des données et permet ainsi un audit complet des tâches et actions, en contrôle la conformité et permet de planifier les actions correctives. L’outil produit également les registres de traitements au sens du GDPR. La tarification repose sur un set up et une licence mensuelle. Les prochaines versions devraient comprendre des options de ticketing, de gestion des demandes d’exercice des droits. https://www.dfakto.com/data-driven-risk-compliance-gdpr-2/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil DPOrganizer Création : 2015 Nationalité : Suédoise L’outil est simple et agréable à utiliser et consiste principalement en un registre des trai- tements. Il permet de visualiser les informations par strates et de faire des recherches par filtres. Il permet de cartographier et de documenter les activités liées aux traitements avec une représentation géographique des flux de données, des transferts vers un pays tiers ou vers des destinataires et donc de la chaine de responsabilité. DPOrganizer per- met notamment de documenter les fiches de traitements, les informations relatives aux sous-traitants et aux sous-traitants secondaires, les lieux de stockage des données, les mesures de sécurité, autant d’informations utiles à la réalisation d’analyses d’impact. Dans le courant du deuxième trimestre 2018, l’outil sera doté d’une fonctionnalité de gestion des violations de données et d’audit et pourra interagir avec d’autres systèmes à travers des API ouvertes. https://www.dporganizer.com/
  • 13. Benchmark outils DPO by TNP 13 Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil EGERIE SOFTWARE : Privacy Manager Création : 2015 (développement depuis 2013 société FIDENS) Nationalité : Française EGERIE Software, expert des outillages collaboratif de conformité et de cybersécurité, propose depuis plusieurs années maintenant son logiciel Privacy Manager (v2.4). Privacy Manager assure les fonctions clés suivantes : • La gestion des registres et des fiches de traitement, • La pré-catégorisation des risques sur la Protection des Données, • La génération automatique de rapports et un dashboard, • Le pilotage global de la mise en conformité au GDPR, • La Cartographie et le suivi des mesures juridiques et techniques. Pour bénéficier d’une analyse d’impact comprenant une analyse méthodique des risques, Privacy Manager renvoie à la solution Risk Manager via un lien. Le logiciel Risk Manager a comme fonctions clés la modélisation et la cartographie des risques, l’évaluation et l’analyse d’impact et la proposition de mesures de remédiations. EGERIE travaille en permanence à l’amélioration de ses solutions en prenant en compte le retour des experts du domaine et les demandes des clients (club utilisateurs). La prochaine version (S1 2018) intégrera la personnalisation complète d’une fiche de trai- tement (personnalisation et modification de l’ensemble des corps communs d’une fiche) et un service de Workflow permettant au DPO de suivre le processus de création, valida- tion et acceptation des traitements. https://www.egerie-software.com/fr/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
  • 14. Benchmark outils DPO by TNP 14 IMB StoredIQ Création : 1924 Nationalité : Américaine IBM propose une suite logicielle dédiée à la conformité au GDPR. Cette solution com- posée de plusieurs fonctionnalités s’articule autour de trois axes, à savoir la donnée, la gouvernance et la sécurité. StoredIQI, Analyser et Guardium offrent des fonctionnalités d’exploration, d’identification et de classification des données structurées et non structu- rées en se connectant aux API du système de l’entreprise sur la base d’une bibliothèque de filtres prédéfinis par l’auteur de la recherche. Il est ensuite possible de réaliser des ac- tions sur les données (suppression, mise en quarantaine, déplacement) à l’aide d’autres modules et de suivre les actions via des tableaux de bord et des changelogs. La solution étant modulaire, il est possible d’interfacer StoredIQ notamment avec Information Ana- lyzer (pour le traitement des données structurées) ou avec Optim (pour réaliser d’autres actions d’anonymisation et d’effacement des données). IMB StoredIQ s’interface avec la solution ORYGA de BMI System pour l’identification des données non structurées et les traitements associés. https://www-03.ibm.com/software/products/fr/storediq-suite Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil Kensu : Création : 2015 Nationalité : Américaine Data Activity Manager est une solution intelligente de GRC qui se connecte aux activités du Data Scientist et apprend automatiquement. DAM fournit des tableaux de bord intelligents et des rapports à la volée et permet ainsi de contrôler la source des données, la destination des données et plus généralement l’activité relative aux données. DAM peut être déployé en mode SaaS ou on-premise. https://www.kensu.io/
  • 15. Benchmark outils DPO by TNP 15 Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP NayaEdge GDPR by Knovos Création : 2002 Nationalité : Américaine NayaEdge est présentée comme une solution de gestion de la conformité dont les fonctionnalités permettent de répondre à une partie des exigences du GDPR. La solution fournit une vue des données traitées dans l’organisation, des applicatifs, et des processus de gestion des informations. Elle est dotée de plusieurs fonctionnalités comme l’identification et la classification des données structurées et non structurées à l’aide d’une fonctionnalité de recherche avancée. La solution propose des fonctionnalités de gestion des droits des personnes (portabilité, effacement) grâce à des fonctions de découverte, de purge ou d’export des données relatives à une personne concernée. https://www.knovos.com/solutions/information-governance-compliance-solutions/gdpr- nayaedge Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP NSP NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA
  • 16. Benchmark outils DPO by TNP 16 OneTrust Création : 2016 Nationalité : Américaine Plateforme multilingue et multiutilisateurs avec trois éditions : Standard, Avancé et Enter- prise. Il existe également une version gratuite avec des fonctionnalités limitées. One Trust est l’outil le plus massivement adopté à l’heure actuelle et semble être celui qui répond de la manière la plus exhaustive aux attentes du DPO. Un soin particulier est apporté à l’UX et l’éditeur tient compte des retours utilisateurs pour enrichir les versions successives. Son approche de GDPR permet un accompagnement approfondi de la mise en conformité, sans nécessiter de déploiement trop intrusif au sein des métiers. Selon l’offre choisie, il peut être déployé sur un Cloud US, un Cloud européen, un Cloud privé ou on-premise. L’outil comprend un registre des traitements, permet d’automatiser les analyses d’impact et la cartographie des données. Il permet également de gérer la conformité des sites In- ternet, les droits des personnes (portail paramétrable pour que les personnes concernées formulent et transmettent leurs demandes avec un système de double authentification par mail). Toutes ces tâches sont réalisées grâce à des questionnaires que l’on peut adap- ter à ses propres besoins. Il est possible d’importer une liste de traitement ou un registre, mais cela nécessite l’intervention de l’éditeur. Un module de collecte et de gestion du consentement permettra prochainement de suivre le consentement pour chaque traitement de donnée, à la manière d’une transaction iden- tifiée par un token et accompagnée d’un reçu. L’outil a aussi une fonction de reporting. L’outil offre une gestion fine des droits d’utilisation. Chaque utilisateur peut être rattaché à n’importe quelle entité ou département défini dans l’outil et aura un accès aux projets et traitements correspondants. Des utilisateurs externes peuvent être créés, avec un ac- cès temporaire à l’outil et des habilitations en fonction de leur rôle. Enfin, les utilisateurs invités n’ont accès qu’à un questionnaire ou un projet donné auquel ils accèdent par une URL. Il est aussi possible de modifier les intitulés des rubriques selon la terminologie employée dans l’entreprise. En revanche, la solution fonctionne selon une logique qui lui est propre et qui n’est pas forcément adaptée aux processus existants dans l’organisation. Attention aussi à ne pas négliger le temps nécessaire au paramétrage de l’outil avant de com- mencer à y intégrer des données. OneTrust propose enfin une formation certifiante d’une journée à l’outil. https://onetrust.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
  • 17. Benchmark outils DPO by TNP 17 ORYGA (BMI System) Création : 2004 Nationalité : Française Solution de gestion complète de gouvernance de la protection des données à caractère personnel pour la mise en œuvre et le maintien en conformité au GDPR adaptée aux grosses PME et aux grandes organisations. La solution fonctionne en mode Saas (Set Up et abonnement mensuel ; il existe aussi une option Oryga Corporate sur devis). ORYGA est évolutive et permet d’intégrer les mises à jour réglementaires et les dernières technologies de gestion des données personnelles. Outre l’indispensable registre des ac- tivités de traitement (par entité juridique et par pays), ORYGA permet de disposer d’indica- teurs et de tableaux de bord (dans sa version actuelle 22 indicateurs visualisables dans 5 tableaux de bord), d’effectuer des analyses d’impact sur la base du référentiel EBIOS adapté par le CNIL et des audits, de suivre la conformité, de gérer les demandes d’exer- cice des droits et les violations de données personnelles. L’outil permet d’importer des fiches de traitement et il permet aussi de créer des fiches de traitements modulables qui génèrent des alertes dynamiques en cas de risques élevés nécessitant une analyse d’impact. L’outil donne une vue générale des traitements avec un filtre par registre, par DPO, par pays ou par statut du traitement. La grande force de BMI System est de pouvoir proposer une cartographie des données (partenariat avec IBM), sur la base de filtres métiers de données personnelles mais aus- si d’informations contextuelles liées aux contraintes réglementaires du secteur d’activité (santé/pharma, banque, assurance…). Il est ainsi possible, sur un périmètre ciblé, de réconcilier les données inventoriées dans le registre et celles cartographiées avec l’outil. Une prochaine version de la solution devrait permettre d’alimenter le Registre de manière automatisée grâce à l’identification des données dans le système d’information. Dans sa version actuelle, l’outil ne propose pas de base documentaire. Côté sécurité, la solution impose 2 niveaux d’authentification avant d’accéder au portail, les Backups sont chiffrés et le client a la possibilité de se connecter par VPN. http://www.bmi-system.com/oryga-gdpr/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
  • 18. Benchmark outils DPO by TNP 18 Privacy perfect Création : 2013 Nationalité : Hollandaise PrivacyPerfect fournit un flux entre les quatre exigences requises par le GDPR : évaluations de l’impact sur la protection des données, consultations préalables, traitements (y compris les transferts) et violations des données (y compris les notifications d’infractions aux autorités de contrôle et aux personnes concernées). L’outil prend en charge les obligations communes des responsables de traitement et des sous-traitants, de respecter les droits des personnes concernées et de répondre aux requêtes des autorités de contrôle. Il permet à votre organisation de saisir et d’évaluer les données sensibles pertinentes et de les promouvoir par le biais de « l’entonnoir de confidentialité » tout en surveillant le flux de travail. https://www.privacyperfect.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil ServiceNow Création : 2004 Nationalité : Américaine Plateforme de GRC (gouvernance, gestion des risques et conformité) et de workflow adaptée à la gestion de la protection des données. Prérequis : création des actifs informationnels dans la CMDB Lasolutionpermetdecréerdesanalysesd’impactsurlavieprivée(élémentsdéclencheurs), de documenter des audits, de programmer l’envoi de questionnaires aux sous-traitants, de gérer les incidents de sécurité entraînant une violation des données personnelles. Elle permet aussi de gérer le cycle de vie des politiques en matière de protection des données personnelles. ServiceNow permet de faire un lien entre les processus (exemple : analyse d’impacts et gestion des violations de données). La plateforme ServiceNow permet d’attribuer et de notifier des actions et d’en faire le suivi (par entités, processus, systèmes, informations, projets…) : pour chaque écart, une tâche de remédiation est automatiquement créée et affectée au responsable concerné. La solution dispose d’un tableau de bord permettant au DPO d’avoir une vue de la conformité et des risques et d’éditer des rapports.
  • 19. Benchmark outils DPO by TNP 19 TESI GRC Création : 1995 Nationalité : Italienne Cet éditeur de logiciel propose un outil GDPR issu d’une suite logicielle de GRC. La solution se veut très competitive en termes de qualité prix. Elle est entièrement paramétrable, il permet d’importer des référentiels et d’adapter l’outil au contexte de l’organisation. La solution GDPR de TESI est déjà déployée dans plusieurs grandes entreprises en Italie. Solution de support à la conformité GDPR avec un workflow permettant de structurer, automatiser et exécuter l’approche GDPR au sein d’un groupe ou d’une grande structure. L’outil permet d’envoyer des tâches, des notifications et des questionnaires automatisés aux différents acteurs au sein d’un même groupe et de suivre leur état d’avancement. Parmi les fonctionnalités de registre, l’outil permet de mener des analyses de risques macro relatives à la sécurité et à la conformité des traitements et de prévoir des mesures de sécurité adaptées pour atténuer les risques. L’outil est adapté aux structures complexes et permet de répondre aux besoins suivants: • Bénéficier d’une gestion collaborative basée sur un workflow capable d’engager quand cela est nécessaire les rôles qui ont des responsabilités • Mener des analyses (DPIA) sur la base de son propre modèle ou de modèles présents dans la bibliothèque Elle propose enfin la mise à disposition de la personne concernée d’un espace lui permettant d’avoir accès aux données la concernant et d’exercer ses droits sur les données personnelles. Ainsi, ServiceNow, à travers ses fonctionnalités et ses différentes applications permet entre autres de : • Gérer les demandes d’exercice des droits des personnes • Mettre en place le registre des données et des traitements • Gérer les violations de données conformément aux exigences du GDPR • Gérer les risques fournisseurs https://www.servicenow.com/products/governance-risk-and-compliance.html Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
  • 20. Benchmark outils DPO by TNP 20 Advice PrIMe Création : 2003 Nationalité : Allemande Outil de registre en mode Saas avec client local ou plateforme Web, qui permet de documenter les activités liées aux traitements de données au moyen de procédures et de politiques fournies par l’outil. L’outil met à disposition des modèles de questionnaires, des listes de mesures, des templates de rapport et de formulaires qui permettent de gérer la conformité selon divers référentiels (GDPR, ISO 27001 ou HIPPA). Il est possible d’utiliser la solution pour former les collaborateurs. C’est un outil multifonctionnel et personnalisable. Il permet aussi de paramétrer des accès à des relais internes ou à des auditeurs externes. https://www.2b-advice.com/LLC-en/home Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP NSP Outils évalués sur la base de la documentation fournie par les éditeurs Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP • Gérer l’approche et les processus relatifs à la Privacy by Design et la Privacy by Default • Mettre en place une gestion et une gouvernance des sous-traitants, de la qualification du sous-traitant jusqu’à l’audit des mesures de conformité et de sécurité • Gérer le registre des requêtes des personnes concernées • Gérer le registre des incidents et des violations de données https://tesisquare.com/it/gdpr_it/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
  • 21. Benchmark outils DPO by TNP 21 Actecil Privacy Management Création : 2007 Nationalité : Française L’application APM permet de réaliser la gestion et le suivi de vos traitements de données à caractère personnel, d’identifier le niveau de conformité et d’évaluer les risques associés aux traitements. APM dispose de plusieurs fonctionnalités comme la tenue du registre des traitements et comprend des modèles de fiches de traitements et permet de documenter des analyses d’impact sur la protection des données. La solution comprend une fonctionnalité de workflow et un gestionnaire de tâches. APM permet ainsi de générer des tableaux à filtres multiples, des statistiques visuelles. APM est déployé» sous trois solutions : APM - SaaS, APM – SaaS isolé ou APM – Black Box. https://actecil.fr/actecil-privacy-manager-apm/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP NSP NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP AvePoint Création : 2001 Nationalité : Américaine AvePoint propose plusieurs solutions, notamment une solution de gestion de la conformité à diverses réglementations y compris au GDPR (Data Governance Solution). AvePoint Compliance Guardian est un outil de suivi des actions et des mesures de protection mises en place. La solution est dotée de fonctionnalités de découverte des données selon leur emplacement et leur type et de classification, de prévention de leur perte et de gestion des incidents. AvePoint Compliance Guardian propose des rapports et tableaux de bord personnalisés, déléguant automatiquement les violations aux personnes autorisées pour les résoudre rapidement. La solution propose également un outil d’analyse d’impact sur la vie privée (AvePoint’s Privacy Impact Assessment) qui permet de sélectionner des questions d’évaluation ou de créer ses propres questions. L’utilisateur peut aussi exporter des plans d’actions. https://www.avepoint.com/solutions/compliance/
  • 22. Benchmark outils DPO by TNP 22 Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil BigID Création : 2016 Nationalité : Américaine Les solutions de BigID permettent notamment de cartographier les données en automatisant le processus de collecte et de contextualisation des flux de données dans l’organisation avec un dashboard faisant apparaître la localisation des données structurées ou non structurées. BigID est capable de découvrir toutes les données personnelles sensibles de vos environnements, établir des profils d’identité. BigID dispose des fonctionnalités de gestion des droits des personnes, de gestion du consentement et de gestion des violations de données. https://bigid.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP Bizoneo Nationalité : Irlandaise Bizoneo est une solution d’aide à la gestion du GDPR permettant de créer et d’alimenter un registre des traitements et de mener des audits de conformité au moyen de questionnaires. L’outil permet d’évaluer la sensibilité des données, d’évaluer les risques liés aux traitements et de mener des DPIA, de gérer l’exercice des droits des personnes, de programmer et de suivre l’avancement de sessions de formation, de générer des templates et des rapports. Il est aussi possible de créer et d’adresser des questionnaires à destination des sous-traitants avec un système d’identification.
  • 23. Benchmark outils DPO by TNP 23 Les clients peuvent se connecter si besoin dans leur propre univers (client final). L’outil dispose d’une fonction de piste d’audit des connexions et de chiffrement des flux. Solution en mode Saas dont la tarification comprend un set up et un abonnement fonction du nombre d’utilisateurs. Bizoneo propose aussi un mode On-premise https://www.bizoneo.eu/home/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP Captain DPO (Jamespot) Création : 2005 Nationalité : Française Captain DPO est une plateforme collaborative pour DPO développée et commercialisée par Jamespot, un éditeur de logiciels spécialisé dans les solutions collaboratives et so- ciales. La solution propose des tableaux de bord dynamique et des KPI, des registres, elle permet de documenter une cartographie des applications, propose une gestion des de- mandes d’exercices des droits, une gestion des alertes et de gestion de crise, une gestion documentaire avec versioning. Concernant les DPIA, Captain DPO embarque le logiciel de la CNIL. Solution disponible en mode Saas. https://www.captaindpo.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP
  • 24. Benchmark outils DPO by TNP 24 Connexica : GDPR Data Discovery and Management Création : 2006 Nationalité : Britannique Connexica a développé une solution « self service » dédiée à la gestion de la conformité GDPR, disponible On Premise ou dans le cloud. La solution se veut flexible et adaptable aux besoins les plus simples comme les plus complexes comme la modélisation prédictive. Connexica propose un mapping des données structurées et non structurées, la possibilité de créer un inventaire des données (types de données, propriétaire des données, base légale des traitements, durées de conservation, localisation des données...) et un reporting. La solution permet aussi d’automatiser un certain nombre de tâche comme des alertes en cas de dépassement des durées de conservation ou la gestion des droits des personnes. La solution permet d’avoir une seule et même vision de l’état des données relatives à une personne déterminée. https://www.connexica.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP Collibra Création : 2008 Nationalité : Américaine Plateforme de gouvernance et de gestion automatisée des données avec un inventaire centralisé des données. Collibra permet de cartographier les données, de définir les règles associées à chaque catégorie de données et de suivre les actions sur celles-ci dans l’ensemble des processus métiers. La solution propose un dashboard permettant de suivre les projets et les flux de données qui y sont associés et une fonction de reporting. https://www.collibra.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
  • 25. Benchmark outils DPO by TNP 25 Data Gravity Création : 2012 Nationalité : Américaine Data Gravity permet à une entreprise d’avoir une vue des données et de leurs utilisateurs. La solution permet par exemple d’identifier des données sensibles telles que les numéros de carte de crédit et de sécurité sociale, de détecter tout comportement suspect et d’alerter les responsables. Des tableaux de bord intégrés permettent de comprendre les schémas d’accès aux données et il est possible d’enregistrer un évènement dans son journal système. https://datagravity.org/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil DataGuise Création : 2007 Nationalité : Américaine Solution de « Data Centric Audit » pour Hadoop grâce à laquelle une organisation « data driven » peut découvrir et classer, auditer et contrôler en temps réel des données structurées et non structurées situées dans ses répertoires. Il s’agit d’une simple plateforme disponible On Premise ou dans le Cloud. Dataguise DgSecure permet de déterminer les règles associées à la classification des données. Les tableaux de bord et rapports visuels permettent de déterminer la localisation des données, qui accède aux données et à quel moment, si les données sont chiffrées ou pas. Un système d’alerte se déclenche chaque fois que des données sensibles sont découvertes. La plate-forme offre une méthode automatisée de chiffrement des informations dans des référentiels et permet de contrôler la conformité aux exigences réglementaires et aux règles de confidentialité. Dataguise peut être déployée dans des environnements distribués. https://www.dataguise.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
  • 26. Benchmark outils DPO by TNP 26 D.Day Labs (DataSense) Création : 2016 Nationalité : Israélienne Solution d’intelligence articifielle « Out of the box » destinée à la gestion automatisée des données structurées et non structurées On Premise ou dans le Cloud. La solution est capable de cartographier et de classifier les données, de déterminer qui a accès aux données, d’appliquer une politique de sécurité et de répondre activement aux menaces internes et externes en temps réel. DataSense permet une évaluation des risques et de la conformité pouvant donner lieu à des mesures correctives automatisées en cas de violation. La solution garantit une approche intégrative de la gestion des données et de la conformité au moyen d’une seule et même plate-forme. Elle comprend aussi une fonctionnalité de reporting avec cartes de chaleur et analyse des risques http://ddaylabs.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP DPM by Lexagone Création : 2006 Nationalité : Française Solution de tenue du registre. L’outil a évolué vers un registre des traitements enrichi et dynamique sous la forme d’une solution collaborative avec un versionnage des traitements et un niveau de sécurité amélioré par rapport à la version précédente. Un tableau de bord des traitements permet de visualiser en temps réel l’avancement de la saisie des traitements et de les exporter au format HTML ou PDF. Il permet de faire un suivi des contrats, de joindre des documents. DPM ne nécessite pas d’installation. Il dispose de droits d’accès avec filtres. L’outil propose également des vidéos, de la documentation et des sessions de prise en main. Côté sécurité, les accès peuvent êtres tracés et les échanges se font via https. DPM propose aussi une solution on-premise. https://dataprivacymanager.com/le-logiciel-dpm/
  • 27. Benchmark outils DPO by TNP 27 Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP Exonar Création : 2007 Nationalité : Britannique Plateforme permettant d’identifier les informations sensibles, qu’il s’agisse de données structurées ou non structurées et de les classer en catégories en fonction de l’endroit où elles se trouvent dans le système d’information. La solution identifie également les fichiers contenant des mots de passe et des données confidentielles et surveille les données créées, déplacées ou supprimées. La plateforme permet d’attribuer des actions aux propriétaires de données, tout en permettant aux entreprises d’automatiser l’application des politiques. Il est ainsi possible d’identifier et de localiser les données en cas de demande de portabilité ou de demande d’exercice des droits des personnes. La solution comprend une fonction de reporting. Solution en mode Saas ou on-premise. https://www.exonar.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP Flowz Nationalité : Britannique Solution Saas de gestion de la conformité GDPR développée par APIRA, un éditeur de solution de gestion de la gouvernance de l’information dans le secteur de la santé. Flowz est une solution adaptable au contexte de l’organisation.
  • 28. Benchmark outils DPO by TNP 28 Elle permet de tenir le registre, de gérer le workflow, d’évaluer les risques de manière automatique (Iso 27005). La solution peut importer les fichiers excel. La prochaine version comprendra des fonctionnalités de gestion de l’exercice des droits et de DPIA. Cet éditeur propose une formation à l’outil. Flowz bénéficie des retours d’expériences terrain via son groupe d’utilisateurs. La solution peut être gérée via le SSO de l’organisation. La tarification dépend du nombre d’actifs enregistrés. La plateforme est hébergée au Royaume Uni. Flowz propose aussi une option intégration avec identification automatisée de données (ediscovery). https://flowz.co.uk/services/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil Indica Création : 2013 Nationalité : Hollandaise Le module GDPR d’Indica est un outil dédié qui s’ajoute à la solution e-discovery. Il fournit une vue d’ensemble des données en indiquant où elles se trouvent et qui y a accès. La solution hérite des politiques d’accès, analyse tous les fichiers de données disponibles et fait une corrélation entre les données structurées et non structurées, reconnaît les attributs de données confidentielles (carte de crédit, téléphone, numéro sécurité sociale, IBAN, etc.). La solution permet également de créer plusieurs tableaux de bord pour différentes parties prenantes en fonction de leurs intérêts et de leurs droits d’accès. https://indica.nl/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
  • 29. Benchmark outils DPO by TNP 29 Informatica Création : 1993 Nationalité : Américaine Solution de surveillance et de protection des données confidentielles et sensibles structurées et non structurées. Elle permet de classifier et de localiser les données à caractère personnel, d’analyser comment on y accède et d’établir un score de risque pour hiérarchiser les mesures correctives telles que le contrôle d’accès, le chiffrement, la tokenisation et le masquage des données. La plateforme surveille également les flux de données, les accès et les comportements et alerte l’organisation en cas d’événements inhabituels ou anormaux. La solution fournit l’anonymisation et la protection des données grâce à un masquage dynamique et persistant des données. https://www.informatica.com/fr/solutions/data-governance.html Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil Integris Création : 2016 Nationalité : Américaine Intégris est une solution intelligente qui en s’intégrant aux systèmes existants, permet d’avoir une visibilité sur la localisation des données personnelles dans le système d’information de l’entreprise et sur la façon dont elles sont utilisées. Cette solution permet de découvrir et de tagger les données personnelles structurées et non structurées. Cela contribue ainsi à gérer le consentement, les demandes d’exercice des droits des personnes concernées ainsi que les violations de données personnelles. La solution propose des pistes d’audit et permet d’évaluer les risques associés aux pratiques en matière de traitement des données personnelles. https://integris.io/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP NSP NSP NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP
  • 30. Benchmark outils DPO by TNP 30 Global Suite GDPR Nationalité : Espagnol Global Suite est une suite logicielle développée par la société espagnole Audisec. L’outil, initialement créé pour répondre aux obligations de la loi organique sur la protection des données personnelles (LOPD) espagnole, a évolué vers une version de conformité GDPR. Global Suite GDPR est un logiciel conçu pour aider à la mise en œuvre, à la gestion dans le temps et à la maintenance en conformité à travers un processus simple, agile, automatisé et traçable. Il comprend une fonctionnalité de registre des traitements, d’audit, d’analyse des risques (identification, analyse et évaluation) et d’analyse d’impact ou de gestion des demandes d’exercice des droits des personnes. Solution en mode Saas ou on-premise. https://www.globalsuite.es/en/globalsuite-data-protection-gdpr/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP Gravicus Création : 2016 Nationalité : Britannique Osprey DPIA est une solution « user friendly » d’analyse d’impact sur la protection des données. Osprey DPIA guide l’utilisateur étape par étape à travers un questionnaire détaillé. Il s’agit d’une solution avec des caractéristiques d’approbation et de verrouillage à des fins de preuve. La prochaine version « annoncée » de l’outil utilisera une solution d’intelligence artificielle et de gestion des données afin de rechercher dans les documents et dans les sources, les données à caractère personnel structurées et non structurées en vue de produire des rapports détaillés sur les risques liés aux traitements. Osprey DPIA établira un lien vers Osprey Privacy pour conserver la preuve de l’information des personnes. Osprey DPIA et Privacy font partie d’une plateforme intelligente évolutive, capable de répondre à diverses problématiques : data clean, gestion des risques réglementaires, e-discovery, Due Diligence. https://gravicus.com/products/#dpia
  • 31. Benchmark outils DPO by TNP 31 Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP MetaCompliance Création : 2006 Nationalité : Américaine MetaCompliance offre plusieurs solutions adaptées à la gestion de la cybersécurité et de la conformité d’une organisation, y compris au règlement général sur la protection des données personnelles. La solution propose des fonctionnalités de tenue du registre des activités de traitement, de catégorisation des risques, d’édition de politiques et de procédures relatives à la protection de la vie privée. Elle permet aussi de former les collaborateurs sur les enjeux du GDPR. Elle comprend des tableaux de bord de gestion, un suivi des tâches en temps réel et des rapports détaillés permettant aux responsables de la protection des données de suivre facilement les progrès de la mise en œuvre et de démontrer une responsabilité permanente. Solution en mode Saas. https://www.metacompliance.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP Nymity Privacy Compliance Software Création : 2002 Nationalité : Canadienne NYMITY innovating compliance est un logiciel avec trois modules : un logiciel de veille juridique, un logiciel d’aide à la conformité privacy et un logiciel d’automatisation de la mise en conformité (PIA, registre et évaluation générale de conformité de l’entreprise). Le logiciel d’aide à la conformité est un logiciel support pour les professionnels de la
  • 32. Benchmark outils DPO by TNP 32 protection des données dans les organisations. Il propose des templates (mentions d’information, consentement, politiques internes, procédures internes, contrats, audits…), des pragmatic documents de conformité (spreadsheets, checklists, real world samples, etc.). Il permet aussi d’identifier et de quantifier les écarts de conformité dans un tableau de bord et d’évaluer les ressources nécessaires à la mise en conformité. Le logiciel de privacy management fonctionne sur la base d’un questionnaire et d’un système de workflow. Ces éléments permettent visent à identifier et à évaluer les risques. Sur cette base le logiciel édite un registre et un DPIA et lance des actions de mise en conformité : notification à la direction privacy, envoi de politiques / procédures internes aux métiers identifiés (ce sont les deux points les plus pertinents). De manière générale, cet outil permet de gérer la conformité vis-à-vis de plusieurs législations. https://www.nymity.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP Proteus-GDPReady Création : 2003 Nationalité : Américaine La solution fournit au DPO une suite d’outils prêts à l’emploi pour modéliser les processus métier, identifier les données sensibles et leur emplacement, cartographier les flux de données, réaliser des analyses d’impact sur la vie privée, mener des audits de conformité. Solution en mode SaaS en plusieurs versions et on-premise. https://proteuscyber.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP
  • 33. Benchmark outils DPO by TNP 33 Prifender Création : 2015 Nationalité : Américaine Cet outil offre plusieurs fonctionnalités comme la recherche automatique de données personnelles structurées ou non structurées, la détection et le suivi des actions effectuées sur les données personnelles, le suivi des flux et des destinataires des données. Prifender enrichit les données en y associant des obligations et des métadonnées. L’outil permet de localiser les données personnelles et utilise l’intelligence artificielle pour répondre aux exigences du GDPR relatives aux droits des personnes telles que la documentation des traitements, la gestion des violations de données personnelles, la gestion des demandes d’exercice des droits. http://www.prifender.com/gdpr.php Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP PrivaCil (DPMS) Création : 2016 Nationalité : Française L’outil a fortement évolué depuis sa version précédente. Il est composé d’un module de base et de modules optionnels en fonction de la taille de l’organisation et de son secteur d’activité. L’outil propose les fonctionnalités suivantes : • Gestion de l’accountability • Gestion des analyses d’impact (DPIA) • Analyse des risques associés aux traitements • Gestion des notifications des violations de données • Workflows (RT, CIL/ DPO, RIL, DSI, RSSI, chefs de projet…) • Référentiel des traitements • Gestion des mentions types (contrats Sous-Traitants, documents, sites web…) • Audit des traitements Côté sécurité, la solution comprend un système d’authentification forte, les transmissions de données sont sécurisées à l’aide du protocole https, des tests d’intrusions sont
  • 34. Benchmark outils DPO by TNP 34 régulièrement réalisés. La solution est disponible en mode Saas et On Premise sur demande. https://www.dpms.eu/logiciel-outil-GDPR-dpo/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil Real GDPR Software (RGS) RGS est une solution dont l’objectif est de faciliter, simplifier et maintenir la conformité au GDPR en faisant le lien entre les données décrites par les juristes dans le registre des traitements et la réalité technique opérationnelle des applications informatiques. La solution est présentée comme étant une boîte à outil du DPO comprenant des outils d’inventaire pour construire et maintenir le référentiel des données à caractère personnel et ceux permettant de d’exploiter ce référentiel afin de respecter les exigences du GDPR. RGS est doté des fonctionnalités de fiches et registres de traitement, de fiches individuelles pour la gestion des droits des personnes, d’inventaires des données et des processus techniques, d’anonymisation/pseudonymisation des données et d’audits. RGS Express a été conçue pour les PME, RGS Entreprise est une version modulable pour les grandes entreprises. La solution est conçue pour 5 à 10 utilisateurs et 3 à 10 serveurs, selon la version. http://www.rever.eu/fr/real-gdpr-software Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP
  • 35. Benchmark outils DPO by TNP 35 SAS Global Data Management Création : 1976 Nationalité : Américaine SAS propose une plateforme conçue pour permettre aux organisations d’identifier, de gérer et de protéger l’ensemble de leurs données, d’évaluer le besoin de pseudonymisation et le risque associé aux traitements des données personnelles. La solution permet aux entreprises de pseudonymiser ou d’anonymiser les données et de surveiller les profils accédant aux données afin d’en garantir la confidentialité. https://www.sas.com/en_us/solutions/personal-data-protection.html Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP SecuPi Création : 2014 Nationalité : Américaine Suite logicielle avec des fonctionnalités de pseudonymisation et d’anonymisation, de gestion dynamique des consentements, de suppression des données, de surveillance en temps réel des accès aux données et des flux de données sensibles et réglementées. La plateforme comprend aussi une fonction d’audit des logs de connexion. Solution en mode Saas et on-premise. https://www.secupi.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA NSP Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP
  • 36. Benchmark outils DPO by TNP 36 TrustArc Création : 1997 Nationalité : Américaine TrustArc est une solution flexible et facile d’utilisation de gestion des risques et de gestion de la conformité. Elle permet de mener des audits sur la base de questionnaires, de scanner les sites internet, de cartographier de manière visuelle les flux de données, de tenir le registre des activités de traitement, de conduire des analyses d’impact, de gérer le consentement des personnes et les demandes d’exercices des droits des personnes. L’outil comprend des pistes d’audit et une fonction de reporting. TrustArc propose des certifications TRUSTe et une solution de gestion des litiges. https://www.trustarc.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP Trust Hub Nationalité : Britannique Solution de support aux règlementations de protection des données et de la vie privée, notamment au GDPR. Plateforme présentée comme ultra sécurisée comportant notamment un contrôle en continu permettant de détecter les évènements anormaux sur les données et de disposer de pistes d’audit, avec une gestion fine des habilitations et des droits d’utilisation. L’outil a été conçu en intégrant les principes de Data Protection by Design. Solution modulable, qui propose des fonctionnalités de chiffrement et de pseudonymisation, de gestion des consentements, de portabilité, la solution comprend un dashboard et des fonctions de reporting. Les données sont présentées de manière visuelle et interactive faisant apparaitre les liens avec les personnes, les processus, leur localisation. Les personnes peuvent mettre leurs données à jour de manière intuitive (la solution est disponible sur mobile et tablette). Trust Hub est disponible en mode Saas (hébergement au Royaume Uni ou On Premise). https://www.trust-hub.com/privacy-hub/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP
  • 37. Benchmark outils DPO by TNP 37 Usoft Création : 1987 Nationalité : Hollandaise Outil de gestion de la conformité comprenant un registre des traitements, il permet de catégoriser les données et de déterminer les traitements à risques, de documenter des PIA sur la base de questionnaires diffusés via l’outil, de profiter de dashboard et d’éditer des rapports. Les organisations peuvent configurer leur propre méthode de travail. https://www.usoft.com/solutions/smartpia Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil NSP NSP Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Veritas Création : 1995 Nationalité : Américaine Avec la solution 360 Data management for GDPR, Veritas propose une approche intégrée de la conformité au GDPR. L’outil propose une cartographie et une classification des données personnelles structurées et non structurées, le suivi des accès à ces données, la diffusion de règles de sécurité sur les données et de suppression si nécessaire; La solution est dotée d’un puissant outil d’indexation permettant de découvrir les attributs implicites et explicites des données personnelles. La solution de Veritas vise aussi à répondre aux exigences de minimisation des données, de gestion des durées de conservation et de l’exercice des droits des personnes. https://www.veritas.com/ Ergonomie Multilingue Multiutilisa- teurs Déploie- ment Registre des traitements DPIA/PIA Workflow et reporting Gestion des droits des personnes Gestion du consente- ment Cartogra- phie Confiden- tialité Évolution de l’outil
  • 38. Benchmark outils DPO by TNP 38 CNIL : Outil de PIA Logiciel open source de l’autorité française de protection des données destiné à faciliter la conduite et la formalisation d’analyses d’impact sur la protection des données telles que prévues par le GDPR et l’appropriation des guides PIA de la CNIL. L’outil comprend une interface didactique et une base documentaire. Le contenu peut être adapté au contexte de chaque organisation. L’outil est disponible en français et en anglais. https://www.cnil.fr/en/node/23952 MONARC MONARC est une solution open-source d’analyse de risques, qui peut être utilisée pour analyser les risques sur la protection des données. Il existe deux possibilités d’installer l’outil : MONARC BackOffice peut être déployé pour de grands groupes avec plusieurs entités. Chaque entité disposera de son instance MONARC (FrontOffice) avec plusieurs fonctionnalités comme la création d’un projet d’analyse de risques, import / export d’analyse de risques. Il permet une gestion fine des utilisateurs et une gestion des autorisations par projet. MONARC BackOffice permet d’avoir une gestion centralisée de toutes les instances d’analyse des risques effectuées au niveau des entités. http://monarc.lu https://github.com/monarc-project Outils gratuits
  • 39. Benchmark outils DPO by TNP 39
  • 40. www.tnpconsultants.com PA S S E Z À L’ H Y B R I D E P O U R G A G N E R E N P E R F O R M A N C E BUSINESS - TECHNOLOGY - ANALYTICS TNP est le premier cabinet de conseil hybride et indépendant. Nous associons expérience sectorielle et expertise fonctionnelle, innovations technologiques et savoir-faire traditionnels ; pour faire évoluer la culture, l’organisation, les usages de votre entreprise. Et faire de l’innovation et du digital de vrais leviers de performance opérationnelle.