La Legaltech au service de votre conformité RGPD
Des Legaltechs françaises proposent des logiciels permettant aux organisations de gérer les données personnelles qui leur sont confiées dans le respect de la législation en vigueur, alias le règlement général sur la protection des données (RGPD). Zoom sur leurs atouts.
© Maddyness
Temps de lecture : 2 minutes
© Benjamin Lan Sun Luk
Benjamin Lan Sun Luk,
CEO et cofondateur de Leto
© Bertrand Bucelle
© Thomas Vini Pires
Thomas Vini Pires,
Consultant expert en RGPD chez Data Legal Drive et éditeur d’un logiciel de gouvernance RGPD
Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données (RGPD)1 s’applique à toutes les organisations privées ou publiques, quels que soient leur secteur d'activité et leur taille, qui collectent et/ou traitent des données personnelles.
RGPD : une mise en conformité chronophage
Pourtant près de cinq ans après, les assujettis peinent toujours à se mettre en conformité. Par manque de temps pour 56 % des répondants du Baromètre RGPD 2022 mené par Data Legal Drive. « Les exigences du RGPD sont grandes et variées, si bien que la conformité s’avère bien souvent chronophage pour les organisations, constate sur le terrain Thomas Vini Pires, consultant expert en RGPD chez Data Legal Drive, éditeur d’un logiciel de gouvernance RGPD.
Les points d’application qui posent le plus souvent problème sont, d’une part, l’accountability, c’est-à-dire la mise en œuvre de dispositifs permettant de démontrer le respect des règles issues du RGPD, et, d’autre part, la sensibilisation des équipes, sans laquelle la conformité ne peut vivre dans le temps. Changement de paradigme par rapport à la précédente législation de 1978, le RGPD vise à responsabiliser les acteurs qui manient les données personnelles. Il impose de tout documenter, ce qui prend énormément de temps. »
Autre aspect relativement complexe à gérer : « la cartographie des registres car, elle implique toute l’organisation », répond Bertrand Bucelle, directeur général de Mission RGPD, logiciel de mise en conformité.
Des outils pour évaluer votre maturité en gestion de la protection des données
- Créé par la CPME (Confédération des petites et moyennes entreprises) avec le concours de la Cnil (Commission nationale de l'informatique et des libertés), EvalRGPD est un autodiagnostic gratuit et pédagogique.
- La Legaltech Data Legal Drive a également mis au point un diagnostic RGPD qui permet de dresser gratuitement un état des lieux de sa conformité et d’identifier des pistes de progrès.
- La Legatech Mission RGPD propose aussi un diagnostic RGPD gratuit, assorti d’un plan d’action.
Des logiciels dédiés à la mise en conformité RGPD
De nombreuses LegalTech ont investi le créneau dans le but de faciliter et de sécuriser la mise en conformité des organisations. Certaines se concentrent sur une problématique du RGPD, comme la gestion du consentement, quand d’autres proposent des logiciels tout-en-un. C’est le cas de Data Legal Drive, Leto ou encore Mission RGPD. Le premier a été créé par un avocat spécialisé en droit de l’IT, Sylvain Staub ; le second est le fruit de la rencontre entre un éditeur de logiciels, Visiativ, et le cabinet d’avocats Simon Associés ; le troisième est né de l’association de deux entrepreneurs ayant été confrontés aux problématiques du RGPD, Benjamin Lan Sun Luk et Édouard Schlumberger.
Petit nouveau sur le marché, Leto vient de lever 1,2 M€ afin d’asseoir son développement en France, c’est-à-dire recruter et développer de nouvelles fonctionnalités. La start-up ambitionne de doter son outil d’une touche d’intelligence artificielle (IA). « Les entreprises collectent de nombreuses données non-structurées (verbatims, images…), souligne Benjamin Lan Sun Luk, CEO et cofondateur de Leto. L’IA doit permettre d’identifier les données personnelles cachées dans les documents. C’est l’un de nos chantiers pour 2023 ! »
Des fonctionnalités multiples
Ces logiciels permettent un pilotage global des obligations légales découlant du RGPD :
- diagnostic de conformité,
- cartographie des données et des traitements,
- tenue du registre des traitements,
- étude d’impact PIA,
- gestion de l’exercice des droits des personnes,
- gestion et notification des violations de données personnelles,
- évaluation des tiers,
- fourniture de la documentation,
- tableau de bord de suivi avec des KPI…
Le credo de ces Legaltechs ? Proposer un environnement user friendly pour mener les utilisateurs, même sans bagage juridique, sur le chemin de la conformité en toute simplicité. « Ces logiciels viennent pallier le manque de temps, de moyens et de compétences dédiées des organisations, met en exergue Bertrand Bucelle. Bien souvent, face au cadre législatif relativement complexe, elles ne savent pas par quel bout commencer. En s’équipant d’un logiciel RGPD, elles mettent plus facilement le pied à l’étrier. »
Un peu comme des délégués à la protection des données (DPO) externalisés
Les logiciels prennent en effet les utilisateurs par la main et les accompagnent avec pédagogie. Par exemple, le logiciel Data Legal Drive guide les utilisateurs étape par étape à grand renforts d’astuces et conseils. Mission RGPD, quant à lui, propose un plan d’action détaillé et priorisé déterminé en fonction du diagnostic initial, agrémenté d’alertes et d’un mode guidé. Thomas Vini Pires ajoute : « certaines organisations sont frileuses quant à l’idée de s’équiper d’un logiciel et préfèrent travailler à l’ancienne avec un tableur Excel. Mais, elles se privent d’un réel gain de temps. » En effet, les outils misent sur l’automatisation et fournissent des modèles préremplis (clauses, contrats, emails, registre avec fiches de traitement…) qu’il suffit d’adapter. Leto va plus loin dans l’automatisation et promet par exemple d’effectuer l’inventaire des données directement depuis les différents outils de l’organisation. « Au-delà du gain de temps, l’idée est d’éviter les erreurs et les oublis », ajoute Benjamin Lan Sun Luk.
Des outils pour maintenir un bon niveau de compliance et insuffler une culture de la protection des données
« Mais, même le meilleur outil du monde ne peut garantir le respect de la législation : les collaborateurs sont le maillon faible de la compliance !, reconnaît Benjamin Lan Sun Luk. Leur sensibilisation en continu est capitale pour qu’ils intègrent durablement la protection des données dans leurs pratiques. » C’est pourquoi l’outil Leto permet de mesurer le niveau de connaissance des salariés, via l’envoi de questions, et d’appliquer des piqûres de rappel en cas de besoin. Les autres plateformes ne sont pas en reste. Par exemple, Data Legal Drive propose un kit de sensibilisation, constitué de fiches pratiques pouvant être diffusées aux collaborateurs. L’outil intègre également des modules d’e-learning, courts, simples et ludiques. La Legaltech propose en option de la formation pouvant être financée par les Opco grâce à sa certification Qualiopi.
Les start-up n’hésitent pas à partager leur savoir avec tout un chacun : webinaires et vidéos pédagogiques, intitulées "1 minute pour tout comprendre" présentant simplement les principes et bonnes pratiques du RGPD pour Mission RGPD ; veille, guides et livres blancs pour Leto ; livres blancs, infographies, FAQ ou encore carte d’Europe des sanctions et jurisprudences avec un descriptif détaillé des décisions pour Data Legal Drive. Cette dernière réserve à ses clients une veille réalisée en partenariat avec les Éditions Législatives. Quant à Mission RGPD, l’éditeur met à disposition de ses clients un service d’assistance. Au cours de ces quatre rendez-vous annuels, les organisations ont tout le loisir de poser leurs questions et d’échanger avec un consultant RGPD. « La dimension humaine nous paraît essentielle pour rassurer et pour maintenir une dynamique de mise en conformité, estime Bertrand Bucelle. Pour conclure, j’ajouterai que, grâce aux Legaltechs, la conformité RGPD est enfin accessible à toutes les organisations. »
Pour faire le bon choix
N’hésitez pas à demander une démonstration et à vérifier si l’éditeur propose une offre dédiée à votre secteur d’activité, à votre métier ou à votre taille d’organisation. À noter que Mission RGPD est en train de construire une offre pour les notaires avec un partenaire technologique du secteur.
1 https://www.cnil.fr/fr/reglement-europeen-protection-donnees
