Data Legal Drive, plateforme de gouvernance RGPD

Afin d’accompagner efficacement les entreprises dans leur mise en conformité au Règlement européen sur la protection des données personnelles (RGPD ou GDPR), Staub & Associés, expert en droit de la data, et Pocket Result, éditeur de logiciels d’aide à la prise de décision SaaS, ont développé DATA LEGAL DRIVE, plateforme de gouvernance RGPD.

Cartographie des traitements

Data Legal Drive permet de manière simple, rapide et intuitive au DPO et à toute personne concernée par la gouvernance des données :

  • de répertorier les traitements de données personnelles que l’entreprise met en oeuvre en qualité de responsable de traitement et en qualité de sous-traitante;
  • De décrire chacun des traitements conformément à l’article 30 du RGPD
  • de suivre de manière collaborative l’état d’avancement de chaque cartographie de traitements;
  • D’intégrer les cartographies de traitements réalisées sous Excel via un module de transfert rapide et sécurisé.

Registre des traitements

Data Legal Drive permet de constituer progressivement un registre des traitements de l’entreprise conforme à l’article 30 du RGPD :

  • en classant les traitements selon la qualification de l’entreprise, les domaines et les Directions concernées ;
  • en dupliquant simplement puis en ajustant les traitements qui sont communs à plusieurs Directions à plusieurs entités d’un groupe ;
  • en donnant une vue globale du registre afin de déceler les incohérences et les informations manquantes ;

Lorsque la description des traitements de l’entreprise a déjà été réalisée sous Excel, un module de transfert permet l’intégration rapide et sécurisée des données dans la plateforme Data Legal Drive.

Diagnostic juridique, organisationnel et technique

Data Legal Drive propose un ensemble de questionnaires interactifs et exclusifs permettant, pour les aspects juridiques, organisationnels et techniques :

  • d’identifier ce qui a été fait, ce qui est en cours et ce qui doit être mis en œuvre pour être conforme au RGPD ;
  • de centraliser lors du diagnostic tous les documents participants à la gouvernance de l’entreprise ;
  • de lister les aspects de la mise en conformité qui n’ont pas encore été pris en compte ou ne sont pas compris par les équipes en charge.

Pilotage de la gouvernance

Data Legal Drive offre au DPO ou à toute personne concernée par la gouvernance des données un outil de pilotage de la gouvernance RGPD permettant de :

Avec Data Legal Drive vous pouvez mettre en conformité avec la GDPR :

  • les contrats avec les clients, les fournisseurs et les salariés
  • les mentions légales des sites web et appli
  • les formulaires de collectes de données personnelles

Lorsque la gestion des relations contractuelles le nécessite, un outil de workflow est à disposition pour suivre l’état d’avancement de la formalisation des contrats, des avenants ou des déclarations de conformité.

Gestion des demandes des personnes concernées

Data Legal Drive permet d’enregistrer et de gérer toutes les demandes effectuées par une personne concernée :

  • en créant une fiche centralisant notamment l’identité de la personne concernée, la justification de son identité, la nature de la demande (demande d’accès, d’effacement, de limitation, d’opposition, de rectification, etc.) et l’échéance pour la réponse ;
  • en téléchargeant la demande de la personne concernée ainsi que la réponse éventuelle apportée par le responsable du traitement ;
  • en affectant au service compétent de l’entreprise le soin de traiter chaque demande ;
  • en suivant et répertoriant dans un tableau de bord l’ensemble des demandes en attente, en cours et clôturées.

Gestions des violations de données personnelles

Data Legal Drive permet d’enregistrer et de gérer les violations de données personnelles identifiées en interne ou déclarées par les sous-traitants :

  • en créant une fiche centralisant notamment la nature de la violation, les catégories de données concernées, le nombre approximatif d’enregistrement de ces données, la description des conséquences probables de la violation et la description des mesures prises ou envisagées ;
  • en identifiant si cette violation constitue un risque pour les droits et libertés des personnes physiques justifiant une notification à la CNIL, voir un risque élevé justifiant une notification aux personnes concernées ;
  • en téléchargeant les documents relatifs à la violation et aux mesures prises ;
  • en suivant et répertoriant dans un tableau de bord l’ensemble des violations de données personnelles traitées par l’entreprise.

Gestion de l’accountability

Data Legal Drive permet de rassembler dans une même plateforme la documentation juridique, organisationnelle et technique démontrant la conformité de l’entreprise au RGPD afin que :

  • toutes les Directions de l’entreprise, en fonction des profils attribués à chaque utilisateur, puissent partager des documents à jour et d’échanger sur les bonnes pratiques internes relatives à la protection des données personnelles ;
  • l’entreprise remplisse son obligation d’accountability, en étant en mesure de justifier à tout moment et de manière documentée de son respect des principes et obligations du RGPD.

Suivi des contrats

Lorsque le volume des documents contractuels le nécessite, un outil de suivi est proposé afin de :

  • lister les contrats, les avenants et les déclarations de conformité qui doivent être formalisés et envoyés ;
  • identifier à qui ils ont été adressés, à quelle date et dans quelles versions ;
  • suivre l’état d’acceptation et de discussion de ces documents ;
  • faciliter la gestion des relances et des négociations.

Suivi de la formation

Quel que soit le nombre de personnes à former, Data Legal Drive propose un outil de suivi des formations dispensées aux collaborateurs de l’entreprise (salariés, stagiaires, intérimaires, partenaires …), afin de :

  • pouvoir répertorier qui a été formé, à quelle date, avec quel support ou méthode ;
  • identifier les collaborateurs de l’entreprise ayant réussi ou échoué aux formations ;
  • pouvoir faire état auprès des clients du niveau de sensibilisation / formation du personnel aux nouvelles règles du RGPD ;
  • pouvoir justifier auprès des autorités de la formation interne du personnel et de sa sensibilisation à la protection des données personnelles.

Modèles de clauses & contrats

Data Legal Drive donne accès à un grand nombre de modèles de contrats, clauses et mentions légales, rédigées (en français et en anglais) par les avocats du Cabinet Staub & Associés, afin de mettre en conformité :

  • les contrats avec les clients, les fournisseurs et les salariés ;
  • les mentions d’information, politique de confidentialité et politique de cookies des sites web et applications ;
  • les formulaires de collectes de données personnelles (pour les cartes d’adhérents, les jeux concours, les inscriptions en ligne, etc.).

Info et textes juridiques

Data Legal Drive met à disposition une base documentaire et une veille juridique permanente, réalisées par les avocats du Cabinet

  • toute l’actualité juridique sur le RGPD, les futurs règlements e-Privacy et e-Evidence, la jurisprudence française et communautaire, les avis de la CNIL ou du G29 ;
  • tous les textes, classés et parfois commentés, en rapport avec les données personnelles (articles et considérants du RGPD, Loi Informatique et Libertés, Loi pour une République Numérique, Loi de Programmation militaire…).

Chat d’accompagnement technique et juridique

Data Legal Drive met à disposition un chat permettant de poser des questions techniques ou juridiques pour la prise en main et l’utilisation de la plateforme

  • Les questions techniques relatives à l’utilisation de la plateforme, la gestion des accès, des profils et des mots de passe sont traitées par les techniciens de la société POCKET RESULT, qui développe et gère l’hébergement de la plateforme ;
  • Les questions juridiques de prise en main, de définition des concepts et de saisie des différentes pages et questionnaires de la plateforme sont traitées par les juristes du Cabinet STAUB & ASSOCIES.
Découvrir Data Legal Drive
Demander une démo

La GDPR

Le 27 avril 2016, l’Union Européenne a adopté un Règlement spécifiquement consacré à la protection des données personnelles des européens. Ce texte, n°2016-679 dit « R.G.P.D. », est d’application directe dans tous les pays membres (contrairement aux Directives européennes) et vient par conséquent se substituer à la Directive de 1995 et remplacer largement la loi n°78-17 du 6 janvier 1978, qui constituait jusqu’à présent le référentiel légal français

Face à ce vaste changement de paradigme, à la fois transverse et obligatoire, l’entreprise doit construire un véritable projet interne, et y associer tous les services concernés. Staub & Associés propose un accompagnement poussé pour permettre à l’entreprise (i) d’identifier l’existant en matière de dataprotection, (ii) investiguer ses pratiques et ses objectifs, (iii) définir les changements à effectuer (sur les plans structurels, organisationnels, marketing et bien entendu juridiques), et pour (iv) accompagner l’entreprise dans la mise en œuvre de ces changements.

Staub & Associés propose notamment les prestations suivantes, à convenir avec l’entreprise en fonction de son secteur marché, de ses traitements de données, de ses projets et de la disponibilité de ses équipes :

  1. Formations de sensibilisation et/ou réunions de kick-off exposant les innovations et exigences du nouveau Règlement ainsi que leurs conséquences générales, effectuée dans les locaux de l’entreprise ;
  2. Note de présentation des impacts du RGPD et des nouveautés à prendre en compte au sein de l’entreprise, comportant l’exposé des mesures à mettre en œuvre et la roadmap méthodologique ;
  3. Ateliers d’analyse menés avec les services de l’entreprise à partir de tableaux permettant d’analyser de manière itérative et spécifique les pratiques de l’entreprise, pour établir la Cartographie des traitements existants et des traitements cibles qui se poursuivront demain sous l’empire du RGPD ;
  4. Plan de recommandations exposant selon les cas (i) les bases légales des traitements et les éventuelles dispenses réglementaires dont bénéficie l’entreprise, (ii) l’ensemble des préconisations qui sont issues des analyses de l’étape d’audit, (iii) les alertes et préconisations spécifiques en cas notamment de traitement de données « sensibles», (iv) l’éventuelle nécessité de procéder à l’analyse préalable d’impact (AIPD) exigée par le RGPD dans certaines situations (traitements big data, traitement de données sensibles, profilage, etc.), (v) les modalités d’encadrement des flux transfrontaliers de données, ou encore (vi) la désignation des mesures techniques et organisationnelles à mettre en œuvre (registre du DPO, contrôles internes, exigences à transférer au département R&D ou aux fournisseurs de technologie, etc.) ;
  5. Rédaction des nouvelles Mentions légales obligatoires et des modalités de recueil des consentements à déployer, en corrélation avec la restructuration des outils de l’entreprise et dans le respect des nouvelles exigences du RGPD ;
  6. Clauses contractuelles à insérer dans les contrats, qu’il s’agisse des contrats clients de l’entreprise, des contrats avec ses fournisseurs et prestataires (IT ou non), etc., ainsi que la nécessaire assistance à la négociation de ces nouvelles clauses ;
  7. Intervention en assistance à maîtrise d’ouvrage sur les tâches de mise en conformité technique et d’intégration des principes « privacy by design» et « security by default » par les équipes techniques (R&D ou services IT). L’assistance est effectuée en « mode projet » sous forme d’ateliers, où les équipes techniques exposent les spécifications et règles de gestion qui seront mises en œuvre dans les outils de l’entreprise afin de valider qu’elles répondent aux exigences de protection structurelle formées dans le RGPD ;
  8. Assistance à la réalisation d’une Analyse Préalable d’Impact (AIPD) si les traitements mis en œuvre par l’entreprise requièrent une telle analyse au sens du Règlement. L’analyse est menée sous forme d’ateliers, avec un avocat du Cabinet et un partenaire expert en audit de sécurité des systèmes d’informations, afin d’identifier les risques, les menaces et les précautions à prendre et certifications à obtenir ;
  9. Mission de DPO externalisé constituant et gérant le Registre des traitements, et assurant le pilotage de la conformité, la gestion des demandes des personnes physiques, la gestion des alertes et violations de données personnelles, les rapports avec la CNIL, l’audit des nouveaux projets ou nouvelles acquisitions de l’entreprise, etc. ;
  10. Intervention en assistance ou pilotage de la négociation des acquisitions IT (solutions spécifiques ou services cloud du marché), en discutant avec les fournisseurs afin de vérifier leur niveau de conformité aux exigences du RGPD et la profondeur de leurs engagements contractuels à cet effet ;
  11. Intervention en validation des documents de formation ou de sensibilisation interne de l’entreprise (participation à l’élaboration d’un plan de formation interne en collaboration avec le DPO, rédaction ou actualisation des chartes informatiques, etc.) ;
  12. Assistance au DPO interne en cas de réclamations émanant des personnes physiques faisant valoir les droits dont elles disposent sur leurs données personnelles (droits d’accès, de rectification, d’effacement, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités ;
  13. Assistance au traitement des violations de données personnelles (préparation des notifications aux autorités de contrôle que sont la CNIL ou la DGCCRF dans le délai imparti par le RGPD à compter de la fuite de données personnelles ou de l’intrusion frauduleuse sur le système d’information de l’entreprise).

Consultez-nous afin de rapidement engager le projet de mise à niveau de votre entreprise, concevoir la stratégie et le planning et mettre en œuvre les tâches nécessaires !