GDPR : une suite logicielle pour chacun des acteurs

La GDPR sous forme de suite logicielle. Une initiative belgo-française permettant de construire et de maintenir un référentiel mariant les aspects métiers et les aspects techniques. 

Rever la belge et ActeCil la française proposent une suite logicielle qui permet à chacun des acteurs de l’entreprise (CDO, DPO, juriste, métier, technique) de contribuer au travail collaboratif de mise en conformité à la GDPR, le nouveau règlement sur la protection des données.

Cette suite permet à chacun des acteurs d’une entreprise (CDO, DPO, juriste, métier, technique) de contribuer au travail collaboratif de mise en conformité dans son domaine de spécialisation. «La suite logicielle que nous avons créée permet de construire et de maintenir un référentiel GDPR contenant le registre des traitements, c’est-à-dire les aspects métiers, et ses liens avec les applications informatiques, autrement dit les aspects techniques», explique Dominique Orban de Xivry, Director, Rever.

L’ambition ? Répondre au plus vite au défi du délai imposé. Le 25 mai 2018 précisément, toutes les entreprises européennes ou installées sur le territoire de l’Union européenne devront être en conformité avec le nouveau règlement. Or, dans un délai aussi court, se mettre en conformité avec la nouvelle réglementation européenne -et y rester !- s’apparente à un véritable défi pour les entreprises. Et ce tant d’un point de vue organisationnel que technique, comme le souligne Dominique Orban de Xivry. «La multiplicité des activités soutenues par des applications informatiques, la diversité des technologies employées ainsi que la complexité des codes et des processus techniques ont enfoui les données dans des strates si profondes qu’il est particulièrement complexe de les mettre à jour et les comprendre…»

C’est dans l’optique d’accompagner les entreprises et les aider à relever ce défi que Rever, une division du laboratoire d’ingénierie des bases de données de l’Université de Namur, et ActeCil, une entreprise de Montbeliard spécialisée dans l’accompagnement des organismes privés ou publics dans leur démarche de conformité liée aux législations encadrant l’usage des données à caractère personnel, ont développé cette suite logicielle. Cette solution va entre autres faciliter la construction d’un registre des traitements tel qu’exigé, secondé d’outils plus techniques répondant aux exigences de protection, par exemple un référentiel, une carte des données personnelles et des programmes qui y accèdent, et en allant plus loin on parlera de «privacy by design» et de «pseudo-anonymisation».

Ce référentiel se compose de trois niveaux de description. D’abord les traitements, qui décrivent les différentes activités de l’entreprise concernées par la GDPR, du point de vue «métier». Ces traitements peuvent être automatisés ou manuels, ou les deux à la fois. Les différentes informations sont enregistrées au moyen d’un logiciel spécialisé doté d’une interface simple et conviviale. Ce logiciel assure par ailleurs la gestion des versions au fil du temps et intègre les outils permettant de spécifier et de suivre les tâches à accomplir pour la mise en conformité.

Les cartes des données personnelles décrivent, elles, les localisations des données personnelles dans les différentes bases de données de l’entreprise. L’affectation aux données techniques du nom des données indiquée dans les traitements permet de relier les traitements à la réalité technique.

Enfin les cartes des programmes, décrivent quant à elles les traitements
automatisés utilisant les données personnelles. Ces cartes permettent notamment de tracer l’utilisation des données personnelles par les processus, de vérifier ceux qui les modifient, les lisent… Ces informations permettent notamment de réaliser des analyses d’impact, par exemple dans le cas de «privacy by redesign» ou pour l’établissement d’un PIA (Privacy Impact Assesment).