Présentation des activités d’édition de logiciels et de services RGPD de SARM Conseil

SARM Conseil est un cabinet de conseil en système d’information et éditeur de logiciels dans le domaine réglementaire.

Le règlementaire concernant les traitements des données privées et des données sensibles va être profondément transformé. À partir de Mai 2018, les organisations devront respecter le Règlement Général sur la Protection des Données (RGPD), règlement européen qui remplace le règlement de la CNIL en France et les équivalents dans les autres états de l’UE. Depuis Avril 2016, date d’officialisation du règlement, les organisations concernées par le règlement se préparent pour être conforme et éviter ainsi les lourdes sanctions de non-conformité prévues dans le règlement.

SARM Conseil vous propose des outils et des services pour vous permettre d’être conforme à ce règlement et à son maintien.

L’objectif est de vous aider à être en conformité à moindre coût et à transformer l’obligation d’être conforme en éléments différentiateurs tant sur l’auditabilité que sur la communication.

Les principaux principes du RGPD sont :

  1. Les droits des citoyens européens pour consulter, pour retirer leurs données des traitements informatiques (voire manuels), pour consentir ou non à ce que leurs données soient utilisées dans un nouveau traitement, pour obtenir la liste complète des données sous un format exploitable par les outils informatiques du marché.
  2. Les obligations des organisations (Administrations, Associations, Collectivités locales, Entreprise, établissements de Santé …) à mettre en œuvre les protections contre toute menace mettant en péril la confidentialité, l’intégrité et la disponibilité des données et à communiquer lorsqu’un incident se produit (Attaques informatiques, Vol de données, Destruction).
  3. L’inversion de la charge de la preuve qui revient désormais aux organisations pour démontrer la conformité au règlement.

L’application de ces principes dans les organisations conduit à un changement profond au niveau de la relation avec les citoyens et au niveau de la gestion des SI (Systèmes d’Infirmation).

Dans la gamme des outils RGPD proposés par SARM Conseil :

  • Un logiciel d’évaluation de la maturité RGPD,
  • Un Registre des Traitements,
  • Un logiciel de Management de la Conformité RGPD pour les DPO,
  • Un service de Gestion de la Relation avec les Personnes Concernées (GRPC).

Le coin des collectivités

En partenariat avec J-Docs.

Présentation de l’outil « Registre des traitements »

Un logiciel unique de l’état des lieux à la définition des plans d’action de mise en conformité. Conteneur idéal des éléments de preuve, il facilite grandement le contrôle interne et les audits externes. Conçu pour s’intégrer dans la gouvernance GDPR, il produira les indicateurs de suivi pour le logiciel du DPO.

Les organisations, les applications, les données et les traitements sont décrits et enrichis dans le Registre des Traitements. Les éléments contribuant à la constitution des preuves sur la finalité, sur la nécessité de recourir à ce traitement ainsi que sur la notion de proportionnalité sont historisés et consultables à tout moment. Les études de risque, les plans d’action ainsi que les analyses d’impact sur les données privées complètent ce Registre des Traitements. Un ensemble de logiciels complémentaires prévus en 2018, conçus pour être interopérables avec le Registre des Traitements éviteront les saisies redondantes.

La souplesse et le paramétrage du Registre des Traitements permettent d’initialiser les données en s’intégrant dans vos propres méthodologies et procédures.

Exemples de process :

  1. Etat des lieux
  2. Initialisation Registre
  3. Recommandations, plan d’action
  4. Suivi plan d’action
  5. Audit de suivi
  1. Audit
  2. Recommandations
  3. Initialisation Registre
  4. Suivi plan d’action
  5. Audit de suivi 

Les principales fonctions

  • Initialisation du registre avec paramétrage des droits et des accès.
  • Gestion des organisations, des interlocuteurs, des applications, chaines de traitements, traitements et données impactées par les traitements.
  • Vues synthétiques, tableau de bord.
  • Fonction de chiffrement des données.
  • Gestion des éléments constituant des preuves potentielles (documents datés, signés et archivés).
  • Gestion des documents relatifs au règlement et aux bonnes pratiques.
  • Gestion des interlocuteurs et des rôles.
  • Gestion des traces.
  • Gestions des droits et des accès.
  • Gestion des référentiels.
  • Paramétrage des scenarii de risque et des actions de traitement des vulnérabilités et des impacts.
  • Non altération des données historisées.
  • Intégration d’une clé pour la signature des actions et des documents produits.
  • Tableau de bord.
  • Alertes.
  • Chargeur de données avec un format prédéfini.
  • Autres chargeurs de données (sur devis).
  • Intégration d’une méthodologie de gestion des risques (Basée sur la méthode EBIOS préconisée par l’ANSSI et la CNIL).

Nos Différences

  • Un logiciel adaptable par paramétrage à un large panel de besoins, conçu pour être utilisé avec un minimum de formation (Quelques heures suffisent).
  • Le même logiciel pourra être utilisé par les personnes (internes ou externes) chargées de l’état des lieux et les personnes chargées de l’initialisation et/ou du maintien du registre des traitements (Une seule saisie).
  • Configuration en mode nomade et en mode multiposte (2017) et en mode SaaS (Avril 2018) – (Une licence acquise pourra être migrée d’une configuration à une autre sur demande).
  • Les articles du règlement avec une recherche Full Text.
  • Un glossaire avec une recherche Full Text.
  • Une base documentaire (Texte de référence, bonnes pratiques).
  • Une saisie simplifiée en fonction de la complexité de l’Organisation et des SI.
  • Une gestion des accès et des droits jusqu’au niveau champ, y compris les objets graphiques (boutons, menu …).
  • Des fonctions de non altération des documents.
  • Des fonctions de non répudiation des saisies réalisées avec signature électronique.
  • Des données sensibles chiffrées.
  • Une gestion économique de la conformité réglementaire.
Ce logiciel est le premier composant qui s’inscrit dans une gamme de logiciels intégrés qui comprend des mises à jour du Registre des Traitements (inclus dans la maintenance annuelle du Registre des Traitements), un logiciel pour le DPO s’appuyant sur le Registre des Traitements, un service de GRPC (Gestion de la Relation avec les Personnes Concernées) pour et un mode SaaS pour Avril 2018.
=

Novembre 2017
Registre des traitements V1

  • En mode autonome.
  • En mode multiposte.
  • Formation & conseil.
  • Assistance à l’installation et support.
=

Février 2018
Registre des traitements V2

  • Ajout fonctions.
  • Modèles sectoriels.
  • Génération de rapports.
  • Fonctions de chargement de données.
=

Mars 2018
Service GRPC et Outils pour le DPO

  • Gestion de l’exercice des droits des citoyens
  • Maintien dans la conformité (DPO).
  • Gouvernance GDPR.

Logiciel RGPD de la gamme RegTeK Decision

SARM Conseil : Jean-Pierre BIDAU +33 681627823
Mail : jeanpierre.bidau@sarm-conseil.fr

Détails du logiciel du « Registre des traitements »

Un point d’entrée unique pour la conformité RGPD.

Une méthodologie de collecte des informations en partant des traitements ayant pour résultat un état des lieux et un registre des traitements initialisé et opérationnel.

Une évaluation de la maturité RGPD intégrée pour optimiser la trajectoire de mise en conformité.

Des questions simples, une évaluation en 3 ou 4 heures.

Un rapport automatique, avec des graphes de synthèse, est généré par le logiciel ; ce rapport exploitable sous Word peut être enrichi selon les besoins.

Le registre supporte des organisations comprenant plusieurs établissements ou des structures à l’étranger sous la responsabilité d’un même DPD ou d’un Responsable des Traitements. La relation est établie par le champ Organisation Mère.

Les données de l’organisation, de ses établissements et des structures rattachés sont stockées dans une seule base.

Les données des organisations indépendantes sont stockées dans des bases de données différentes.

Les Prestataires ainsi que les contrats qui lient les organisations aux prestataires sont également déclarés.

Les interlocuteurs et les rôles sont décrits et paramétrables selon les spécificités d’un secteur d’activité ou d’une profession.

Le registre des traitements est complet, l’ensemble des concepts du règlement sont implémentés dans le registre.

Les scénarii de risque induit par les traitements sont pris en compte (basé sur la méthodologie EBIOS, préconisation de la CNIL et de l’ANSSI).

Un classement des risques autorise une approche de type Quick-Win permettant de réduire le plus rapidement les risques en optimisant les efforts.

Des actions peuvent être proposées afin de réduire les vulnérabilités et/ou les impacts des risques induits par les traitements.

Pour les traitements induisant des risques sur les droits et les libertés des personnes concernées, une analyse d’impact peut être réalisée.

Un rapport sera généré.

Le logiciel est un registre des traitements mais également un assistant qui permet d’assister les opérations de mise en conformité.

Un glossaire entièrement paramétrable est disponible :

Le règlement avec une recherche full text est disponible :

La gestion des droits et des accès.

Pour les organisations complexes avec de nombreux intervenants, une gestion des accès et des droits peut être ajoutée et sera paramétrée selon les besoins.

1 – Déclaration des groupes et des utilisateurs avec affectation des utilisateurs aux groupes.

Exemple de groupes : Admin, DPO, Responsable application, Responsable traitement.

  • Le nombre d’utilisateurs est illimité,
  • Le nombre de groupes est illimité,
  • Un utilisateur peut appartenir à plusieurs groupes,
  • Les groupes peuvent avoir des sous-groupes,
  • Un groupe ne peut avoir qu’un seul groupe parent.

2 – Déclaration des accès au niveau Fenêtre par groupe.

3 – Déclaration des accès au niveau Champs et objets graphiques par groupe.

Pour toute information complémentaire, contacter nous.