DPO : faire mieux, plus vite, plus précisément, plus rapidement
En bénéficiant d'un outil couvrant tout le spectre des tâches exigées par ses missions, le DPO bénéficie d'un support précieux pour mener au mieux son projet de conformité, partager son travail avec l'équipe, et communiquant les résultats aux parties prenantes
Le DPO, chef d'orchestre de la conformité RGPD
Une couverture complète et normée de la mission RGPD
L'outil web et la plateforme "Centre de ressources" qui l'accompagne couvre 77 points de conformité. Conforme aux plan de la CNIL et de l'ANSSI, le référentiel, base du projet et de la mission, permet au DPO de suivre son fil conducteur, en choisissant lui-même la chronologie des sujets qu'il souhaite aborder.
​
Faire mieux, plus vite, plus précisément, plus rapidement
En bénéficiant d'un outil couvrant tout le spectre des tâches exigées par ses missions, le DPO bénéficie d'un support précieux pour mener au mieux son projet de conformité, partager son travail avec l'équipe, et communiquant les résultats aux parties prenantes.
Une couverture complète et professionnelle de la mission
​L'outil web et la plateforme "Centre de ressources" qui l'accompagne couvre 77 points de conformité. Conforme aux plans de la CNIL et de l'ANSSI, le référentiel, base du projet et de la mission, permet au DPO de suivre son fil conducteur, propose une chronologie mais permet au DPO de choisir lui-même la chronologie des sujets qu'il souhaite aborder.
Un suivi des temps
Chaque projet est divisé en tâches, éventuellement avec des sous-tâches. Celles-ci peuvent être planifiée, et représentées au format Gant ou Kanban. La tâche intègre un descriptif correspondant à la rubrique du référentiel et des ressources liées au sujet.
Chaque tâche de projet contient une ou plusieurs actions ou évènement. L’action contient le descriptif pas à pas des éléments à mettre en œuvre. Dans le texte, des URL renvoient vers les menus de l’application, des documents type, des exemples ou des ressources.
Quand la décision de mener l’action est prise, on peut ajouter un ou plusieurs observateurs et affectez les tâches à un ou plusieurs acteurs. Tous seront notifiés par mail de chaque étape de l’action : affectation changement, validation, clôture..
Les actions sont visualisables au travers du planning intégré, sous forme de pavés, qui peuvent être déplacés, agrandis, raccourcis… Ce planning est synchronisable avec d’autres agendas Google, Microsoft, …
​Lors de la clôture de l’action, le temps passé est mis à jour, le cumul des temps est visible dans la tâche du projet, puis par phase, …
Suivez ainsi, en temps réel et d'un clic, les durées de travail effectuées par vous ou par chaque acteur du projet.
Un traitement intégral
Chaque point est traité intégralement directement depuis l'interface :
guide synthétique au format html des actions à mener
lien vers la documentation du centre de ressources
saisie des données depuis les formulaires de l'application
édition des rapports
suivi graphique de l'avancement sur le Kanban "à faire, en cours, fait" ou personnalisable
Multi-entités et héritage
Travaillez pour plusieurs entités de manière totalement indépendante.
Ou bien de manière interconnectée grâce à l'héritage : un utilisateur administrateur peut voir les entités filles, mais pas l'inverse. Choisissez, lors de l'ajout d'un objet ou d'un traitement, si celui-ci sera vu ou non par les entités filles.
Portail universel,
L’interface est multi langues, chaque utilisateur dispose de sa langue préférée.
Chaque utilisateur se loggue au travers d'un portail d'identification en spécifiant uniquement son ID.
Il peut choisir login-password, Google ID, Microsoft ID ou Identité Numérique la Poste.
L'utilisateur "atterrit" alors automatiquement dans l’entité par défaut qui lui est attribué, avec le langage correspondant à sa nationalité.
Gestion du numérique
Intégrer la gestion du SI au projet
La confidentialité et la sécurité des données à caractère personnel est un pan essentiel du RGPD.
Or, l’élaboration d’une cartographie participe à la protection, à la défense et à la résilience du système d’information. C’est aussi une étape nécessaire à la conduite d’homologation d’un SI.
Pour satisfaire aux obligations nombreuses des référentiels CNIL où ANSI le DPO peut bien sûr s’appuyer sur la DSI ou le RSSI.
Cependant dans de nombreuses organisations de taille moindre, soit il n’y pas de direction informatique, soit l’ESN qui prend en charge la maintenance reste loin des préoccupations « d’accountability », c’est-à-dire le déploiement des mesures appropriées puis la démonstration de leur conformité, notamment en produisant la documentation exhaustive et détaillée des mesures prises.
Inventaire automatique de parc
Accompagné de l’ESN ou du service informatique, le DPO pourra, depuis GLPI qui est la base de DL Register, effectuer l’inventaire automatique du parc nécessaire à la cartographie de l’IT et à la démonstration de la sécurité du système (BPM).
Recenser les base de données
Ensuite il pourra inventorier les bases de données (au sens large, incluant les fichiers et les données papier) et documenter « les personnes concernées » et les « données traitées » contenus dans ces bases. Ceci constitue un premier lien entre les données et le système.
Cartographier les utilisateurs et les droits
Puis, grâce aux catalogues de données, qui décrivent les accès aux bases de données, il pourra préciser les profils et les droits, les types d’authentification et les secrets. En reliant des utilisateurs ou des groupes (et éventuellement des matériels) aux profils, il pourra ainsi décrire quelles personnes ont accès à quelles données avec quels droits.
Définir des relations permettant de passer des données aux outils en passant les processus et les utilisateurs
Personnes concernées <-> DCP <-> Traitements <->Bases de données <-> Utilisateurs <-> matériels
Focus sur la qualité
Le management de la qualité a pour but d’améliorer la performance de l’entreprise et la satisfaction client, par le respect de quelques principes fondamentaux. Le management de la qualité doit inclure toutes les parties prenantes au projet, y compris externes.
Le DPO apparaît comme un coordinateur, un superviseur qui doit être associé à toutes les questions relatives à la protection des données au sein de son entreprise. N’étant pas expert dans tous les domaines, il doit s'appuyer sur d'autres expertises internes et a un rôle charnière entre les différentes directions de l'organisme : SI, juridique, opérationnelles...
Par ses objectifs de gouvernance, par sa méthode de travail axée sur l’amélioration continue, et par ses interlocuteurs privilégié, le DPO participe pleinement au projet qualité de l’organisme.
Rebondir sur le RGPD pour mettre les autres données de l’entreprise sous gouvernance
Le RGPD sensibilise les organismes à la nécessité de mettre sous contrôle l’ensemble de leurs données, à minima les plus sensibles. Si le DPO a pour objectif de se focaliser sur les données à caractère personnel, il peut naturellement participer à la protection des données sensibles en général (données à valeur commerciales, données industrielles) et à la protection du savoir-faire de l’entreprise. Lorsqu’il existe, il épaulera le Chief Data Officer et en fera office lorsque celui-ci n’existe pas. Il établira le cadre d’un programme général de gouvernance des données, le RGPD étant une particularité.
ISO 27701, 27001, 27002 et RGPD : une opportunité pour les organismes
Les similitudes et les opportunités sont certaines entre ces deux sujets d’importance. La mise en conformité durable au RGPD des processus d’une organisation peut être particulièrement consommatrice en temps et en ressources humaines, tout comme initier une démarche de conformité à l’ISO 27001 pour la mise en place d’un Système de Management de la Sécurité de l’Information. Une mutualisation des efforts entre équipes sécurité et équipes privacy s’avère non seulement pertinente mais est surtout recommandée pour optimiser les ressources et liées aux démarches de mise en conformité, notamment en terme de processus, de méthodologies ou encore d’outils. Les objectifs et certains principes directeurs sont en effet, sinon les mêmes, très proches et liés.
C’est une véritable opportunité pour les entreprises car là où la conformité au GDPR est obligatoire et nécessite des moyens importants selon les contextes, il est intéressant de pouvoir utiliser, s’approprier et potentiellement adapter des processus, des méthodologies ou des outils existants qui étaient jusqu’alors réservés au domaine de la sécurité de l’information et de leur donner une utilité plus globale. En lire plus : www.theexpert.squad.fr
Cas d'usage
Bonnes pratiques de cartographie du système d’information (www.anssi.fr)
Bonnes pratiques de cartographie des données
Les outils BPM (www.blogdumoderateur.com)
ISO 27001 et RGPD : www.theexpert.squad.fr