Or, dans un délai aussi court, se mettre en conformité avec la nouvelle réglementation
européenne (et y rester) s’apparente à un véritable défi pour les entreprises, tant d’un
point de vue organisationnel que technique, comme le souligne Dominique Orban, de la
société belge Rever, spécialisée dans le traitement des données et de l’information
d’entreprise :

La multiplicité des activités soutenues par des applications informatiques, la diversité
des technologies employées, ainsi que la complexité des codes et des processus
techniques ont enfoui les données dans des strates si profondes qu’il est
particulièrement complexe de les mettre à jour et les comprendre.

C’est donc dans l’optique d’accompagner les entreprises et les aider à relever ce défi que
Rever s’est associée à l’entreprise française Actecil pour mettre au point une suite
logicielle complète unique sur le marché.
Cette suite permet à chacun des acteurs d’une entreprise (CDO, DPO, juriste, métier,
technique) de contribuer au travail collaboratif de mise en conformité dans son domaine
de spécialisation.

Les obligations des entreprises

Concrètement, dans le cadre de cette nouvelle réglementation, les entreprises devront
être en mesure de :
– respecter les droits des personnes, que ce soit le droit à l’information, le droit d’accès,
le droit de rectification ou encore le droit d’effacement ;
– protéger les données personnelles contre toutes pertes, vols ou mauvaises utilisations
accidentelles ou volontaires ;
– construire et maintenir un « registre des traitements » décrivant la ou les raisons du
traitement, les données personnelles utilisées, les règles suivies en matière de
conservation des données, les éventuels transferts de données, les mesures
organisationnelles et techniques de protection, etc.
Focus sur le référentiel GDPR
Ce référentiel se compose de trois niveaux de description :
– les traitements, qui décrivent les différentes activités de l’entreprise concernées par la
GDPR, du point de vue du « métier ». Ces traitements peuvent être automatisés ou
manuels, ou les deux à la fois. Les différentes informations sont enregistrées au moyen
d’un logiciel spécialisé doté d’une interface simple et conviviale. Ce logiciel assure par
ailleurs la gestion des versions au fil du temps et intègre les outils permettant de
spécifier et de suivre les tâches à accomplir pour la mise en conformité.
– les cartes des données personnelles, qui décrivent les localisations des données
personnelles dans les différentes bases de données de l’entreprise. L’affectation aux
données techniques du nom des données indiquée dans les traitements permet de relier
les traitements à la réalité technique.

– les cartes des programmes, qui décrivent quant à elles quels sont les traitements
automatisés utilisant les données personnelles. Ces cartes permettent notamment de
tracer l’utilisation des données personnelles par les processus, de vérifier ceux qui les
modifient, les lisent… Ces informations permettent notamment de réaliser des analyses
d’impact, par exemple dans le cas de « privacy by redesign » ou pour l’établissement
d’un PIA (Privacy Impact Assesment).