Solutions de mise et maintien en conformité au RGPD : panorama du marché

Depuis le 25 mai 2018 et l’entrée en application du Règlement Général pour la Protection des Données (RGPD), les entreprises doivent faire évoluer leur organisation, leurs processus et leur documentation pour s’y conformer.

Le non-respect des principes et des dispositions du règlement peut entraîner des sanctions de l’autorité de contrôle - la CNIL en France - pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires.

La mise en conformité au RGPD implique notamment d’identifier les données à caractère personnel (DCP), de cartographier les traitements, leurs liens entre les différents systèmes d’information, mais aussi d’informer les personnes concernées, de permettre d’exercer leurs droits et de notifier les violations de données à caractère personnel. Ces différents chantiers sont coûteux en moyens humains et financiers.

Outre cet impact économique, la mise en conformité au RGPD a également un impact organisationnel. En effet, celle-ci exige de mettre en œuvre, dans les différentes fonctions de l’organisation, des principes et des actions transverses introduits ou approfondis par le RGPD. Les entreprises se voient aussi dans l’obligation de produire des éléments documentaires spécifiques et de fournir les preuves de leur conformité selon le principe d’accountability. À ce titre, elles se doivent d’optimiser la gestion des processus et de centraliser au maximum les différentes actions et documents relatifs au RGPD.

Pour répondre à ces nouveaux besoins et contraintes réglementaires, de nombreux outils ont été mis sur le marché par des éditeurs français, européens et internationaux. Ils permettraient, selon leurs éditeurs, de faciliter la mise, et le maintien, en conformité au RGPD des organisations. L’objet de notre étude est ainsi d’analyser et de comparer ces outils afin de pouvoir guider les entreprises dans le choix d’un outil adapté à leurs besoins. Ces derniers peuvent en effet varier en fonction de leur taille, de leurs moyens, de leurs contraintes sectorielles et de leur maturité vis-à-vis du règlement.

Cette étude a été réalisée entre décembre et avril 2019. Un panorama global de 115 outils liés de près ou de loin aux enjeux du RGPD a tout d’abord été établi. Un périmètre d’étude a ensuite été défini selon plusieurs critères, nous permettant de sélectionner des outils, dont les fonctionnalités ont été analysées de façon détaillée et ont fait l’objet d’un comparatif.

Panorama des solutions du marché

115 outils rattachés de près ou de loin au RGPD ont été recensés. Ce travail d’inventaire a permis d’établir un premier panorama des outils proposés sur le marché. 74 de ces outils sont spécifiquement dédiés au RGPD, c’est-à-dire axés exclusivement sur la mise et le maintien en conformité au RGPD. 41 outils ne sont pas en premier lieu conçus pour la mise en conformité au RGPD, mais pour d’autres référentiels ou avec des finalités plus techniques, comme la sécurisation ou l’effacement des données au sens large.

Les outils ont été classés par catégories de fonctionnalités sur la base des informations disponibles publiquement (tableau de bord, cartographie des DCP, formalisation des PIA, registre des traitements…).

Le diagramme ci-dessous présente le nombre d’outils proposant les catégories de fonctionnalités décrites précédemment. On constate que les catégories de fonctionnalités les plus représentées se rapportent à des thématiques spécifiques au RGPD.

Répartition des catégories de fonctionnalités au sein du panorama

Un grand nombre de solutions permet ainsi aujourd’hui de se mettre en conformité au RGPD et de maintenir cette conformité. Elles peuvent être classées en deux grandes catégories : celles aidant les entreprises dans la gestion de leur gouvernance, d’autres davantage tournées vers des aspects techniques spécifiques.

Notre étude s’est focalisée sur les outils axés sur la gouvernance.

Nous avons considéré que les outils techniques proposant des fonctionnalités techniques telles que l’anonymisation ne relevaient pas seulement de la conformité RGPD. Les outils permettant d’identifier les DCP, qui nécessitent d’être reliés au système d’information d’une entreprise, ont été classés parmi ces outils techniques. En effet, dans le cadre de la mise en conformité au RGPD, ce genre de solutions n’est pas nécessaire pour établir et mettre à jour un registre des traitements, des PIAs, ou gérer l’exercice des droits des personnes concernées.

Une fois cette classification opérée, une analyse détaillée d’outils que nous avons sélectionnés permettra de comparer l’apport de ces solutions dans la mise et le maintien en conformité au RGPD que nous verrons dans un deuxième article.