Solutions de mise et maintien en conformité au RGPD : quelle valeur ajoutée pour le DPO ?

Fort de son savoir-faire en matière de protection des données à caractère personnel, Almond a décidé d’établir un comparatif des différentes solutions de mise et de maintien à la conformité au RGPD. La finalité d’une telle étude est d’orienter les organisations dans le choix d’un tel outil.

Après avoir dressé un panorama des différentes solutions touchant au RGPD, recensant 115 outils dans le premier article de la série, un périmètre composé de 12 solutions a été établi. Celui-ci se fonde sur la nature des fonctionnalités proposées et leur pertinence pour leurs utilisateurs en s’appuyant sur les besoins exprimés par nos clients.

Des critères d’analyse ont été définis de manière à pouvoir mener une analyse approfondie de chaque solution dans un deuxième article.

Au-delà d’évaluer les qualités intrinsèques de ces solutions, nous visons à assister le Délégué à la Protection des Données (DPD ou DPO) dans le choix d’un outil sur la base de sa valeur ajoutée, mais aussi de ses tarifs.

Valeur ajoutée de l’outil versus niveau de maîtrise du RGPD requis pour l’utiliser

La valeur ajoutée d’une solution peut se définir par sa capacité à fournir une aide à la décision ou à automatiser certaines activités fondamentales comme la cartographie, le PIA ou la gestion des demandes d’exercice des droits des personnes concernées.

La comparaison de cette valeur ajoutée avec le niveau de connaissance du RGPD requis pour exploiter le potentiel de la solution a pour objectif de permettre de déterminer son besoin sur la base son niveau de maturité et des compétences à sa disposition en matière de protection des données à caractère personnel.

La valeur ajoutée des outils a également été rapportée à leurs tarifs, permettant aux organisations d’identifier les solutions compatibles avec leur budget.

Les éléments identifiés comme apportant une valeur ajoutée sont :

  • L’identification du niveau de conformité comme prérequis à l’utilisation des autres fonctionnalités de la solution ;
  • Un tableau de bord adapté au profil de l’utilisateur (DPO, responsable de traitement, contributeur…);
  • Une évaluation automatique des traitements comprenant un risque ;
  • L’identification automatique des traitements devant donner lieu à un PIA ;
  • Un plan de recommandations proposé après le PIA ;
  • L’intégration au SI pour la gestion des demandes, permettant aux outils d’accéder données des différentes solutions de l’entreprise, par exemple un CRM, ou de faciliter la localisation des DCP grâce à une cartographie technique réalisée en amont.

Cette valeur ajoutée a été croisée avec le niveau de maîtrise du RGPD requis pour l’utilisation des outils.

Le niveau de maîtrise du RGPD nécessaire à l’appropriation des fonctionnalités d’une solution a été évalué à l’aune de :

  • La clarté de la terminologie employée ;
  • La définition des termes et des concepts proposés tout au long du processus ;
  • La mise à disposition de listes de choix dans les différents champs pour faciliter/standardiser les cartographies des traitements et les PIAs ;
  • La mise à disposition d’une documentation relative au RGPD ;
  • La complexité de la phase de paramétrage préalable à l’utilisation de l’outil.

Tarifs des solutions

Deux cas d’étude ont été retenus pour comparer les tarifs des différentes solutions :

  • Un cas « PME / ETI », présentant une seule entité juridique et requérant un administrateur, ayant un accès complet à la plateforme, ainsi que 5 utilisateurs n’ayant accès qu’à certaines parties de la solution comme le remplissage de formulaires liés à des traitements ou la gestion d’une demande.
  • Un cas « Groupe », présentant 20 entités juridiques et requérant vingt administrateurs ayant un accès complet à la plateforme ainsi que 100 utilisateurs ou plus.

Dans les deux cas ci-dessus, les administrateurs disposent d’un accès complet à la plateforme et sont généralement associés à la fonction de DPO ou référent RGPD. Les utilisateurs n’ont qu’un accès restreint à la plateforme pour contribuer, par exemple, au renseignement d’informations liées aux traitements dont ils ont la responsabilité et à la gestion des demandes des personnes concernées.

Sans tenir compte du fait que certains modules optionnels peuvent s’ajouter au prix de base, les tarifs proposés aux PME s’échelonnent entre 360 € et 6000 € euros, et ceux dédiés aux groupes entre 5000 € et 72 000 €.

Dans la continuité de l’analyse du rapport entre la valeur ajoutée et le niveau de maîtrise du RGPD requis pour utiliser la solution, l’analyse du rapport entre cette valeur ajoutée et le tarif de l’outil permet d’identifier les outils répondant aux mieux aux besoins et aux ressources d’une organisation donnée :

On retrouve les disparités découvertes dans l’évaluation des outils dans le deuxième article. En effet, certains outils, tels que SMART GDPR, OneTrust, Proteus GDPR ou Privacy on Track proposent une valeur ajoutée plus importante que la plupart des autres outils analysés. Cette avance se traduit mécaniquement dans le tarif des outils : ceux qui ont des fonctionnalités relativement basiques sont généralement bien moins coûteux que ceux ayant une valeur ajoutée plus élevée.

Certains outils semblent ainsi d’avantage adaptés aux PME et ETI, comme Score Privacy, Privacy Perfect, Carto ou MyDPO. À l’inverse, d’autres, comme ProteusGDPR, Oryga ou HOPEX s’adressent avant tout aux grands groupes.

On constate cependant que certaines solutions peuvent à la fois à toucher les PME ETI et les grands groupes, en proposant des formules adaptées à la taille de l’entreprise, à l’instar de SMART GDPR, One Trust ou Privacy on Track.

Plus généralement, on constate que les outils analysés dans ce comparatif sont principalement consacrés à la mise en application des exigences liées au principe d’accountability. Il s’agit notamment des fonctionnalités relatives à l’établissement d’un registre des traitements, des PIAs et de la gestion de la documentation. Ils facilitent par ailleurs la mise en œuvre et le suivi des actions en proposant un workflow permettant de les assigner et de les tracer.

Les fonctionnalités liées à la tenue d’un registre, la traçabilité des actions et évolutions documentaires, l’analyse des risques constituent une base essentielle à la conformité au RGPD. Cependant, la nature et les propriétés des fonctionnalités offertes par les outils ne permettent pas d’aller au-delà d’un socle de conformité minimal. Les outils peuvent, par exemple, fournir une assistance dans l’analyse d’écart en identifiant certains points de non-conformité, mais ne pourront pas établir d’analyses d’écart exhaustives sur les plans organisationnel, technique et juridique.

Si ces outils peuvent fournir un appui dans la gestion de la conformité au RGPD pour une organisation disposant d’un niveau de maturité important, ils ne se substituent pas à un accompagnement opérationnel, technique et juridique pour les structures disposant de moyens et compétences limités. Aucun outil ne pourra en outre remplacer l’humain dans l’inévitable interprétation d’un texte juridique, la compréhension du contexte d’une organisation et la prise en compte du facteur humain dans la conduite du changement.

Retrouvez le premier article de la série : Panorama du marché

Retrouvez le deuxième article de la série : Notre comparatif