Privacy On Track, la 1ère solution globale de mise en conformité à la GDPR

Afin d’accompagner efficacement les entreprises dans leur mise en conformité au Règlement européen sur la protection des données personnelles (RGPD ou GDPR), Staub & Associés, expert en droit de la data, et ATEP services, spécialise des SI, ont développé PRIVACY ON TRACK, solution globale, conçue en concertation régulière avec la CNIL.

Privacy On Track est la première plateforme collaborative qui intègre expertise en droit des données personnelles, cartographie, processus de gouvernance et pilotage des traitements et données personnelles.

Parmi les principaux chantiers de la mise en conformité à la GDPR avant le 25 mai 2018, les entreprises doivent réaliser une cartographie de leur traitement de données personnelles, mettre en oeuvre une gouvernance de la data, et être en mesure de justifier à tout moment de leur mise en conformité (accountability). Dans un tel contexte, les Data Protection Officer (DPO), qu’ils soient issus de l’IT, du juridique ou de la compliance, sont confrontés à un véritable projet transverse d’entreprise.

« PRIVACY ON TRACK est conçu pour être le partenaire des entreprises pour la mise en conformité au RGPD et le maintien dans le temps de cette conformité. C’est la combinaison de notre expertise en droit de la data, de la puissance de cartographie de l’éditeur ATEP Services et des outils de gouvernance qui en fait une solution inédite. » commente Sylvain Staub, avocat de Staub & Associés et Président de PRIVACY ON TRACK.

PRIVACY ON TRACK s’impose comme une solution innovante, intégrée à l’entreprise, qui accélère le process de mise en conformité en permettant de :

  1. Réaliser 80% de la cartographie de manière automatisée pour pouvoir se concentrer sur les 20% qui nécessitent un traitement complémentaire par des experts en data. C’est la loi de Pareto appliquée à la GDPR.
  2. Générer un plan de recommandation validé par les avocats de Staub & Associés, gérer le projet de mise en conformité de l’entreprise, former les acteurs de la data aux nouvelles obligations du GDPR et créer une communauté dynamique entre eux.
  3. Permettre au DPO, RSSI, DSI, DJ et Directions opérationnelles de piloter dans une même plateforme collaborative tous les évènements relatifs au traitement de données personnelles, et de justifier en permanence de la conformité de l’entreprise au GDPR.

PRIVACY ON TRACK, la Legaltech des DPO, pourquoi et comment ?

Visitez le site internet : https://privacyontrack.com/

____________________________________

La GDPR

Le 27 avril 2016, l’Union Européenne a adopté un Règlement spécifiquement consacré à la protection des données personnelles des européens. Ce texte, n°2016-679 dit « R.G.P.D. », est d’application directe dans tous les pays membres (contrairement aux Directives européennes) et vient par conséquent se substituer à la Directive de 1995 et remplacer largement la loi n°78-17 du 6 janvier 1978, qui constituait jusqu’à présent le référentiel légal français

Face à ce vaste changement de paradigme, à la fois transverse et obligatoire, l’entreprise doit construire un véritable projet interne, et y associer tous les services concernés. Staub & Associés propose un accompagnement poussé pour permettre à l’entreprise (i) d’identifier l’existant en matière de dataprotection, (ii) investiguer ses pratiques et ses objectifs, (iii) définir les changements à effectuer (sur les plans structurels, organisationnels, marketing et bien entendu juridiques), et pour (iv) accompagner l’entreprise dans la mise en œuvre de ces changements.

Staub & Associés propose notamment les prestations suivantes, à convenir avec l’entreprise en fonction de son secteur marché, de ses traitements de données, de ses projets et de la disponibilité de ses équipes :

  1. Formations de sensibilisation et/ou réunions de kick-off exposant les innovations et exigences du nouveau Règlement ainsi que leurs conséquences générales, effectuée dans les locaux de l’entreprise ;
  2. Note de présentation des impacts du RGPD et des nouveautés à prendre en compte au sein de l’entreprise, comportant l’exposé des mesures à mettre en œuvre et la roadmap méthodologique ;
  3. Ateliers d’analyse menés avec les services de l’entreprise à partir de tableaux permettant d’analyser de manière itérative et spécifique les pratiques de l’entreprise, pour établir la Cartographie des traitements existants et des traitements cibles qui se poursuivront demain sous l’empire du RGPD ;
  4. Plan de recommandations exposant selon les cas (i) les bases légales des traitements et les éventuelles dispenses réglementaires dont bénéficie l’entreprise, (ii) l’ensemble des préconisations qui sont issues des analyses de l’étape d’audit, (iii) les alertes et préconisations spécifiques en cas notamment de traitement de données « sensibles», (iv) l’éventuelle nécessité de procéder à l’analyse préalable d’impact (AIPD) exigée par le RGPD dans certaines situations (traitements big data, traitement de données sensibles, profilage, etc.), (v) les modalités d’encadrement des flux transfrontaliers de données, ou encore (vi) la désignation des mesures techniques et organisationnelles à mettre en œuvre (registre du DPO, contrôles internes, exigences à transférer au département R&D ou aux fournisseurs de technologie, etc.) ;
  5. Rédaction des nouvelles Mentions légales obligatoires et des modalités de recueil des consentements à déployer, en corrélation avec la restructuration des outils de l’entreprise et dans le respect des nouvelles exigences du RGPD ;
  6. Clauses contractuelles à insérer dans les contrats, qu’il s’agisse des contrats clients de l’entreprise, des contrats avec ses fournisseurs et prestataires (IT ou non), etc., ainsi que la nécessaire assistance à la négociation de ces nouvelles clauses ;
  7. Intervention en assistance à maîtrise d’ouvrage sur les tâches de mise en conformité technique et d’intégration des principes « privacy by design» et « security by default » par les équipes techniques (R&D ou services IT). L’assistance est effectuée en « mode projet » sous forme d’ateliers, où les équipes techniques exposent les spécifications et règles de gestion qui seront mises en œuvre dans les outils de l’entreprise afin de valider qu’elles répondent aux exigences de protection structurelle formées dans le RGPD ;
  8. Assistance à la réalisation d’une Analyse Préalable d’Impact (AIPD) si les traitements mis en œuvre par l’entreprise requièrent une telle analyse au sens du Règlement. L’analyse est menée sous forme d’ateliers, avec un avocat du Cabinet et un partenaire expert en audit de sécurité des systèmes d’informations, afin d’identifier les risques, les menaces et les précautions à prendre et certifications à obtenir ;
  9. Mission de DPO externalisé constituant et gérant le Registre des traitements, et assurant le pilotage de la conformité, la gestion des demandes des personnes physiques, la gestion des alertes et violations de données personnelles, les rapports avec la CNIL, l’audit des nouveaux projets ou nouvelles acquisitions de l’entreprise, etc. ;
  10. Intervention en assistance ou pilotage de la négociation des acquisitions IT (solutions spécifiques ou services cloud du marché), en discutant avec les fournisseurs afin de vérifier leur niveau de conformité aux exigences du RGPD et la profondeur de leurs engagements contractuels à cet effet ;
  11. Intervention en validation des documents de formation ou de sensibilisation interne de l’entreprise (participation à l’élaboration d’un plan de formation interne en collaboration avec le DPO, rédaction ou actualisation des chartes informatiques, etc.) ;
  12. Assistance au DPO interne en cas de réclamations émanant des personnes physiques faisant valoir les droits dont elles disposent sur leurs données personnelles (droits d’accès, de rectification, d’effacement, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités ;
  13. Assistance au traitement des violations de données personnelles (préparation des notifications aux autorités de contrôle que sont la CNIL ou la DGCCRF dans le délai imparti par le RGPD à compter de la fuite de données personnelles ou de l’intrusion frauduleuse sur le système d’information de l’entreprise).

Consultez-nous afin de rapidement engager le projet de mise à niveau de votre entreprise, concevoir la stratégie et le planning et mettre en œuvre les tâches nécessaires !