Expert du droit > Quel logiciel RGPD choisir ?
Comparateur & guide des Logiciels RGPD : Définition, familles de logiciels et conseils
Avec l’entrée en vigueur du règlement européen sur la protection des données (RGPD) en 2018, les entreprises ont depuis l’obligation de se conformer à ce règlement. Et oui, le RGPD concerne toutes les entreprises/organismes qui traitent de données personnelles (ex : Email, téléphone, date de naissance, etc.). Ce nouveau besoin a entraîné le développement d’une offre logicielle pléthorique pour opérer et faciliter la mise en conformité. Beaucoup d’entreprises déploient des logiciels RGPD.
Chaque logiciel est différent avec ses propres spécificités. Chaque entreprise ayant des besoins différents, il est essentiel que vous déterminiez avec précision quel logiciel est le plus adapté à vos besoins.
Par exemple, le gérant d’une boutique de vêtements n’a pas les mêmes besoins qu’une directrice d’un grand groupe ayant plusieurs filiales. Tout comme un artisan n’héberge pas les mêmes données qu’un hôpital ou une clinique.
Les DPO ont également besoin d’un logiciel de gestion, une sorte d’assistant, prêt à les aider dans leur activités.
Et bien que la plupart des logiciels présents dans notre comparateur soient accessibles et complets, il est important de choisir une solution qui vous corresponde pleinement, tant en termes de performance et de compétence, qu’en termes de budget.
Que fait un logiciel RGPD ? Quelles sont les différentes familles d’outils RGPD ? Faut-il s’équiper d’un logiciel RGPD ? Si oui, pourquoi ? Comment choisir son logiciel ? Voici l’essentiel à savoir sur ce sujet.
Avec notre guide, on vous explique les critères d’évaluation qui vous aideront à déterminer la solution la plus pertinente pour vous. Toutes les solutions de ce comparateur ont été testées, essayées et analysées par l’équipe de Mon Expert du Droit pour qualifier au plus près le besoin de l’utilisateur.
Logiciels RGPD : Il existe en réalité trois familles
L’appellation “Logiciel RGPD” est ambiguë et ne désigne pas la même chose pour tout le monde. Dans les organisations, il est rare d’entendre parler de “logiciels RGPD”. Leur principale préoccupation est de mettre l’entreprise en conformité avec le RGPD avec les “logiciels du bord”.
Il faut donc commencer par dissiper cette ambiguïté et apporter quelques éclairages sur le mot même de “logiciel RGPD”. “Logiciel RGPD” a en réalité 3 sens, renvoie à 3 familles de logiciels :
- les logiciels « RGPD-friendly »
- les logiciels permettant de gérer un aspect particulier du RGPD
- les logiciels de gestion tout-en-un, assistants de la conformité RGPD
1. Les logiciels “RGPD-friendly”
Un logiciel RGPD peut désigner un logiciel qui respecte les règles du Privacy by Design, un logiciel RGPD-friendly.
Par exemple, un logiciel d’emailing dont les fonctionnalités et, plus globalement, le fonctionnement permettent d’être en règle avec le RGPD. On pense bien entendu à la manière dont sont stockées les données, mais aussi au contrôle des données et à la gestion des droits d’accès offertes par le logiciel.
Tous les logiciels qui utilisent les données clients comme carburant et qui sont compliant RGPD sont des logiciels RGPD en ce sens bien spécial.
2. Les logiciels permettant de gérer un aspect particulier du RGPD
A l’opposé des logiciels “tout-en-un”, ces logiciels “Best of Breed” répondent à un besoin particulier rattaché aux problématiques RGPD. Ils développent un module particulier, un aspect spécifique du RGPD.
Nous pensons en particulier :
- Aux Consent Management Platforms (CMP) qui servent à gérer le recueil du consentement des internautes, et notamment le consentement cookies.
- Au logiciel PIA développé par la CNIL pour accompagner les entreprises et les DPO dans la gestion des analyses d’impact obligatoires dans certains cas: Le laboratoire d’innovation numérique de la CNIL (LINC) a développé le logiciel PIA : Privacy Impact Assessment. Ce logiciel gratuit et open source vise à faciliter la réalisation des analyses d’impact sur la protection des données.
Il s’agit d’un logiciel “prêt à l’emploi” à destination des profils non-techniciens. Le logiciel est téléchargeable sur le site internet de la CNIL. - Aux logiciels d’analyse du niveau de risque RGPD qui constituent une aide intéressante pour diagnostiquer le niveau de conformité et identifier les axes de travail.
3. Les logiciels gestion tout-en-un, assistants de la conformité RGPD
C’est probablement cette famille de logiciels à laquelle on pense en premier. Depuis 2018, s’est développée toute une offre de logiciels destinés à accompagner les DPO, TPE, PME, ETI, Grands groupes, professions libérales, indépendants…
Ces logiciels proposent tout un jeu de fonctionnalités permettant d’accélérer les process et traitements associés à la gestion RGPD des données personnelles. Le principal avantage de ces logiciels est qu’ils permettent de centraliser la gestion de la conformité RGPD. Ils remplissent plusieurs casquettes : logiciel de registre de traitement RGPD, logiciel de protection des données…
Dans l’absolu, vous pouvez utiliser Excel pour tenir le registre des traitements et envoyer vos déclarations d’incidents en allant directement sur le site de la CNIL, mais disposer d’un logiciel tout-en-un permet de faciliter la réalisation de ces traitements et de ces procédures. Ils facilitent le travail en mode collaboratif, permettent de centraliser tout le processus de mise en conformité, optimisent le temps passé à la mise en conformité grâce à des saisies automatisées et des référentiels, permettent d’être prêt en cas de contrôle… Et sont souvent – et heureusement – bien plus lisibles et interactifs qu’un tableau excel. Certains de ces logiciels sont envisagés comme de véritables plateformes mettant en place des plans d’actions et de la gestion de projet.
Précisons que certains éditeurs proposent également dans leur offre des modules de formation et des centres de ressources intéressants pour sensibiliser les collaborateurs aux enjeux du RGPD et les former aux nouveaux process & traitements requis.
Mais alors, comment trouver le bon logiciel conformité RGPD ? Notre équipe a testé plusieurs solutions logicielles, parmi les plus performantes du marché. Retrouvez nos critères, nos évaluations, les tarifs, les visuels de ces solutions avec notre avis, nos coups de coeurs et nos remarques. Comparez les solutions les plus adaptées en fonction de votre activité.
Liste des logiciels RGPD testés
Vous êtes éditeurs de logiciels et souhaiteriez voir votre solution sur notre comparateur ? Contactez-nous
- Les fonctionnalités logicielles de protection des données 🛠
Chaque logiciel RGPD propose différentes fonctionnalités. Ces fonctionnalités couvrent la plupart des traitements et procédures à mettre en place pour se conformer au RGPD. On vous les explique juste ici:
Diagnostic de conformité
Un audit est un “état des lieux” de toutes les données recueillies, collectées par l’entreprise. Un audit sert à déterminer et identifier les données traitées par l’entreprise afin de les qualifier et évaluer son degré de maturité dans la gestion de la conformité. Qu’elles proviennent de clients, salariés, collaborateurs, partenaires, fournisseurs, sous-traitants, ce sont des données personnelles qui doivent être considérées comme telles.
C’est à partir de ce diagnostic, de cet état de lieux que doit être créé le registre de traitement. Il permet d’entamer le plan d’action de mise en conformité.
Le diagnostic de conformité comporte un second volet: il permet d’identifier les failles de votre système d’information concernant la cybersécurité, afin de pouvoir y remédier efficacement. Comme par exemple le chiffrement, le renouvellement des mots de passe, l’accès aux locaux, la sensibilisation de vos collaborateurs, etc…
Registre de traitements
Le registre des traitements est un recueil de l’ensemble des traitements de données effectués sur votre site. Cette fonctionnalité vous permet de visualiser et d’accéder à l’ensemble des traitements en cours dans votre entreprise. En d’autres mots, c’est l’équivalent d’un tableau excel, mais en plus lisible et intelligible. Ce registre prend en compte l’origine de ces données, leurs durées de conservation, leurs destinations…
Cartographie des traitements
La cartographie des traitements s’assimile au registre des traitements, en ce qu’elle vous permet une vue d’ensemble des traitements en cours. La différence repose sur la visualisation: une cartographie des traitements recense l’ensemble des traitements sous la forme d’un schéma, vous permettant une compréhension plus rapide et plus intuitive des traitements de données que vous effectuez.
Cartographie automatisée des traitements
Cette fonctionnalité signifie que le logiciel crée automatiquement la cartographie de vos traitements à partir des registres de traitement que vous aurez renseignés.
Tableau de bord
Le tableau de bord est l’équivalent du bureau ou d’une page d’accueil, qui vous informe rapidement et simplement de votre progression, d’éléments qui requièrent votre attention, de votre progression, des alertes, des notifications de vos collaborateurs, etc. C’est l’une des fonctionnalités les plus importantes pour l’utilisateur.
Visualisation des données
La visualisation des données est une fonctionnalité qui vous permet de voir rapidement, d’un seul coup d’œil l’ensemble des données traitées dans leur registre de traitement. Cette visualisation peut être schématisée, et vous indiquer par exemple que dans vos traitements relatifs à la gestion de la paie vous traitez de données telles que le nom, le prénom, l’adresse, le RIB, etc… Cette fonctionnalité sert à identifier rapidement les données traitées.
Gestion des risques (interne)
La gestion des risques internes correspond au traitement d’une menace liée à la cybersécurité née au sein même de l’entreprise. Dans la pratique, cela correspond à la mise en place de mesures telles que des mots de passes renforcés, d’un badge pour rentrer dans les locaux de l’entreprise, un historique de connexion d’ utilisateurs, etc. C’est veiller à ce qu’aucun collaborateur, intentionnellement ou non, ne concourt à une potentielle violation de données, en mettant en place des mesures et une sensibilisation adaptées.
Gestion des risques (externe)
La gestion des risques externes se réfère aux menaces extérieures pouvant créer une faille dans votre système de cybersécurité. On parle notamment des risques d’incendies pour les datacenter, des risques de dégradation, d’intrusion, etc..
Planification
Certains logiciels vous permettent d’organiser depuis la plateforme des plans d’actions concernant vos registres de traitement de données. Ces plans d’actions vous permettent de définir clairement et directement depuis la plateforme les actions, tâches que vous devez effectuer afin d’être conforme.
Gestion de l’exercice des droits des personnes
Cette fonctionnalité vous permet de gérer les demandes de droits des personnes. En effet, conformément au RGPD, vous devez pouvoir accueillir et répondre aux demandes des personnes concernées. Ces demandes sont réglementées. Une personne ayant consenti au traitement de ses données personnelles peut exercer valablement son droit d’opposition, de rectification ou d’information à l’égard de ses données. Le responsable de traitement dispose de 1 mois pour pouvoir répondre à cette demande. Un module de gestion vous permet de recueillir ces demandes directement sur la plateforme afin de pouvoir les gérer.
Espace (ou outil) dédié à la gestion des droits des personnes
Cette fonctionnalité, parente de celle décrite au-dessus,vous permet d’être à jour et de ne louper aucune échéance en ayant une vision claire et actualisée de ces demandes de droit, et en proposant même des fois des processus d’automatisation quant à la gestion de ces demandes, via des réponses automatisées ou en créant directement un espace de réception de ces demandes de votre site web à la plateforme.
Gestion des violations des données
Cette fonctionnalité vous permet de gérer les violations de données qui peuvent -malheureusement- arriver à votre site web. Ce module vous permet de catégoriser les violations de données le plus précisément et justement en cas de contrôle de la CNIL en créant un rapport. En fonction de la gravité de la violation de données, certains logiciels vous proposent de notifier directement la CNIL depuis la plateforme et d’avertir directement les personnes concernées.
Étude d’impact PIA
Certaines plateformes vous permettent de gérer directement depuis la plateforme les analyses d’impact, qui peuvent être nécessaires dans le cadre de vos traitements de données. En fonction de vos traitements, la plateforme vous indique si une telle étude est requise. La plupart des logiciels utilisent directement l’outil de la CNIL.
Rappelons que le RGPD oblige les entreprises à mener des analyses d’impact avant le déploiement de projets data impliquant des données à caractère sensible. Le logiciel PIA vise à accompagner les responsables de traitement dans la gestion des analyses d’impact. Le logiciel a été conçu pour leur faciliter la vie dans la mise en œuvre de cette démarche parfois mal comprise.
Configuration avancée
Cette possibilité vous permet de moduler la plateforme un maximum afin d’en faire un véritable assistant personnalisé. Cette fonctionnalité s’adresse à des personnes formées à la recherche d’un logiciel outil.
Possibilité de créer un registre sous-traitant
Cette fonctionnalité est très utile pour les grands groupes, les DPO et les chargés de conformité. Elle permet de centraliser l’ensemble des sous-traitants liés aux traitements afin d’avoir une vision claire et globale des sous-traitants et de leur activité.
Modèles de documents juridiques
Cette fonctionnalité vous permet d’avoir accès sur la plateforme à des modèles de documents juridiques, tels que les mentions légales, les conditions générales d’utilisation, ou les politiques de confidentialité, que vous pouvez reprendre sur votre site.
Documentation et veille
Certaines plateformes vous proposent de la documentation qui reprend et vous explique chaque fonctionnalité présente sur la plateforme, en vous rappelant vos obligations et leurs références. Vous avez également accès pour la plupart à une veille juridique, qui reprend l’actualité.
Cookies: module de gestion / de récupération du consentement
Les plateformes peuvent vous proposer de gérer directement depuis le logiciel le recueil du consentement des personnes concernées pour le traitement de leurs données. Cette modalité vous permet de centraliser toutes les actions relatives à votre site web, et d’éviter de passer par un tiers, tel que Axeptio par exemple.
Couramment appelés CMP, les Consent Management Platforms sont conçus pour gérer la collecte des consentements auprès des internautes de votre site web lors de leur première visite et tout au long de leur parcours ultérieur. Ces modules se concentrent notamment sur la gestion des consentements cookies. Les CMP permettent de gérer la centralisation des consentements, l’historisation des consentements, les droits des internautes de modifier ou retirer leur consentement. Les Consent Management Platforms sont utilisés pour générer les bandeaux de cookies et mettre en place le centre de préférences qui permet à l’internaute de modifier son consentement à tout moment.
Gestion des droits d’accès des utilisateurs du logiciel
La gestion des droits d’accès permet de déterminer qui peut accéder à votre plateforme et vos traitements de données. Certains logiciels vous proposent un historique des connexions et des actions (qui s’est connecté ? et qu’a-t-il fait sur la plateforme ?) et l’attribution de différentes qualités pour vos collaborateurs/partenaires/sous-traitants (une personne aura accès à l’édition de documents, une autre à une lecture simple, une autre aura accès mais à un fragment déterminé seulement de l’ensemble de traitements).
API disponible
L’API, ou Application Programing Interface, permet l’interconnectivité entre un logiciel et d’autres applications. C’est ce qui peut permettre à un logiciel RGPD d’intégrer directement des évènements dans votre Google Agenda ou de gérer vos mails directement depuis la plateforme.
Coffre numérique
Cette fonctionnalité vous permet d’héberger de manière sécurisée vos documents, grâce à un coffre fort numérique qui gère l’accès à ces documents.
Privacy By Design
L’article 25 du RGPD prévoit le principe de Privacy by design, autrement dit le principe de protection des données dès la conception et protection des données par défaut.
Dès la conception : La protection des données personnelles doit être envisagée dès la conception du projet. En traitant la problématique en amont de la création du projet, la structure limite les risques de non conformité. Prévoir la protection des données personnelles dès la conception, c’est pouvoir mettre en place des mesures préventives, prendre des mesures organisationnelles et techniques,
Par défaut : Toute structure traitant de données personnelles doit mettre en place une protection automatique des données personnelles.
Le privacy by design est donc l’addition de ces deux principes, permettant une optimisation de la protection des données, dès la conception!
Les prix et formules tarifaires 💶
Quel prix pour la mise en conformité de mon entreprise ? Les logiciels Saas de mise en conformité RGPD proposent souvent plusieurs prix au travers de plusieurs formules tarifaires. Les licences d’utilisation peuvent être classées en plusieurs catégories : soit en fonction du nombre d’utilisateurs du logiciel, soit en fonction de la taille de l’entreprise, soit en fonction du service proposé en supplément de la solution logicielle, ou même en fonction du nombre d’activités concernées pour la mise en conformité.
Sous formes d’abonnements mensuels ou annuels, les prix des logiciels de conformité sont évidemment un facteur essentiel dans votre choix.
Concernant le prix d’un logiciel de mise en conformité selon les types d’entreprises :
- Pour les TPE (- 19 salariés), les formules adaptées vont de 9€ à 210€. En moyenne, un logiciel de conformité à un coût de 90€ par mois pour une TPE.
- Les formules spéciales PME (- 250 salariés) vont de 30€ à 359€. En moyenne, une solution adaptée pour les PME revient à 148€/mois.
- Pour les entreprises intermédiaires, les grands comptes et les grands groupes ( – 5000 salariés), les logiciels prévoient généralement une solution sur mesure ou sur devis, en fonction de l’envergure du projet de mise en conformité, du nombre d’établissements / d’entités concernés. En moyenne, une solution seule revient aux alentours de 433€/mois.
Toutes les structures, peu importe leur taille ou leur activité, sont concernées par le RGPD. La CNIL veille très attentivement au respect de la règlementation liée à protection des données, en prononçant des sanctions pouvant aller jusqu’à 4% du chiffre d’affaires mondial d’une entreprise.
Existe-t-il un logiciel RGPD gratuit ? Il est toujours possible de procéder à sa mise en conformité via les outils mis à disposition par la CNIL. Or, l’utilisation d’un logiciel de mise en conformité RGPD vous permet une meilleure gestion, une meilleure clarté et beaucoup plus de fonctionnalités que peut présenter un tableau Excel. La mise en conformité étant un processus contraignant et très chronophage, l’utilisation d’une solution de mise en conformité présente beaucoup d’avantages.
La cybersécurité 👮♂️
Il est essentiel que vous choisissiez un logiciel adapté aux besoins créés par la nature des données que vous traitez. Il existe deux grands types de catégories de données concernées par le RGPD: les données à caractère personnel classique (du type nom, adresse, mail, etc…) et les données dites sensibles (données biométriques, données de santé, données recensant l’opinion politique ou l’origine ethnique, etc).
Le traitement de ces données ne requiert pas le même niveau de cybersécurité. Pour les données sensibles, il existe des certifications type HDS (hébergeur de données de santé) ou ISO 27001 et des standards qu’il vous faudra retenir afin d’assurer la bonne protection de ces données.
Mais il convient tout de même d’instaurer une protection pour les données dites personnelles. Celles-ci requièrent également d’être protégées, mais à un standard moins strict et moins élevé.
Les logiciels de mise en conformité de RGPD, conformément à cette logique de protection de données instaurent pour la plupart des technologies pour assurer cette cybersécurité. On vous explique les plus courantes:
Le chiffrement
Le chiffrement, c’est rendre un contenu initialement lisible illisible grâce à une clé de chiffrement. Le chiffrement peut être symétrique: c’est à dire que le contenu peut redevenir lisible grâce à la même clé qui a permis de le chiffrer; ou asymétrique, c’est-à-dire que la clé utilisée pour le chiffrement est différente de celle utilisée pour le déchiffrement.
Source: Wikipédia
Le chiffrement AES 256
AES, ou Advanced Encryption Standard est une norme de chiffrement qui fonctionne par blocs. AES-256 signifie que le chiffrement est assuré par 256 blocs. C’est un chiffrement symétrique qui permet de chiffrer et déchiffrer le contenu. 256 blocs signifie que le contenu sera divisé en 256 blocs, rendant beaucoup plus difficile toute tentative de piratage ou de hack puisque le nombre de combinaisons possibles est démultiplié. Le contenu est chiffré et déchiffré avec une même clé, qui peut être un mot de passe ou un fichier.
Encryption at rest
C’est un mode de chiffrement qui signifie que les données sont chiffrées dès le lieu d’hébergement physique des données, afin qu’en cas d’intrusion physique, les données ne soient pas utilisables.
Chiffrement des sauvegardes
Les sauvegardes sont chiffrées, c’est à dire illisibles et donc non utilisables en cas d’attaque, ce qui vous assure une exclusivité sur la donnée, et empêche au maximum en cas d’attaque une fuite de données.
Sauvegardes multi sites
La sauvegarde multi sites permet à l’utilisateur de ne pas perdre ses données même en cas d’incident. C’est l’équivalent de créer une copie sur un disque dur, une clé USB et un cloud, version datacenters.
Pentest humains
Un pentest humain est une simulation d’une cyberattaque permettant de définir les failles de votre système. Les pentest sont usuellement réalisés par des sociétés ou des experts en cybersécurité, et plus précisément par des hackers éthiques. Humains car ils sont réalisés par des personnes physiques.
Certifications d’hébergeurs/datacenter: Tiers I, II, III, IV
La certification Tier permet d’évaluer le niveau de disponibilité offert par un datacenter, c’est-à-dire le lieu d’hébergement physique des données. Le niveau de disponibilité est la capacité d’un datacenter à continuer à assurer ses fonctions malgré un incident. Le niveau de disponibilité est évalué grâce à la certification Tier, allant de I à IV, IV étant le meilleur niveau possible. Pour référence, la moyenne nationale française de ces datacenter est Tier II.
Certification By Facility d’un datacenter :
La certification By Facility garantit que les installations physiques individuelles d’un datacenter sont conformes à des normes élevées de sécurité, de fiabilité, d’efficacité énergétique, de résilience.
Label PASSI
PASSI est l’acronyme de Prestataire d’Audit de la Sécurité des Systèmes d’information. Il s’agit d’une qualification qui peut être obtenue près de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’information) selon un référentiel d’exigence. Une fois certifiée, une structure (de cybersécurité notamment) peut effectuer des audits de sécurité. En outre, c’est un gage de qualité et d’expertise pour le prestataire, et un gage de confiance pour le prospect, soucieux d’utiliser une solution soucieuse de sa cybersécurité.
Anti DDOS
La protection Anti DDOS permet d’éviter les attaques DDOS, qui sont des attaques ayant pour but de rendre indisponible un service en envoyant un grand nombre de requêtes afin de saturer la bande passante ou de rendre indisponibles les ressources. Ces attaques permettent de rendre inaccessible un site web, et sont communément appelées “déni de service”. La protection Anti DDOS permet d’éviter cela, en analysant en temps réel le trafic et les données circulant.
Source: Bouygues Telecom
Anti brute force
L’attaque par force brute permet de trouver un mot de passe ou une clé, en testant toutes les combinaisons possibles. Plus le mot de passe est complexe, plus le temps passé à le déchiffrer est long, et plus le compte/contenu est protégé. Afin de contrer cette attaque, la protection anti brute force permet de bloquer l’adresse IP pour une certaine durée après 15 tentatives infructueuses.
Source: Wikipédia
Anti énumération
L’énumération est une technique de piratage informatique qui consiste à récupérer un nom d’utilisateur dans la base de données, permettant ainsi de réduire par deux le temps nécessaire au piratage du compte, puisque le pirate a déjà 50% des informations nécessaires (il ne lui manque que le mot de passe). L’anti-énumération permet d’empêcher le pirate de savoir si l’identifiant est présent dans la base de données.
Protection XSS
La protection XXS se réfère au cross-site scripting, une faille qui permet à un utilisateur (souvent malveillant) d’intégrer du contenu créant des actions sur une page web pour les autres utilisateurs. Par exemple, c’est la possibilité pour un utilisateur de laisser un message sur un forum incitant à une action sans aucune vérification par un modérateur : cela peut constituer en réalité une cyberattaque. Bien sûr les possibilités sont bien plus vastes, cette faille peut permettre à un utilisateur d’accéder aux informations sensibles d’un site web, ou les informations relatives aux cookies, en plus des possibles redirections malveillantes pour les utilisateurs. De plus, une modification de contenu peut sensiblement entacher l’image et la réputation de l’entreprise. La protection XSS vient contrer cette technique, en filtrant les entrées de code, prévenant les utilisateurs de ne pas cliquer sur des liens redirecteurs, mettre à jour ses applications, etc.
Certification HDS: Hébergeur de Données de Santé
La certification HDS est obligatoire pour tout établissement de santé qui ne gère pas lui-même son propre système d’information. Il devra alors choisir un éditeur, un sous-traitant, un datacenter, une solution certifiée HDS. La certification est attribuée par un organisme certificateur agréé par le COFRAC selon un référentiel de certification qui reprend les normes ISO 27001, ISO 20000-1 et des exigences spécifiques à la nature des données.
Certification ISO 27001
La certification ISO 27001 est une certification délivrée par l’AFNOR pour une durée de 3 ans, instaurant un haut niveau de sécurité de l’information dans une entreprise ou un organisme. Elle permet d’identifier la présence d’un Système de management de la sécurité de l’information (SMSI), qui traduit la mise en place, la réalisation, l’utilisation et l’optimisation d’un système de gestion de la sécurité de l’information. Ce système permet la protection des données contre les incidents tels que la perte, le vol, l’altération afin de maintenir l’activité. C’est une norme reconnue internationalement, et dont l’obtention est un gage de confiance de l’entreprise envers ses partenaires et ses clients. Elle est obtenable pour tous les organismes, peu importe la taille.
Certification Iso 50001
La norme 50001 est une norme relative au management énergétique, un sujet d’actualité. Il est de nos jours essentiel pour les entreprises d’être attentives aux enjeux environnementaux, soucieuses de leur empreinte environnementale et de leur consommation énergétique. Cette norme représente un standard d’exigences que les entreprises doivent respecter afin de pouvoir bénéficier de la certification. Comme la certification Iso 27001, qui elle est relative à la cybersécurité, la certification Iso 50001 correspond elle aussi à un système de management, cette fois-ci relatif à la diminution de la consommation d’énergie.
Datacenter Code of Conduct (EU)
Le label Datacenter Code of Conduct (EU) est un label européen attestant de l’engagement pris par les Datacenters de réduire leur consommation énergétique
Certification Iso 14001
La certification ISO 14001 est également relative aux enjeux environnementaux : elle est relative à l’amélioration des performances environnementales d’une entreprise, elle atteste des efforts réalisés et des objectifs atteints.
Certification ISO 9001
La certification ISO 9001 est relative au système de management de qualité. Elle atteste de la capacité d’une entreprise à fournir constamment des produits et services conformes aux exigences légales, réglementaires, et des clients, toujours dans une quête d’amélioration.
Double authentification
La double authentification permet de renforcer votre système informatique. Elle consiste à la double validation de votre identité. Dans la vraie vie, c’est comme si on vous demandait votre carte d’identité et votre passeport pour être sûr que c’est bien vous. Typiquement, il s’agit d’un processus en deux étapes ou l’utilisateur rentre son identifiant et son mot de passe, puis doit ensuite valider soit via son numéro de téléphone, soit via son adresse mail son identité.
Login multifacteurs ou SSO
Le login multifacteurs est un processus d’authentification sécurisé qui demande à l’utilisateur de fournir plusieurs preuves attestant de son identité lorsqu’il se connecte. Le SSO (Single Sign On) permet d’utiliser un seul identifiant pour se connecter à diverses applications. Ces deux processus d’authentification sont laissés au choix de l’utilisateur, le login multifacteur étant certes le choix le plus sûr et sécurisé, mais le SSO étant le plus pratique.
L’ergonomie d’un logiciel RGPD 🧩
L’ergonomie d’un logiciel est également un critère important lors de la détermination. Elle traduit le confort, l’accessibilité, la facilité d’une plateforme afin d’améliorer l’expérience utilisateur.
C’est un critère important, tant il influencera grandement votre utilisation du logiciel, et qui donc ne doit pas être négligé.
Comment apprécier l’ergonomie d’un logiciel RGPD ?
Le design
La charte graphique et ses couleurs, les icônes, les polices utilisées, tant d’éléments qui permettent le confort visuel et l’accessibilité d’une plateforme. Ces éléments sont différents d’une plateforme à une autre, ils définissent son identité.
L’information
Les logiciels peuvent mettre en place des parcours guidés ou des points d’informations afin de vous permettre de vivre la meilleure expérience utilisateur possible.
La simplicité
Essayez d’éviter les logiciels trop chargés visuellement, qui auront tendance à noyer l’information et vous distraire de l’essentiel. L’idéal est un logiciel simple d’accès avec des fonctionnalités claires, définies et facilement accessibles.
L’accompagnement 👥
Au-delà du produit, il est important que vous considériez le service proposé lorsque vous choisissez votre logiciel de conformité RGPD.
Pour certains, il sera pertinent de choisir un logiciel proposant un réel service d’accompagnement : que ce soit à l’initiation avec l’onboarding, un accompagnement technique sur le fonctionnement du logiciel ou une aide sur la compréhension et l’instauration de votre mise en conformité, vous seriez amenés à préférer un logiciel proposant un réel accompagnement.
Pour d’autres, il sera plus intéressant de choisir une offre ou l’accompagnement est moindre et vous recherchez une réelle autonomie. Une assistance, certes, mais à votre demande uniquement.
L’onboarding
L’onboarding est la première étape de l’accompagnement. C’est la première initiation au logiciel. Il s’agit généralement d’un visio avec un représentant du logiciel qui vous explique les fonctionnalités et le fonctionnement de la plateforme. L’onboarding est très important car c’est lui qui permet de prendre en main le logiciel. Bien sûr, en fonction du degré de maturité de chaque société, en fonction des données personnelles recueillies, en fonction de celui ou celle qui sera en charge de la conformité, l’onboarding sera plus ou moins nécessaire pour la prise en main de la solution.
L’assistance
L’assistance peut consister en un support téléphonique, une adresse mail de contact, un chat, un suivi régulier. En cas de problèmes techniques ou de difficultés à l’utilisation du logiciel, il est essentiel d’avoir rapidement accès à cette assistance. Les forums et les FAQ sont également de bons moyens d’obtenir des réponses à des difficultés que d’autres utilisateurs ont pu rencontrer. Si vous n’êtes pas expert (techniquement ou juridiquement), il sera pertinent de s’orienter vers une solution proposant une réelle assistance.
La documentation
Il est toujours pertinent d’avoir à votre disposition des guides et des articles, vous permettant d’en savoir plus sur les données personnelles. Données de conservation, bases légales, tant de notions clefs du RGPD qui sont importantes à connaître. Et c’est d’autant plus pratique lorsque vous avez à votre disposition sur la plateforme des ressources pertinentes et vérifiées. Certaines plateformes proposent également des webinaires, qui peuvent également être très pertinents pour votre activité. Et si en bonus, vous avez accès à une veille juridique complète qui vous informe de l’actualité, bingo !
Formations
Certains logiciels vous proposent d’organiser des formations et des sensibilisations à vos collaborateurs, sous formes d’ateliers en interne. Il est même possible de tenir un registre des formations sur certaines plateformes.
La cible 🎯
Chaque logiciel, selon ses spécificités, s’adresse à un type spécifique de clientèle. Pour caricaturer, un indépendant n’a évidemment pas les mêmes besoins en termes de fonctionnalités ou de conformité, ni les mêmes connaissances qu’un DPO d’une multinationale.
Et bien que certains logiciels soient adaptés au plus grand nombre, il est important de trouver un logiciel correspondant au plus près au besoin de l’entreprise. Pour ce faire, il faut prendre en compte le niveau de connaissance et l’expertise attendue par l’utilisateur.
C’est essentiel car au-delà des prix qui conservent leur importance, il n’en reste pas moins que l’outil logiciel doit être adapté à l’utilisateur à qui il est proposé. Certains ne pourront être utilisés que par des pros du RGPD: DPO ou consultants en conformité juristes ou experts en cybersécurité, tandis que d’autres outils simplifiés seront utilisables directement par de petites entreprises selon leur degré de “maturité” RGPD.
Selon l’activité de l’entreprise, selon le nombre de collaborateurs, selon le type de données recueillies, selon l’activité elle-même franco-française ou internationale, les obligations de conformité ne seront pas les mêmes et il sera important de déterminer la ou les meilleures solutions logicielles de gestion de la conformité.
C’est pourquoi Mon Expert du Droit a essayé, testé et comparé déjà une douzaine de logiciels parmi les plus performants pour permettre à tous de trouver la solution la plus adaptée.
Mises en situation 🎬
Je suis une petite entreprise de vente en ligne , j’ai 25 salariés, et aucune connaissance sur le RGPD :
- Je dois me diriger vers un logiciel qui dispense une réelle formation, documentation, accompagnement.
- J’ai besoin d’un logiciel abordable
- J’ai besoin d’un logiciel très simple d’utilisation
Je suis une clinique, établissement de santé et je traite de données de santé:
- Je dois me diriger vers un logiciel certifié et hyper sécurisé
- De préférence, proposant des référentiels dans le domaine de la santé.
- J’ai besoin d’un logiciel proposant une assistance qui soit réactive et d’un très bon accompagnement de formation initiale puis de suivi.
- il serait bien d’avoir quelqu’un en interne, juriste ou DSI qui soit en capacité d’utiliser l’outil de gestion de conformité
Je suis un entreprise de taille intermédiaire, dans un domaine autre que la tech et le juridique, qui ne dispose pas de DPO:
- J’ai besoin d’un logiciel collaboratif, capable de s’intégrer avec d’autres applications et capable de générer un plan d’action / une gestion de projet / un workflow
- J’ai besoin de documentation, d’accompagnement, de tutoriels
- J’ai besoin d’un suivi
Je suis une entreprise de taille intermédiaire, dotée d’un DPO ou d’un chargé de conformité ou à l’aise dans ces domaines:
- J’ai besoin d’un outil métier dont je pourrais me servir en toute autonomie
Je suis un DPO:
- J’ai besoin d’un logiciel adapté à mon activité
- J’ai besoin d’un logiciel sécurisé
- J’ai besoin d’être au courant de l’actu
- J’ai besoin d’un outil métier, pratique, rapide, ergonomique
- J’ai besoin de pouvoir gérer mes plans d’actions, mes tâches et mes projets facilement
Parce qu’on ne pourra pas illustrer tous les cas de figures possibles, et que cette liste d’exemples n’est pas exhaustive, n’hésitez pas à remplir notre formulaire pour nous contacter. Ensemble, évaluons vos besoins, déterminons la solution la plus adaptée.
Conclusion 😄
Désormais vous avez toutes les clés en main pour choisir le logiciel RGPD adapté. Sur notre comparateur, découvrez des logiciels RGPD testés et appréciés par nos équipes. Retrouvez notre avis et nos évaluations sur les fiches “En savoir +” de chaque logiciel. Ils ont tous leurs spécificités, leurs avantages et inconvénients , mais surtout notre mission c’est que vous trouviez celui qui est adapté à votre structure, à vos besoins et à vos connaissances RGPD. e
Note de l'article : Comparateur & guide des Logiciels RGPD
Que pensez-vous de cet article ?
Vous êtes éditeurs de logiciels et souhaiteriez voir votre solution sur notre comparateur ? Contactez-nous
Comment pouvons-nous vous aider ?
FAQ : Divorce, droit de la famille
Cette procédure peut conduire à des condamnations sous astreinte et des amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.
Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €