Auto-évaluation GDPR – et plus si affinités – pour PME (en mode SaaS)

Pratique
Par · 06/12/2018

En octobre dernier, Bruno Lambotte (Consult 4 You), co-auteur de la solution d’assistance en-ligne GDPR, modifiait quelque peu les conditions d’utilisation du produit – la “Data Privacy Box” – qu’il avait lancé sur le marché au printemps. Désormais, deux des modules en-ligne sont proposés en accès gratuit, selon une démarche “freemium”.

Développée sur base d’Odoo v11 Enterprise (par Artecom), la “Data Privacy Box”, contrairement à ce que son intitulé pourrait pousser à imaginer, n’est pas un système ou un espace de stockage hyper-sécurisé pour données sensibles, mais bien une solution en-ligne qui permet à des PME de vérifier dans quelle mesure leur infrastructure informatique et leurs procédures et habitudes de traitements sont ou non conformes aux dispositions du Réglement européen sur la Protection des Données privées (GDPR).

Une fois cette première étape d’audit passée, elles peuvent décider d’utiliser éventuellement d’autres fonctionnalités de cette Data Privacy Box pour mieux se protéger ou s’organiser.

Concrètement, de quoi s’agit-il?

S’alliant avec un cabinet d’avocat, le consultant Bruno Lambotte (Consult 4 You) a développé une plate-forme SaaS offrant différents outils d’aide à la mise en conformité GDPR et de gestion des responsabilités que ce Règlement entraîne pour une entreprise: questionnaires d’auto-évaluation accompagnés d’explications, génération de rapports (recommandations), génération de documents juridiques, canevas pré-complétés de registres de traitement, services complémentaires (aide juridique, formations)…

Pour PME

Avant de détailler ces divers outils, arrêtons-nous sur la cible de clientèle que se définit la Data Privacy Box. Cette cible, ce sont les PME – autrement dit, des sociétés de plus de 10 personnes, même si celles à partir de 5 personnes peuvent aussi être incluses.

Mais se limiter à la taille d’une entreprise n’a guère de sens lorsque l’on parle GDPR. Bruno Lambotte prend dès lors un autre paramètre pour définir le profil de la cible: “si, en tant que société, vous sentez que vous avez besoin d’une conscientisation, d’être aiguillé sur des questions liées au GDPR, si vous estimez que votre risque est faible à modéré, la Data Privacy Box est une solution pour vous. Pour un prix raisonnable annuel, largement inférieur à ce que vous demanderait un consultant pour une seule journée, vous avez la possibilité de faire un état des lieux.

Si, par contre, vous avez d’emblée le sentiment que votre risque est plus élevé, vous avez sans doute besoin de quelque chose de plus conséquent que ce que la DP Box peut vous apporter.” [Ndlr: petit exemple: la solution ne propose pas de module DPIA – analyse d’impact – par contre, la même équipe propose des services de DPO as a service…]

“Avec la DP Box, notre but n’est pas de remplacer le rôle d’un consultant qui pourra travailler de manière plus fine et spécifique et inclure la phase de mise en oeuvre”, tient à souligner Bruno Lambotte. “Notre solution permet par contre à une société de savoir où elle en est, quel est l’impact, à son niveau, de l’entrée en vigueur du GDPR, et de prendre au moins en partie les actions qu’exige ce Règlement.”

Deux fonctions gratuites, le reste en mode abonnement

Jusqu’il y a peu, l’ensemble de la “pile” de services SaaS proposés par Data Privacy Box étaient payants, en mode abonnement (SaaS).

Depuis octobre, afin de mieux convaincre de la pertinence de la solution, les deux premiers services ont été basculés en accès gratuit. Les PME peuvent donc auto-évaluer leur degré de “maturité” GDPR en naviguant dans une quarantaine de questions qui leur donneront un état des lieux, accompagné d’informations qui en expliquent les termes ou les implications, et recevront un rapport synthétique reprenant une liste de conseils et d’actions à prendre.

Ce questionnaire, comme les autres (payants) que propose la DPBox, a été rédigé afin d’être le plus simple et compréhensible possible, et ne pas exiger de connaissances particulières de la part de la société. Pas d’explications élaborées à donner (ce qui nécessiterait, du côté de l’outil, la mise en oeuvre d’outils analytiques ou la mobilisation de personnel)… Les réponses se font par oui, non, ou “ne sait pas”.

Cela peut paraître fort “léger”, vu le contexte, mais cela permet en tout cas de défricher l’état des lieux, de guider et conscientiser la société sur sa situation, assure Bruno Lambotte. Et les “bulles d’information” qui accompagnent le questionnaire sont là pour mieux guider.

“Selon la nature des réponses qui sont données, selon ce que la société dit savoir ou avoir fait, nous proposons jusqu’à 25 actions.” Ces actions ou mesures à prendre renvoient l’utilisateur vers d’autres outils ou services “packagés” dans la Data Privacy Box ou proposés par la société. “Mais la PME a le choix de faire appel à ces autres modules ou services ou à mettre en oeuvre les actions conseillées de son côté.”

Modules payants

Si le questionnaire d’auto-évaluation de maturité et le rapport avec liste de tâches sont gratuits, les modules suivants deviennent payants. A savoir:

– accès à quatre registres de traitements: RH, gestion clientèle, gestion d’entreprise (comptabilité, fournisseurs, actionnaires…);
“il s’agit de registres-type, valables pour une grande majorité de PME”. Bien entendu, certains métiers supposent des contraintes spécifiques par rapport aux exigences du GDPR”. L’équipe de Data Privacy Box a donc développé une dizaine de registres de traitements plus spécifiques (pour agences immobilières, syndics d’immeuble, gestionnaires de biens, comptables…) qui sont disponibles (moyennant un coût supplémentaire); d’autres seront développés en fonction de la demande.

– un questionnaire d’évaluation de sécurité, inspiré de la norme ISO 27001 “mais très simplifié”; en tout, une septantaine de questions (sur l’infrastructure, les serveurs, les pratiques…); dans la foulée, un rapport est édité, reprenant conseils et tâches à effectuer

– un éditeur de contrats et documents juridiques orientés vie privée, incluant les dispositions imposées par le GDPR: 15 modèles-types ont été élaborés par le cabinet d’avocat (avenant à contrat de travail, politique IT, contrat de sous-traitance, contrat de transfert de données hors Europe…); “ces documents permettent aux PME de contractualiser leurs relations avec les différents intervenants, internes ou externes, impactés par le GDPR”

– un registre des incidents (fuite de données, infection par maliciel, rançongiciel…) – libre à la PME de remplir consciencieusement ce registre et de s’en servir pour alerter, le cas échéant, des tiers et faire rapport à l’Autorité de Protection des Données (l’ancienne Commission Vie Privée)

– un module de sensibilisation des collaborateurs qui prend la forme de capsules-vidéo en mode quiz. “Visionnées par les collaborateurs d’une PME, elles permettent à ses responsables de vérifier, via les résultats du quiz, dans quelle mesure les employés ont bien intégré les obligations nouvelles induites par le GDPR. Si la PME constate que certains concepts manquent à l’appel ou que les comportements ne sont pas satisfaisants, elle peut alors décider de prévoir de réelles formations”

– un autre module, dans le registre sécurité, s’ajoutera bientôt au catalogue de la Data Privacy Box, en l’occurrence un guide dédié aux violations et fuites de données, avec conseils à la clé
– autre développement prévu: un éditeur de listes de contrôle (procédure de consentement, procédure de transfert de données vers des fournisseurs…).

Pour pouvoir accéder et utiliser l’ensemble de ces modules, le tarif, en mode abonnement, est de 600 euros pour un an pour une PME. Ne sont donc pas inclus: les registres de traitements pour métiers “spécifiques” (de l’ordre de 200 euros pièce) et un accès aux capsules vidéo au-delà de cinq employés.

S’y ajoutent encore d’autres services possibles: assistance à l’utilisation de la plate-forme, protection juridique pénale pour défense collective (là, c’est le cabinet d’avocats qui entre en jeu), et des services à la carte (avis sur rédaction de contrat…).

Dernière précision: la prise d’abonnement à la DPBox se fait sur base mono-utilisateur jusqu’ici mais une formule multi-utilisateur est promise pour le début 2019.