Rever, société (d’origine) namuroise spécialisée dans la rétro-ingénierie système et la gouvernance des données, se lance dans le bain du GDPR. S’appuyant sur ses propres compétences et produits et y ajoutant des potentiels venus de deux partenaires, la société propose un intégré logiciel qui inclut une série d’outils permettant de “cartographier” (repérage, identification, localisation, typologie d’utilisation) les données à caractère personnel que détient et traite une entreprise ou un organisme.

Aux yeux de Rever, seule une solution de rétro-ingénierie peut venir à bout de la tâche d’audit des situations actuelles des entreprises afin de lui permettre de se mettre en conformité avec le nouveau Règlement. “La multiplicité des activités soutenues par des applications informatiques, la diversité des technologies employées, la complexité des codes et processus techniques ont, en effet, enfoui les données personnelles à localiser dans des strates profondes qu’il est complexe de mettre à jour et de comprendre”, souligne Dominique Orban de Xivry, CEO de Rever.

La particularité de l’intégré Real GDPR Solution est de combiner des potentiels de modélisation de l’existant qui incluent des paramètres purement techniques (données, systèmes, applications) et des dimensions plus juridiques (gestion des ressources humaines, des salaires, dispositions du droit du travail, vie privée…). L’intégré se compose donc de potentiels que pourront exploiter les divers intervenants devant intervenir dans le processus de mise en conformité (DPO, juristes, responsables opérationnels et techniques,…).

L’intégré s’appuie sur un référentiel de quelque 300 traitements prédéfinis et des mécanismes de workflows permettant aux différents responsables d’intervenir pour les aspects de la mise en conformité qui les concernent. “Les workflows permettent de définir les traitements qui sont effectués et qui impliquent par exemple des actions de la part de plusieurs départements, dans une entreprise. Une fois le traitement validé par le DPO (Data Protection Officer), il est figé. Toute modification qu’on veut y apporter implique de créer une nouvelle version du traitement”, qui devra suivre le même processus d’approbation.

Real GDPR n’agira pas comme par magie. Du travail préparatoire demeure nécessaire de la part d’une entreprise, de manière spécifique en fonction de sa réalité interne: définition des traitements, des types de données, des activités concernant les informations personnelles. La solution elle met à disposition des outils pour retrouver les données concernées dans les différents systèmes, processus et bases de données. “Certains outils ne prennent en compte que les aspects techniques, d’autres favorisent la dimension juridique du GDPR. Notre solution établit comble le fossé entre les deux. Elle permet d’effectuer des recherches dans toutes les bases de données identifiées par les analystes, toutes les données qui correspondent aux descriptions et d’assigner la dimension sémantique qui leur correspond, et facilite ainsi la construction et la mise à jour permanente d’un référentiel GDPR contenant le registre des traitements (aspects métiers) et ses liens avec les applications informatiques (aspects techniques).”

Deux partenaires français

Pour développer cet intégré, la société a fait appel à deux partenaires (français) qui, chacun, apporte les propres compétences: ActeCIL pour la partie juridique et GeolSemantics pour la dimension sémantique et données non structurées.

ActeCIL, spécialiste français de , disposait en effet d’un logiciel, l’APM (Actecil Privacy Manager), dédié à la gestion des données personnelles collectées par une entreprise ou un organisme. Il intègre les listes des traitements automatisés, une base documentaire et un gestionnaire de tâches. Cela permet ce cartographier les traitements, visualisés dans un tableau de bord, de tenir à jour le registre des traitements et de générer automatiquement le rapport dont aura besoin le DPO et ainsi “d’apporter la preuve des actions de mise et de maintien en conformité”.

Exemple de tableau de bord synoptique produit par l’ActeCIL Privacy Manager

Pour répertorier et cartographier les traitements faisant intervenir des données non structurées, Rever s’est tourné vers un autre partenaire, lui aussi français, à savoir GeolSemantics

Compte tenu du fait qu’une partie des outils et fonctionnalités faisant partie de l’intégré sont d’origine française, quelques adaptations ont dû être apportées, essentiellement au volet ActeCIL qui a notamment été conçu en fonction des dispositions du Code du travail français et des contraintes imposées par la CNIL (Commission Nationale Informatique et Libertés, homologue de notre Commission Vie privée). “Actuellement, Real GDPR conserve environ 5% de spécificités franco-françaises mais l’outil sera “purement GDPR” [agnostique, en quelque sorte] d’ici la mi-janvier”, affirme Dominique Orban de Xivry.

Modèle indirect

Rever n’étant pas et ne voulant pas se positionner comme prestataire de services, la solution Real GDPR est proposée sous forme de licence à des partenaires ayant davantage un profil de consultants ou de sociétés de services ou encore à des “centres de services”, du genre secrétariats sociaux qui hébergeront et proposeront donc la solution à leurs propres clients.

L’intégré Real GDPR vise essentiellement une clientèle de grandes entreprises et de PME (plus de 50 personnes). Les entreprises et organismes de plus petite envergure, quant à eux, pourront potentiellement y faire appel mais via des intermédiaires et prestataires de services qui hébergeront la solution sur leurs propres serveurs.

Chacun des co-auteurs de la solution intégrée (Revel, ActeCIL et GeolSemantics) assureront le support des utilisateurs dans leurs registres de compétences respectifs (purement informatique, juridique, sémantique). Toutefois, Rever fait office de point unique de contact pour les clients belges, relayant le problème soumis vers le partenaire concerné en cas de besoin.

A noter encore que la solution Real GDPR est disponible en français, anglais, allemand, italien et espagnol. Une version en néerlandais est prévue.