ÉDITION #4 – 2020 Benchmark TNP OUTILS DPO, CDO & CISO Avant-propos Guy LETURCQ Directeur général TNP

Nous sommes heureux de vous présenter la quatrième édition de notre panorama des outils autour de la data avec un focus cette année sur les outils du DPO, du CDO (Chief Data Officer) et du CISO. En effet, la crise que nous traversons a mis la data encore davantage dans la lumière que ce soit sous l’angle de : Sa sécurisation avec l’accroissement de la cybercriminalité, Sa protection au sens RGPD afin de renforcer la confiance des clients et collaborateurs, Son exploitation pour en tirer davantage de valeur et accélérer la sortie de crise. Depuis un peu plus de deux ans, les fonctions de CDO (Chief Data Officer) et de DPO sont elles-mêmes de mieux en mieux organisées avec davantage de moyens. Elles constituent l’axe transverse autour duquel se construit la gouvernance de la data, en s’appuyant sur une collaboration de plus en plus étroite avec les autres grandes fonctions concernées telles que celles de RSSI et de DSI. Et surtout elles s’outillent. En réponse, l’offre de solutions des éditeurs est de plus en plus riche voire foisonnante et il est devenu difficile de s’y retrouver pour les non-initiés. C’est pourquoi nous publions ce panorama de l’état de l’art établi en toute indépendance et à dire d’experts, capitalisant sur le grand nombre de missions d’accompagnement et d’aide aux choix d’outils que nous réalisons chaque année. Nous remercions notre partenaire ISE systems pour sa collaboration active à ces travaux. Sommaire

Introduction 04 Notre démarche 05 Les critères de notation 07 Volet 1 – Les Solutions du DPO 21 Volet 2 – Les Solutions du CDO 57 Volet 3 – Les Solutions du CISO 110 À propos de TNP 116 Introduction Florence BONNET Directrice associée, TNP

Les traitements des données sont désormais indissociables de la notion de confiance. Nous avons la conviction que la gestion des données doit s’inscrire dans une approche holistique qui prend en compte les orientations stratégiques, les enjeux métiers, les exigences réglementaires et les besoins de sécurité. Les données sont un actif de l’entreprise, elles ont de la valeur et elles permettent d’en créer. Au-delà de la gestion des risques et de la conformité, l’objectif du Chief Data Officer est d’améliorer l’efficacité des processus dans l’entreprise, de réduire les coûts (traitement des doublons, erreurs, consolidation), d’améliorer la connaissance et l’expérience client, de développer de nouveaux services et business models, de générer un avantage concurrentiel. Dans cette optique, il peut s’appuyer sur diverses solutions technologiques de data quality, data discovery, MDM, gestion des métadonnées, data masking, anonymisation... En obligeant les organisations à cartographier leurs traitements de données, les nouvelles réglementations qui encadrent les usages de la donnée et particulièrement le RGPD, s’avèrent être une véritable opportunité pour les organisations qui souhaitent optimiser la gouvernance de leurs données. Le Règlement Général sur la Protection des Données (RGPD) a officiellement créé la fonction de Data Protection Officer – DPO, dont le rôle est de veiller sur la conformité des traitements de données personnelles. Le Règlement prévoit une obligation de rendre compte (Accountability) pour les organisations et leur impose notamment la tenue d’un registre des traitements, de réaliser des analyses d’impact (AIPD) ou d’encadrer la relation avec leurs sous-traitants. Pour piloter et gérer la conformité mais aussi pour tracer les actions menées, le DPO et ses relais pourront utiliser des solutions logicielles. La sécurité est bien entendu un pilier essentiel du RGPD. Qu’il s’agisse de protéger les données ou les accès à ces données ou de détecter et de gérer les incidents de sécurité portant sur des données personnelles, le Chief Information Security Officer – CISO a besoin de s’appuyer sur la technologie pour faire face à une menace omniprésente et à des attaquants toujours plus performants. Au travers de cette quatrième édition, TNP Consultants entend partager ses connaissances et ses retours d’expérience sur les technologies susceptibles de présenter une forte valeur ajoutée aux acteurs de la donnée dans les organisa- tions. Ce livre blanc a pour ambition d’aider dans leur réflexion et dans leurs déci- sions les métiers et porteurs de projets autour de la donnée. Le Benchmark n’a pas vocation à être exhaustif. Il porte sur une sélection de solutions éprouvées et adaptées aux besoins exprimés par nos clients. TNP Consultants accompagne ses clients dans le choix et le déploiement de solu- tions au sein de leurs organisations.

4 Notre démarche Description 1 de la démarche TNP

UNE DÉMARCHE EN QUATRE ÉTAPES :

Définition du périmètre des outils et des critères d’évaluation N.B. Ce benchmark ne porte pas sur les Analyse de la documentation solutions proposées fournie par l’éditeur par des cabinets de conseil ou Démonstration de la solution d’avocats. réalisée par l’éditeur Dans chaque volet, les éditeurs de solutions sont classés par ordre Tests ou accès alphabétique. à des versions bêta NOTRE DÉMARCHE

UNE ÉTUDE COMPOSÉE DE TROIS VOLETS QUI COUVRENT HUIT DOMAINES :

1 DPO 2 CDO 3 CISO

Usages et exploitation des données

Détection Registre étendu Gouvernance des incidents

Gestion Réponse Métadonnées du consentement aux incidents

Anonymisation

L’étude des outils CDO et CISO a été menée avec la collaboration de notre partenaire ISE Systems

6 2 Les critères de notation

Une série de critères déterminés en prenant en compte les éléments suivants :

Exigences réglementaires

Besoins des organisations (DPO, CDO, CISO)

Besoins des opérationnels (Business Owner)

DEUX TYPOLOGIES DE CRITÈRES :

Critères génériques pour l’ensemble des solutions // : Niveau d’information insuffisant Critères spécifiques à chaque domaine N/A : Critère non applicable

Note globale de la solution NOTRE DÉMARCHE NOTRE

CRITÈRES GÉNÉRIQUES

Générique

ERGONOMIE Facilité d’utilisation et lisibilité des représentations

Prise en main difficile, y compris avec une formation de l’utilisateur

L’interface ne facilite pas la prise en main de la solution et nécessite un investissement personnel de l’utilisateur

Utilisation confortable avec des interfaces graphiques claires et faciles à utiliser (tableau et indicateurs de suivi, graphiques) et formation des utilisateurs

Interface utilisateur augmentée et offrant une plus-value à l’usage (user friendly - la compréhension et l’utilisation de la solution est facilitée). La formation n’est pas indispensable

7 TABLEAUX DE BORD, WORKFLOWS, REPORTING Suivi des actions de mise en conformité RGPD par le DPO / porteur de projet

La solution permet à l’utilisateur de gérer et d’attribuer des tâches

La solution permet à l’utilisateur de gérer et d’attribuer des tâches et de faire le suivi des actions de mise en conformité via des tableaux de bord personnalisables

La solution dispose de tableaux de bord personnalisables avec KPI paramétrables permettant de faire le suivi de l’avancement des tâches, des alertes et notifications sont paramétrables

La solution dispose de tableaux de bord personnalisables avec KPI paramétrables, le workflow permet de faire le suivi complet de l’état d’avancement des tâches, des alertes et notifications sont paramétrables, la solution peut générer des rapports d’activités NOTRE DÉMARCHE MULTILINGUE Disponible en plusieurs langues

Solution disponible en une seule langue

Solution disponible en deux langues dont l’anglais

Solution disponible en plusieurs langues (environ 5)

Solution disponible ou paramétrable en un grand nombre de langues (environ 10)

MULTI-UTILISATEURS Multi-entités et gestion fine des habilitations

Solution avec un seul compte utilisateur

Solution avec plusieurs comptes mais nombre limité de profils, pas de gestion fine des habilitations et des droits

Solution avec plusieurs comptes, plusieurs profils, avec une gestion fine des habilitations et des droits au sein d’une même entité

Solution avec plusieurs comptes, plusieurs profils, avec une gestion fine des habilitations permettant de gérer facilement plusieurs entités et des utilisateurs externes à l’organisation (auditeurs, tiers autorisés…)

HÉBERGEMENT Conditions d’hébergement des informations et des données personnelles

Pas de garantie sur le lieu d’hébergement des informations ni sur les mesures de sécurité

8 Garanties sur le lieu d’hébergement des données mais pas d’information suffisante sur les mesures de sécurité

Hébergement imposé par l’éditeur mais dans un pays offrant un niveau adéquat de protection des données ; information suffisante sur les mesures de sécurité

Choix et gestion du stockage des données par l’utilisateur et information sur les garanties de sécurité fournies par l’éditeur

ÉVOLUTION DE L’OUTIL Maintenance et support de la solution

Support et maintenance de l’existant, déploiement de correctifs

+ Mises à jour régulières et amélioration de la solution

+ Prise en compte des retours utilisateurs et des exigences «métier »

+ Gestion régulière des versions et du contenu avec prise en compte des évolutions des réglementations

Les possibilités de déploiement des solutions sont indiquées de la manière suivante :

O-P La solution est proposée On-Premise

C-PUB La solution est proposée en Cloud public

NOTRE DÉMARCHE NOTRE C-PV La solution est proposée en Cloud privé

HY La solution peut être déployée en Hybrid (Clouds publics et privés)

CRITÈRES SPÉCIFIQUES AU VOLET 1 – LES SOLUTIONS DU DPO

Registre étendu

REGISTRE DES ACTIVITÉS DE TRAITEMENT Conformité à l’article 30 du RGPD

Fiches de traitement à remplir

Fiches de traitement avec assistance (menu déroulant, fiches standards…)

Création automatique de fiches de traitement directement alimentées par des questionnaires paramétrables

Création automatique et par importation de fiches de traitement Excel ; Paramétrage du contenu du registre ; Base documentée des actifs supports de l’entreprise.

9 CARTOGRAPHIE DES DONNÉES

Cartographie sur la base d’une saisie manuelle

Cartographie avec assistance (ex. listing des catégories de données)

Fonctionnalité de cartographie automatisée des données structurées (inclus ou peut s’interfacer)

Fonctionnalité de cartographie automatisée des données structurées et non-structurées (inclus ou peut s’interfacer)

ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES (AIPD)

Fonctionnalité d’AIPD ne permettant pas de répondre aux exigences de l’article 35 du RGPD

Solution intégrant le logiciel PIA de la CNIL

Fonctionnalité d’AIPD basée sur un questionnaire prédéfini permettant de répondre aux exigences de l’article 35 du RGPD NOTRE DÉMARCHE Fonctionnalité d’AIPD basée sur plusieurs modèles de questionnaires prédéfinis et paramétrables permettant de répondre aux exigences de l’article 35 du RGPD

GESTION DES DEMANDES D’EXERCICE DE DROITS DES PERSONNES

Saisie manuelle pour la gestion des demandes d’exercice des droits, sans assistance

Saisie manuelle pour la gestion des demandes d’exercice des droits, avec assistance (menus déroulants, suggestions)

 Gestion automatisée des demandes d’exercice de droits (édition et gestion des formulaires de demande d’exercice des droits)

Gestion automatisée des demandes d’exercice de droits avec suivi des actions et messages de notifications (avec horodatage)

GESTION DES VIOLATIONS DES DONNÉES PERSONNELLES

Saisie des informations relatives aux incidents et violations des données en interne

Saisie des informations relatives aux incidents et violations des données en interne et des partenaires / sous-traitants

La solution peut être interfacée à un outil interne de ticketing / gestion des incidents de sécurité via une API

La solution peut être interfacée à un outil interne de ticketing / gestion des incidents de sécurité via des connecteurs

10 GESTION DES RISQUES FOURNISSEURS ET SUIVI DES CONTRATS DE SOUS-TRAITANCE

Inventaire des prestataires complété manuellement par l’utilisateur

Inventaire des prestataires complété manuellement par l’utilisateur avec des champs permettant de documenter leurs garanties juridiques et de sécurité

Édition et envoi de questionnaires aux prestataires afin de documenter les garanties juridiques et de sécurité sur la base de leurs réponses

Envoi de questionnaires aux prestataires. Complétude automatisée des garanties juridiques et de sécurité et du registre des traitements via les réponses obtenues

ANALYSE DES RISQUES SUR LA SÉCURITÉ

Analyse des risques ne permettant pas de renseigner au cas par cas la gravité et la vraisemblance des risques pour chaque traitement

Analyse des risques permettant de renseigner au cas par cas la gravité et la vraisemblance des risques pour chaque traitement

Analyse des risques permettant de renseigner la gravité et la vraisemblance des risques pour chaque traitement sur la base d’un calcul automatisé

Analyse des risques permettant de renseigner la gravité et la vraisemblance des risques par traitement sur la base d’un calcul automatisé avec un label EBIOS ou ISO/CEI 27005/2018 NOTRE DÉMARCHE NOTRE

11 CRITÈRES SPÉCIFIQUES AU VOLET 2 – LES SOLUTIONS DU CDO

Usages et exploitation des données

VALORISATION DE DONNÉES Préparation de contenus

Variété des connecteurs

Capacité d’organisation

Framework des matchings et qualité

Capacité algorithmique

Analytics

Variété des connecteurs

Capacités de design et patterns de structuration

Performances et rapidité d’exécution des dashboards/rapports NOTRE DÉMARCHE

Analyses libre-service

Data science

Langages techniques évolués

Algorithmes standards (patterns ML, Deep Learning)

Capacités de présentation des résultats

Partage des résultats des études

Sharing Capacity

Extractions

API modulaires

Réplication des contenus

IA & MACHINE LEARNING

Analyse de données / Traitement

Reconnaissance caractères

Langues

Reconnaissance images

Détection Pattern

12 Intelligence

Gestion des risques

Interaction homme / Machine

Navigation autonome

Production indus / Auto des procédés (robotique auto-gérée)

Data science

Architecture

Mode opératoire

Accès aux données

Exploration graphique

Data Mining

Production

Stockage

Filtrage

Distribution

Gouvernance

NOTRE DÉMARCHE NOTRE GOUVERNANCE DES DONNÉES Modélisation des organisations

Fourniture des rôles par défaut

Patterns par famille de données

Patterns métiers

Design de la matrice data au niveau de l’organisation

Modélisation des processus de validation

Gestion d’une activité unitaire

Workflow avec notification des activités

Vue graphique de l’ensemble du Workflow

Dashboard avec KPI et vue graphique interactive

Modélisation des contenus

Manuel

Patterns techniques

13 Patterns Sectoriels

Modèle de cartographie

Outils de suivi

Dictionnaire de données

Dictionnaire de données étendu à l’organisation, au RACI

Vue d’ensemble des processus, applications et données

Dashboard avec KPI et vue graphique interactive sur les processus, applications et données

RÉFÉRENTIEL Golden Records

Stockage des versions intermédiaires

Framework des matchings et quality

Consolidation et cross referencing NOTRE DÉMARCHE

Gestion du versioning et du prévisionnel

Domaine

Mono

Multi-domaines

Patterns défini par domaine

Déclinaison métier du référentiel

Workflows

Gestion d’une activité unitaire

Workflow avec notification des activités

Vue graphique de l’ensemble du Workflow

Dashboard avec KPI et vue graphique interactive

Fonctionnalités

Fourniture des rôles par défaut

Patterns par famille de données

Patterns métiers

Design de la matrice data au niveau de l’organisation

14 CATALOGUE-LINEAGE Connecteur

BDD

Applicatif

Big Data

Solutions Cloud

Scanning

Manuel

Patterns techniques

Patterns Sectoriels

Modèle de cartographie

Cartographie

Carte des données

Liens de « positions » entre les données

Carte de flux des données

Reporting & visualisation dynamique

NOTRE DÉMARCHE NOTRE Dictionnaire de données

Dictionnaire Technique

Classification dynamique

Modèles métiers

Machine Learning

Métadonnées

EXPLORATION - DONNÉES NON-STRUCTURÉES Connecteur

Espace bureautique

Boites mails

GED Archives / support

Solutions Cloud

15 Cartographie

Patterns techniques

Patterns règlementaires

Classification

Design automatique

Accès

Définition des règles

Audit continu

Alertes en cas de menaces

Suivi des risques et de l’amélioration continue

Reporting

Manuel NOTRE DÉMARCHE

Tableau par critères

Carte Graphique

Carte Graphique Interactive

COLLECTE Connecteur

BDD

Applicatif

Big Data

Solutions Cloud

Scanning

Manuel

Patterns techniques

Patterns Sectoriels

Modèle de cartographie

Cartographie

Carte des métadonnées

Liens de « positions » entre les métadonnées

Carte de liens des métadonnées

Reporting & visualisation dynamique des contenus et des règles

16 Dictionnaire des métadonnées

Dictionnaire technique

Classement dynamique des objets

Liens internes entre objets

Liens externes entre objets

Anonymisation

CONNECTEUR

BDD

Applicatif

Big Data

Solutions Cloud

CARTOGRAPHIE (data discovery)

Manuelle

Patterns techniques

Patterns règlementaires

Design automatique NOTRE DÉMARCHE NOTRE

ALGORITHMES / Data Masking

Caractère

Par valeur

Capacité de créer des algorithmes

Combinaison d’algorithmes

DOCUMENTATION (description des métadonnées dans le système)

Manuelle

Technique

Monitoring (surveillance)

Accessible au public

17 Détection d’incidents (SIEM)

CATÉGORIE DE SOURCE Mobiles (critère supplémentaire)

Équipements réseau (routeurs, pare-feu, point d’accès, serveur)

Applications (web, email)

Systèmes d’exploitation (support les fichiers de tous les SE)

Cloud (support les fichiers delog des services cloud)

DÉTECTION USE CASES Détection du phishing (critère supplémentaire)

Détection en temps réel

Détection des faibles signaux

Détection des incidents critiques/avancés (APT) NOTRE DÉMARCHE

Détection des attaques par brute force

TRAITEMENT DES ÉVÈNEMENTS USE CASES Sécurité du transport des logs (protection de la communication entre le SIEM et contrôles de sécurité de l’infrastructure) (critère supplémentaire)

Filtrage des évènements (faux positifs, priorité…)

Contextualisation

Corrélation (mise en place des règles permettant d’alerter sur un incident et identifier les causes)

Redirection vers d’autres systèmes (Ex. SOAR)

GESTION DES LOGS Collection (critère supplémentaire)

Normalisation (visualisation)

Stockage et indexation (volume de stockage)

Archivage

Log data integrity (mécanismes d’audit de la qualité d’intégrité des logs)

18 TECHNOLOGIES INTÉGRÉES

IA

ML

Deep Learning

UBA/UBEA(behavioural analytics)

PERFORMANCE DE L’OUTIL La capacité de réaction automatique (rapides, sures et efficaces)

Rapidité (le délai de réaction du SIEM)

Scalabilité et performance

Flexibilité

Personnalisable dashboards (time correction..)

DOCUMENTATION

Built-in reporting supports (templates)

Documentation personnalisable

AUDIT ET CONFORMITÉ

PCI DSS NOTRE DÉMARCHE NOTRE GDPR

HIPAA

SOX

Réponse aux incidents

RÉPONSE AUX INCIDENTS

Triage des alertes & traçabilité de l’incident

Investigation & Threat Intelligence (alimentation d’une base de connaissance utilisable pour répondre aux incidents)

solation I du système

Guide de résolution (proposition de solutions de remédiation)

19 ORCHESTRATION DE LA RÉPONSE

Workflows de réponse built-in

Workflows de réponse personnalisable

Workflow Mapping (Orchestration des workflows)

FONCTIONNALITÉS

Personnalisation (compatibilité avec d’autres outils et composants)

Intégration bi-directionnelle (push + pull)

Gestion des tickets

Gestion des documentations et des rapports

TECHNOLOGIES INTÉGRÉES

IA NOTRE DÉMARCHE ML

Deep Learning

UBA/UEBA

PERFORMANCE DE L’OUTIL

Rapidité

Scalabilité

Flexibilité

Dashboards personnalisables

20 Volet 1 Les Solutions du DPO 2B Advice

2003 Allemagne www.2b-advice.com

C-PUB O-P C-PV

Éditeur de logiciel d’origine allemande qui compte 17 années d’expérience avec une présence à l’international (bureaux à Bonn, Berlin, Brezno, Munich, Paris, Vérone, Vienne et San Diego), 2B Advice propose une solution de pro- tection de données déployée dans plus de 4000 entreprises. Celle-ci est disponible en SAAS (déploiement en 1 journée) ou On-Premise (déploiement entre 1 et 3 jours). Lorsqu’elle est déployée en SAAS, PrIME est hébergée sur le cloud européen de Microsoft Azure. Un cloud privé peut être également mis en place. La solution se veut simple d’utilisation avec une interface composée de tableaux de bord personnalisés qui peuvent être générés automatiquement. L’utilisa- teur peut tenir des registres de traitements, gérer et documenter les demandes d’exercice de droits des personnes concernées, réaliser des analyses d’impact, remplir des questionnaires d’audit sur la base de divers référentiels (RGPD, lois nationales, label EuroPriSe) et former en ligne les employés. PrIME prédéfinit les catégories de données et l’utilisateur peut s’aider d’une liste de données par défaut qui peut être complétée ou modifiée. Il peut également indiquer des flux de données entre les traitements et générer le diagramme de flux corres- pondant. L’interface facilite la complétude du registre des traitements à partir de questionnaires en ligne (le destinataire n’a pas accès au logiciel), il est égale- ment possible de référencer un traitement afin qu’il soit automatiquement affecté à d’autres filiales ou entités (modification automatique à chaque changement sur le traitement d’origine). Un flag apparait lorsque des données sensibles sont renseignées pour un traitement. VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET La solution est adaptée aux entreprises de toute taille, y compris celles dispo- sant de filiales dans le monde. La prise en main est rapide et facile pour les DPO, les référents métiers ou relais du DPO. La solution est disponible en quatre langues : français, anglais, allemand, italien.

PrIME s’appuie sur un workflow par ticket : Gestion automatique des formulaires de demande d’exercice des droits Création d’une interface entre le formulaire sur le site de l’entreprise et PrIME Notification avec un horodatage est prévue pour permettre de suivre le délai restant pour répondre à la demande Répartition des tâches Traçabilité des actions menées Documentation de la réponse apportée et la date de celle-ci Renseignement des informations concernant les violations de données et les mesures prises

22 Horodatage de l’incident de sécurité avec notification à la personne en charge du traitement des violations de données personnelles Documentation des notifications adressées à l’autorité de contrôle et des communications à la personne concernée.

Ce workflow permet de regrouper l’ensemble de la procédure et les mesures VOLET 1 – LES SOLUTIONS DU DPO prises afin de disposer d’une documentation précise. En plus de cette fonction- nalité de ticket, PrIME dispose d’une interface « REST-API » afin d’intégrer la solution à d’autres logiciels existants (par exemple, outils de ticketing). La solution permet également à son utilisateur de disposer d’une gestion cen- tralisée des sous-traitants. Une fois les informations relatives à un sous-traitant documentées, l’utilisateur pourra retrouver celui-ci via mot clef. Il est égale- ment possible d’ajouter le contrat soit au sein du registre, soit intégrer dans un logiciel de documentation des contrats via l’interface interface « REST- API ». PrIME permet également de documenter les incidents de sécurité de ses sous-traitants et de leur envoyer des questionnaires ; Y compris lorsque ceux-ci ne disposent pas de PrIME, l’éditeur propose de leur faire parvenir des accès aux questionnaires ou des tâches à effectuer. Afin de se mettre en conformité avec le droit applicable aux cookies et autres traceurs, 2B Advice propose un scan des sites web afin d’identifier et d’inven- torier les cookies utilisés.

Critères génériques Ergonomie Cartographie des données

Multilingue Analyse d’impact relative à la protection des données (AIPD) Multi-utilisateurs, multi-entités et gestion fine des habilitations Gestion des demandes d’exercice de droits des personnes Hébergement Gestion des violations des données personnelles Évolution de l’outil Gestion des risques fournisseurs et suivi des contrats de sous-traitance Registre étendu Registre des activités de traitement Analyse des risques et mesures de sécurité

23 NOUVEAUTÉS

Les principales innovations de la version 7.0 de PrIME : Workflow peut porter sur des processus complexes avec plusieurs actions parallèles ou successives. Le workflow peut être déclenché manuellement et/ou être configuré de manière à ce qu’il soit déclenché par un événement (ex : demande d´une personne concernée). Générateur de déclaration de confidentialité disponible dans un grand nombre de langues. Module de gestion des cookies/ des consentements, bandeau cookies : générateur de mentions d’information concernant les cookies et recueil du consentement pour les cookies qui ne sont pas nécessaires au fonctionnement du site. Déclarations de consentement ou d´opposition : la déclaration peut être retrouvée à partir d’une recherche du nom d’une personne. Une interface permet aux logiciels/systèmes utilisés dans l´entreprise de communiquer avec PriME. Plateforme d´échange de modèles de questionnaires, de formations, etc... Contrôle automatique de plausibilité des traitements avec envoi de messages d´erreur en cas de problème de plausibilité concernant un ou plusieurs éléments du traitement.

d’infos sur : https://www.2b-advice.com/en/ VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET

24 Dastra

2018 France www.dastra.eu

C-PUB

Fondé en 2018, Dastra propose une solution simple et guidée de registre des traitements à destination des métiers et des DPO. L’une de ses particularités réside dans son approche « Data centric ». La solution utilise des widgets ce qui en rend son utilisation plus simple. Une API ouverte lui permet de s’interfacer avec d’autres applications VOLET 1 – LES SOLUTIONS DU DPO La solution est collaborative et s’améliore en fonction des besoins exprimés par un groupe d’utilisateurs DPO. Dastra permet une grande flexibilité dans la définition du plan d’actions. Uniquement disponible en SAAS, la solution comprend des Tableaux de bord composés de graphes et d’indicateurs personnalisables sur l’état d’avancement de la mise en conformité et sur les points d’attention. Un fil d’actualités est également présent pour aider l’utilisateur dans sa veille RGPD. La solution est personnalisable. L’utilisateur peut directement gérer ses réfé- rentiels (catalogue de données, inventaire des applications, mesures de sécu- rité), définir les rôles et gérer les habilitations de manière assez fine avec des droits spécifiques. La solution intègre aussi les modules suivants : planification et gestion des tâches, gestion des demandes d’exercice de droits, gestion des cookies, ges- tion du consentement, rapports des incidents. Dastra permet la gestion de plu- sieurs entités via des espaces de travail séparés avec la possibilité de créer des liens entre les entités, leurs traitements et leurs registres.

Alimentation du registre Cartographie automatisée (scan) des données personnelles présentes dans le SI. Cette dernière viendra ensuite alimenter le registre. La vue du registre est personnalisable. Il est possible d’importer les registres existants. La solution permet de faire un lien automatique entre le registre et les réfé- rentiels renseignés par l’utilisateur (catalogue de données, politique d’archi- vage, sous-traitants). La fiche de traitement peut être partagée à l’aide d’un lien public secret avec une durée de péremption ou au moyen d’une invitation envoyée avec un lien d’accès au registre. Il est également possible d’exporter le registre sous différent formats ou au format CNIL.

25 Système de workflow Cela permet de suivre l’état de complétude du traitement et des questionnaires. Il est possible de créer de tâches (tag, propriétaire, personne assignée, délai) et d’en faire le suivi avec des flags (nouveau traitement, en cours, finalisé). Il est possible d’exporter les logs pour identifier la personne qui est intervenue et le temps passé sur les tâches (piste d’audit). Registre des demandes d’exercice de droits des personnes concernées Processus automatisé avec le workflow et l’intégration d’un widget au site in- ternet qui permet de faire une première qualification de la demande et la vérifi- cation de l’identité de la personne (envoi d’un e-mail avec lien de vérification). L’interface proposée à la personne concernée est personnalisable. Le tableau de bord permet de suivre le traitement de la demande. Rapports des incidents Le module permet de renseigner les informations relatives à des violations de données, de créer et de centraliser des rapports, de générer une tâche dans l’onglet de planification et de joindre une pièce jointe. Gestion des cookies Le widget personnalisable à intégrer dans le site internet. Ce module permet de faire un scan du site Internet afin d’identifier les cookies présents, de para- métrer le bandeau cookies, de générer des rapports statistiques, de stocker les consentements et de faire des exports en Excel. La solution a été lancée depuis peu sur le marché. Il sera intéressant de suivre son évolution en fonction de la feuille de route de l’éditeur au cours des pro- chains mois : gestion des contrats de sous-traitance, solution « discovery » per- mettant le lineage de la donnée et de faire le lien avec la cartographie des risques, un module AIPD.

Critères génériques Cartographie des données Ergonomie Analyse d’impact relative à la protection Multilingue des données (AIPD) À venir VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET Multi-utilisateurs, multi-entités Gestion des demandes d’exercice de droits et gestion fine des habilitations des personnes

Hébergement Gestion des violations des données personnelles

Évolution de l’outil Gestion des risques fournisseurs et suivi des contrats de sous-traitance À venir Registre étendu Analyse des risques et mesures de sécurité Registre des activités de traitement À venir

d’infos sur : https://www.dastra.eu/fr/

26 Data Legal Drive

2018 France datalegaldrive.com

Data Legal Drive est l’éditeur d’une solution collaborative de gestion RGPD permettant aux organismes, de la TPE/PME aux sociétés de plus grande taille, de réaliser des diagnostics de conformité, de cartographier les traite- ments de données dans un registre, de piloter et documenter les demandes d’exercice de droits et les violations de données et plus généralement de VOLET 1 – LES SOLUTIONS DU DPO justifier de son « accountability ». La solution est facile à utiliser et la prise en main est rapide, avec un système de glisser/déposer pour ajouter des documents. La solution, distribuée en SaaS privé et mutualisée en 9 langues, permet de piloter la conformité RGPD via un système d’habilitation fine ; Data Le- gal Drive comprend un système de notification des tâches et de workflow simplifié et son organisation en matrice (par métiers et par BU ou entités) permet au DPO de filtrer les informations comme il le souhaite. La solution propose les fonctionnalités suivantes : Cartographie et registre des traitements à l’aide de questionnaires pré-défi- nis et pré-remplis pour les traitements de données standards ; registre article 30 et registre étendu ; possibilité de joindre des documents ou d’insérer des liens vers des documents stockés dans le SI de l’organisation. Documentation des mesures de sécurité et des finalités liées aux supports applicatifs ; il est possible de s’interfacer à un logiciel de cartographie des applications ; Questionnaires de diagnostic permettant d’évaluer et de documenter les me- sures juridiques, organisationnelles et techniques mises en œuvre afin d’éva- luer sa conformité ; Outil de pilotage de projet permettant d’attribuer et de prioriser les actions du plan de conformité de l’organisme, d’attribuer un niveau de risque aux traitements liés à un nouveau projet, de renseigner des analyses d’impact selon les recommandations de la CNIL et de suivre sa conformité selon des indicateurs précis et personnalisables ; l’évaluation du risque lié au traite- ment n’est pas automatisée mais reste déclarative. Outil de suivi et de gestion des demandes d’exercice des droits, intégrant des modèles de réponses qui peuvent être adaptées ; Outil de documentation des violations de données ; la solution ne permet pas encore de s’interfacer avec un outil de ticketing et ne dispose pas de fonctionnalités de workflow associées ; Outil de suivi de la formation du personnel et des audits et contrôles des autorités de protection Grâce au partenariat de Data Legal Drive avec le groupe Lefebvre Sarrut (Dalloz, Editions Législatives, etc.), la solution intègre une veille juridique. De nombreux modèles de documents de conformité au RGPD (contrats de sous-traitance, politiques de confidentialité, etc.) sont aussi disponibles.

27 Les registres et les outils de suivi de la conformité sont exportables en format Excel et PDF. Les documents liés à la conformité peuvent être classés dans une bibliothèque. À noter toutefois qu’une partie des documents ne sont pas toujours paramétrables.

Critères génériques Cartographie des données Ergonomie Analyse d’impact relative à la protection Multilingue des données (AIPD)

Multi-utilisateurs, multi-entités Gestion des demandes d’exercice de droits et gestion fine des habilitations des personnes

Hébergement Gestion des violations des données personnelles

Évolution de l’outil Gestion des risques fournisseurs et suivi des contrats de sous-traitance

Registre étendu Analyse des risques et mesures de sécurité Registre des activités de traitement

d’infos sur : https://datalegaldrive.com/logiciel-conformite-dpo/ VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET

28 Dfakto

2000 Belgique www.dfakto.com

C-PUB

Dfakto est un éditeur de logiciels belge qui propose des solutions permet- tant d’accompagner les entreprises dans leur conduite du changement, ac- tivité de marketing, de pilotage de la performance ou de GRC (gestion des risques et conformité).

Afin d’accompagner ses dernières dans leur mise en conformité au RGPD, VOLET 1 – LES SOLUTIONS DU DPO Dfakto a également développé une plateforme Data Driven comprenant deux modules complémentaires : GDPR360 PILOT gère les tâches et les risques identifiés dans les AIPD, ainsi que les mises à jour de celles-ci GDPR360 ANALYTICS permet de suivre de manière régulière les actions effectuées sur les données sensibles La solution entièrement personnalisable permet de gérer la phase de diagnos- tic, d’implémentation du projet et de suivi de la conformité à partir d’un tableau de bord et d’une suite d’outils : registres de traitements, gestion des violations de données, gestion des demandes d’exercice de droits des personnes (accès, effacement des données), planification et suivi des tâches et des actions cor- rectives. Dfakto propose également une sensibilisation des utilisateurs. Selon la tarification choisie, l’éditeur propose une palette de fonctionnalités : Cartographie des processus de collecte des données et leur localisation Gestion des durées de rétention Gestion des violations de données Gestion des demandes d’exercice de droits des personnes concernées Gestion des cookies et des webforms Sensibilisation du personnel

GDPR Analytics, solution de sourcing des données peut être intégrée à GDPR 360. Dfakto permet également à l’utilisateur de se mettre en conformité avec d’autres réglementations (E-Privacy) ou de respecter des normes telles que l’ISO 27001.

29 Critères génériques Cartographie des données Ergonomie Analyse d’impact relative à la protection Multilingue des données (AIPD)

Multi-utilisateurs, multi-entités Gestion des demandes d’exercice de droits et gestion fine des habilitations des personnes

Hébergement Gestion des violations des données personnelles

Évolution de l’outil Gestion des risques fournisseurs et suivi des contrats de sous-traitance // Registre étendu Analyse des risques et mesures de sécurité Registre des activités de traitement

d’infos sur : https://www.dfakto.com/fr/accueil/ VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET

30 DPOrganizer

2015 Suède www.dporganizer.com

C-PV

Solution de registre des traitements, intuitive et agréable à utiliser qui permet de cartographier et de documenter de manière très complète les fiches de traitements avec les éléments suivants : informations relatives aux sous-traitants et aux sous-traitants secondaires, lieux d’hébergement des données, mesures de sécurité, inventaire des actifs. Il est possible d’y ajou- VOLET 1 – LES SOLUTIONS DU DPO ter des pièces jointes. Disponible en dix langues. DPOrganizer propose une cartographie des flux de données et des transferts vers un pays tiers ou vers des destinataires ce qui permet d’avoir une bonne visibilité sur les chaînes de responsabilités. DPOrganizer intègre une fonctionnalité poussée d’analyse des risques avec ta- bleau de bord et un module de gestion des incidents. La solution comprend des fonctionnalités de workflow assez développées et permet un reporting granulaire. Elle permet de gérer, de suivre et de mettre à jour les relations avec les sous-traitants via une interface ; de leur côté, les sous-traitants peuvent vérifier les enregistrements du responsable de traite- ment, lui suggérer des modifications ou les confirmer en temps réel. DPOrganizer propose des webinars et dispose d’une équipe support pour faciliter la prise en main de la solution. Cet éditeur déclare avoir des clients dans 18 pays. La solution est hébergée en Suède chez un prestataire qui est certifié ISO 27001:2013.

Critères génériques Cartographie des données Ergonomie Analyse d’impact relative à la protection Multilingue des données (AIPD)

Multi-utilisateurs, multi-entités Gestion des demandes d’exercice de droits et gestion fine des habilitations des personnes

Hébergement Gestion des violations des données personnelles

Évolution de l’outil Gestion des risques fournisseurs et suivi des contrats de sous-traitance

Registre étendu Analyse des risques et mesures de sécurité Registre des activités de traitement

d’infos sur : https://www.dporganizer.com/

31 Egérie

2015 France www.egerie-software.com

C-PUB O-P

EGERIE est l’éditeur leader de la gestion des risques cybersécurité en Europe. EGERIE propose une plateforme collaborative permettant une approche globale, agile et structurée pour la gouvernance, le pilotage et la conformité des risques cybersécurité et la protection des données à caractère person- nel. S’appuyant sur un moteur d’analyse et des bibliothèques métiers et nor- matives reconnues par les plus hautes autorités gouvernementales et ré- glementaires, la technologie d’EGERIE permet aux grands donneurs d’ordre européens de comprendre comment elles sont exposées aux risques et de les accompagner dans l’aide à la décision et la détermination des mesures de sécurité à mettre en œuvre. L’éditeur propose deux logiciels : EGERIE Risk Manager : dédié à la cartographie des risques et aux recommandations des moyens de traitement EGERIE Privacy Manager : conçu spécifiquement pour les DPO et l’accompagnement à la gestion de la conformité avec le RGPD

EGERIE Risk Manager est la première solution labellisée EBIOS Risk Manager par l’ANSSI. Elle permet ainsi de déployer la méthode EBIOS Risk Manager au sein de l’en- treprise via la mise en place d’ateliers et de bibliothèques préremplies facilitant la construction de l’analyse de risques selon la méthodologie EBIOS. VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET Les fonctions clés des logiciels EGERIE Risk Manager : Pré-qualification des risques Modélisation et cartographie des risques Évaluation des risques et analyse de l’impact Proposition de mesures et suivi Pilotage des traitements

EGERIE Privacy Manager : Gestion des registres et des fiches de traitement Pré-catégorisation des risques sur la protection des données Génération automatique de rapports et de tableaux de bord Suivi de la conformité RGPD Gestion des demandes d’exercice des droits d’accès Gestion des interlocuteurs et des sous-traitants

32 Gestion des organisations : multi-registres, registre des filiales, indicateurs par registre DPO ou relai par registre Automatisation des PIA / DPIA

Gestion des violations (v3.3 Septembre 2020) : enregistrement VOLET 1 – LES SOLUTIONS DU DPO des violations dans le registre des violations, indicateurs sur le suivi des violations et des mesures correctives, évaluation des conséquences, association aux fiches de traitement. Intégration de PIA Light (v3.4 Décembre 2020)

EGERIE a reçu en 2019, deux « mentions » de 1er ordre dans les analyses de renommée internationale de GARTNER « Magic Quadrant for IT Risk Manage- ment » et « Vendor to watch ». En outre, dans le cadre d’un processus d’amélioration continue de ses solu- tions, EGERIE propose régulièrement des workshop et ateliers de travail à ses utilisateurs afin de partager avec eux des retours d’expérience et sur les enjeux métiers de l’écosystème cyber.

Critères génériques Cartographie des données Ergonomie Analyse d’impact relative à la protection Multilingue des données (AIPD)

Multi-utilisateurs, multi-entités Gestion des demandes d’exercice de droits et gestion fine des habilitations des personnes

Hébergement Gestion des violations des données personnelles // Évolution de l’outil Gestion des risques fournisseurs et suivi des contrats de sous-traitance

Registre étendu Analyse des risques et mesures de sécurité Registre des activités de traitement

d’infos sur : https://www.egerie-software.com/fr/

33 Lyméo

2019 France www.lymeo.fr

C-PUB O-P

RGPD Manager est une solution d’aide à la mise en conformité et de pilotage avec une approche par le risque. La solution est particulièrement adaptée aux PME / ETI. Simple d’utilisation, la solution est disponible en SAAS (déploiement en un jour), hébergée en France avec un hébergeur cloud français ou avec AWS selon le choix du client. Il est également possible de déployer la solution On-premise (sous deux jours à partir des pré-réquis techniques). Concernant la tenue du registre des activités de traitement telle que prévue par l’article 30 du RGPD, l’application ne permet pas aujourd’hui d’importer direc- tement un registre préexistant sous Excel. Cependant, il est possible d’importer les informations nécessaires à la création dudit registre. Un accompagnement du client ou un développement spécifique peut alors être proposé par l’éditeur. L’utilisateur à la possibilité d’exporter le registre au format PDF avec horodatage. L’API développée par Lyméo permet d’intégrer des solutions de découverte des données. Cette intégration est déjà fonctionnelle avec Microfocus et devrait l’être prochainement avec Netwrix. Le module de gestion des demandes d’exercice de droits des personnes ne permet pas pour l’instant de gérer de façon automatisée les formulaires de demande d’exercice des droits. Les notifications horodatées sont présentes dans l’application. Un webhook permet d’intégrer le module de gestion des demandes d’exercice de droits des personnes aux outils ou sites web. VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET Le module « Violation de données » permet de simuler et déclarer une violation de données. Un lien vers le formulaire de la CNIL est également présent dans l’outil de la déclaration de la violation. Le logiciel contient un module de ticke- ting, et s’interface avec des outils tiers. La solution permet de documenter un inventaire de sous-traitants et de décla- rer un incident de sécurité chez un sous-traitant, de la même manière que pour un client ou une filiale. Il n’est pour le moment pas possible de gérer les contrats via la solution ou d’envoyer des questionnaires aux sous-traitants. Cependant, l’utilisateur peut donner des droits au sous-traitant pour qu’il remplisse les in- formations directement dans le logiciel, sans accéder aux autres parties qui ne le concernent pas.

RGPD Manager est construit autour de 4 modules : Via son module cartographie, la solution permet de référencer l’ensemble des organisations (entités, filiales, sous-traitants…) en lien avec le responsable du traitement, de cartographier les données personnelles, de créer des registres et de renseigner les violations de données,

34 Via son module « EIVP/AIPD » les informations saisies dans le module cartographie vont permettre de générer automatiquement des analyses d’impact, Via son module « Projet », l’utilisateur va piloter et suivre les projets

et l’implémentation des mesures de mise en conformité. Un système VOLET 1 – LES SOLUTIONS DU DPO d’alerte et de notification est prévu, Via son module « Paramètres », l’utilisateur va configurer la méthode d’authentification de l’application, mais également gérer les droits et habilitations des utilisateurs (3 rôles par défaut : admin, user, lecture seule mais la solution propose également de gérer finement les droits des utilisateurs : lecture/écriture/suppression). La solution comprend des référentiels de sécurité basés sur les normes CIGREF, ISO 27000, PCI DSS, à appliquer aux traitements de données personnelles ren- seignés dans le registre. RGPD Manager est doté d’un moteur de recherche global permettant d’accéder, de supprimer ou modifier l’élément voulu. Le module d’analyse de risques compris dans la solution suit la méthode EBIOS.

Critères génériques Cartographie des données Ergonomie Analyse d’impact relative à la protection Multilingue des données (AIPD)

Multi-utilisateurs, multi-entités Gestion des demandes d’exercice de droits et gestion fine des habilitations des personnes

Hébergement Gestion des violations des données personnelles

Évolution de l’outil Gestion des risques fournisseurs et suivi des contrats de sous-traitance

Registre étendu Analyse des risques et mesures de sécurité Registre des activités de traitement

d’infos sur : https://www.lymeo.fr/

35 Mega International

1991 France www.mega.com

C-PUB O-P C-PV HY

Solution de gestion collaborative de la mise en conformité et de gestion du registre des traitements donnant une vue dynamique des composants métiers et IT ainsi que de leurs interdépendances avec une carte des flux de données pour visualiser les transferts de données et une carte de chaleur (heat map) concernant les risques ; nombreuses possibilités de cartographie et de reporting. Pour les organisations qui utilisent déjà MEGA International, les fiches de trai- tements peuvent être initialisées à partir de la cartographie des applications ou des processus. Les fiches de traitements ne sont pas personnalisables. Tous les registres sont centralisés et donc visibles sans que soient prévus des accès limités par registre par référent DPO. Chaque rôle est associé à un tableau de bord défini, composé de graphiques et d’indicateurs permettant d’évaluer l’avancement des tâches. La solution permet de responsabiliser les métiers en leur donnant des accès li- mités pour remplir les fiches de traitements pour lesquels ils sont responsables. Elle intègre un module de gestion des violations de données encore perfectible à ce stade. Hopex Privacy Management permet de gérer et de centraliser les demandes de droit d’accès avec prise en compte du délai de réponse restant. Hopex Privacy Management comprend une fonctionnalité permettant de docu- menter des AIPD (proposition de modèle) et des recommandations.

VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET MEGA revendique 2 700 clients dans une quarantaine de pays. Hopex Privacy Management est disponible On-Premise, Cloud Multi-tenant Mi- crosoft Azure France, ou Cloud Mono-tenant Microsoft Azure France certifié SOC 2.

36 NOUVEAUTÉS La solution devient HOPEX Privacy Management et permet de gérer la confor- mité de diverses réglementations, pas uniquement le RGPD

La fonction d’import/export de fichiers Excel est désormais disponible et la VOLET 1 – LES SOLUTIONS DU DPO solution fournit en standard l’export des registres en format CNIL L’accès aux registres existants est filtrable par entité juridique et département La solution permet de détailler les plans d’actions et de suivre la mise en œuvre des mesures de remédiation grâce à des workflows dédiés Elle permet de détailler les exigences de plusieurs règlementations et d’évaluer leur impact sur les traitements existants Analyse des risques : le module IRM qui est intégré avec Hopex Privacy Management permet de gérer les risques conformément à la méthode EBIOS.

Critères génériques Cartographie des données Ergonomie Analyse d’impact relative à la protection Multilingue des données (AIPD)

Multi-utilisateurs, multi-entités Gestion des demandes d’exercice de droits et gestion fine des habilitations des personnes

Hébergement Gestion des violations des données personnelles

Évolution de l’outil Gestion des risques fournisseurs et suivi des contrats de sous-traitance

Registre étendu Analyse des risques et mesures de sécurité Registre des activités de traitement

d’infos sur : https://www.mega.com/fr/produit/hopex-privacy-management

37 One Trust

2016 USA www.onetrust.com

C-PUB O-P C-PV HY

OneTrust est une plateforme de gestion des risques de confidentialité et de mise en conformité aux règles de protection des données personnelles. Conçue pour opérationnaliser Confidentialité, Sécurité et Confiance, OneTrust est une solution utilisée par plus de 5000 entreprises de toutes tailles et de tous secteurs (santé, banque, assurance, media, luxe, industrie et service, édi- teurs logiciels, technologie…) Avec l’acquisition de OneTrust DataGuidance, un portail de veille réglementaire composé de juristes et d’un réseau de 500 avocats One Trust s’affirme comme un des leaders des solutions de gestion de la conformité aux réglementations de protection des données. Avec plus de 75 brevets déposés, OneTrust permet aux entreprises de bénéfi- cier de programmes de conformité innovants et uniques. Son approche permet un accompagnement approfondi de la mise en confor- mité grâce à des solutions modulaires évoluant au fur et à mesure du déve- loppement du programme de confidentialité et de protection des données de l’entreprise. Sa communauté mondiale et active, myoneTrust, est composée d’utilisateurs engagés ce qui permet d’échanger avec des professionnels du monde en entier pour partager les bonnes pratiques du secteur. Un soin particulier est apporté aux retours utilisateurs pour enrichir les versions successives. Le développement des capacités de la plateforme ainsi que son déploiement VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET sont facilités avec l’intégration des applications professionnelles de l’entreprise grâce à plus de 500 plug-ins disponibles et prêts à l’emploi via une infrastruc- ture API ouverte. Selon l’offre choisie, la solution peut être déployée sur un Cloud US, un Cloud européen, un Cloud privé ou On-premise. L’hébergement de données est éga- lement possible en France. La solution disponible en plus de 100 langues comprend un registre des traite- ments, permet d’automatiser les analyses d’impact et la cartographie des don- nées. Le module registre et cartographie de données permet de conserver une cartographie à jour des flux de données et des registres ainsi que d’appliquer une stratégie d’atténuation des risques pour assurer la conformité. Les registres et rapports évolutifs permettent de maintenir une conformité globale. Un module spécifique permet également de gérer la conformité des sites Inter- net - notamment la gestion des cookies - en analysant le site Web et en catégo- risant automatiquement les cookies et autres technologies de suivi. Le bandeau cookies ainsi que le centre de préférences sont personnalisables par domaine en fonction de votre approche de consentement et de géolocalisation.

38 Un module de collecte et de gestion du consentement permet de suivre le consentement pour chaque traitement de données, au travers d’un registre centralisé qui est alimenté par les différents points de collecte (Webform, API, cookies, etc.) Un centre de préférences permet de simplifier l’accès et la mise à jour des préférences des utilisateurs finaux et permet d’assurer une expérience utilisateur transparente sur tous les canaux numériques. Par ailleurs, le module VOLET 1 – LES SOLUTIONS DU DPO permet la conservation des preuves de consentement afin de démontrer la conformité. Également conçu et utilisé par les équipes marketing, ce module permet de surveiller les taux de participation et d’engagement des visiteurs du site Web afin d’optimiser la collecte des consentements. Un portail paramétrable pour que les personnes concernées formulent et trans- mettent leurs demandes d’exercice de droits avec un système de double au- thentification par mail est prévu. La solution est fondée sur un codebase dont l’objectif est de favoriser l’automa- tisation en optimisant l’utilisation des données entre différents modules. A titre d’exemples, les cartographies de données sont actualisées par le contenu d’une analyse d’impact. Les politiques et mentions sont associées aux registres de consentement. Les risques informatiques sont synchronisés aux cartographies pour assurer un programme complet. L’ensemble des tâches sont réalisées grâce à des questionnaires que l’on peut adapter et paramétrer. Il est possible d’importer une liste de traitements ou un registre déjà existant. One Trust permet également la gestion des partenaires et des sous-traitants et offre une gestion fine des droits d’utilisateurs. Chaque utilisateur peut être rattaché à n’importe quelle entité ou département et aura un accès aux projets et traitements correspondants. Des utilisateurs externes peuvent être créés, avec un accès temporaire à la so- lution et des habilitations en fonction de leur rôle. Ainsi, les utilisateurs invités n’ont accès qu’à un questionnaire ou à un projet donné auquel ils accèdent par une URL. OneTrust a également des modules de gestion des politiques de confidentialité et mentions d’information et permet notamment de réaliser une étude compa- rative des programmes de confidentialité. Par ailleurs, le lancement début 2020 de OneTrust Athena, un robot intelligent, ajoute à la plateforme des capacités d’intelligence artificielle, d’apprentissage automatique, d’intelligence prédictive et d’automatisation robotique. La solution est entièrement personnalisable, il est possible de modifier les inti- tulés des rubriques selon la terminologie employée dans l’entreprise.

39 OneTrust se distingue par son engagement fort, sa collaboration avec les dif- férents acteurs de l’industrie et ses échanges fréquents avec les autorités de contrôle et notamment avec la CNIL où des travaux sur des projets communs sont organisés. Le suivi et l’implication dans les actualités réglementaires ainsi que la remontée des retours et questions fréquentes des clients permettent un développement rapide de la plateforme et de ses différentes fonctionnalités. Cependant, il ne faut pas négliger le temps nécessaire au paramétrage et au déploiement de la solution avant de commencer à y intégrer des données. A cet effet, une équipe dédiée de support technique assiste les clients en cas de question. Par ailleurs, OneTrust propose une gamme de formations certifiantes aux différents modules de la solution.

Critères génériques Cartographie des données Ergonomie Analyse d’impact relative à la protection Multilingue des données (AIPD)

Multi-utilisateurs, multi-entités Gestion des demandes d’exercice de droits et gestion fine des habilitations des personnes

Hébergement Gestion des violations des données personnelles

Évolution de l’outil Gestion des risques fournisseurs et suivi des contrats de sous-traitance

Registre étendu Analyse des risques et mesures de sécurité Registre des activités de traitement

d’infos sur : https://www.onetrust.com/ VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET

40 Risk’n Tic

2016 France www.riskntic.com

Risk’n Tic est un éditeur français avec le statut de « jeune entreprise innovante » (JEI) qui a récemment obtenu le label EBIOS Risk Manager de l’ANSSI. Cet édi- teur a quelques références dans le secteur public (communes et agglomérations de communes), et dans le secteur privé (TPE /PME, grande distribution...) ; il bé- néficie aussi d’un partenariat avec BPI France. VOLET 1 – LES SOLUTIONS DU DPO La solution peut être déployée en On-premise ou en SAAS (cloud OVH) et contient selon l’offre retenue deux modules complémentaires faisant le lien entre le SMSI et le RGPD. Risk’n Tic SSI : pilotage du SMSI et réalisation d’analyse de risques Ebios Risk Manager ou ISO27005, analyses d’écart sur différents référentiels (ANSSI, SOX, NIST, Guide d’hygiène informatique….) ou encore déploiement des plans de contrôle ; Risk’n Tic RGPD : suivi de la mise en conformité via des Tableaux de bord, tenue du registre des traitements à jour, réalisation des analyses d’impact. Son point fort : La solution est simple et facile à prendre en main et répond aux besoins du DPO et du RSSI. Elle permet d’avoir une représentation graphique des risques liés aux traitements de données et d’avoir soit une vision consolidée des risques soit une vision par traitement. Disponible en français et anglais, la solution permet une gestion collaborative et un suivi des actions de mise en conformité (tableau de bord et indicateurs, possibilité de générer des rapports). Elle comprend plusieurs référentiels (me- sures de sécurité, traitements de données personnelles, etc.) ; il est possible d’enrichir un référentiel existant ou de créer / importer son propre référentiel dans la solution. Risk’n Tic permet de gérer plusieurs entités. La solution propose 7 rôles par défaut (profil DPO, profil métier, profil chef de projet, etc..). Les principales fonctionnalités proposées par Risk’n Tic RGPD : Registre des traitements : Le registre se compose de l’ensemble des fiches de traitement ; Il est possible d’importer un registre sous format Excel (parfois des développements supplémentaires seront nécessaires) ; La solution comprend aussi des fiches de traitements déjà préremplies ; Il est possible de dupliquer les traitements d’une organisation à une autre et de consolider les informations de plusieurs entités ;

41 Pour chaque traitement : un indicateur de suivi de la complétude de la fiche, des mesures de sécurité standard sont proposées, un niveau de criticité (1 à 4) est défini, des graphiques permettent de visualiser le respect des bonnes pratiques de sécurité et des principes fondamentaux et un plan d’actions à mener. Analyse des risques et DPIA : Questionnaire basé sur le guide l’ANSSI avec évaluation du niveau de maturité et sur le référentiel PIA (V3) de la CNIL ; L’utilisateur peut personnaliser le questionnaire ; Possibilité de renseigner les atteintes aux données (disponibilité / intégrité / confidentialité), l’impact et la probabilité par traitement ; Évaluation du risque brut / risque courant / risque résiduel avec une matrice permettant de visualiser en fonction du plan de traitement du risque la diminution de ce dernier. Suivi des sous-traitants : la solution permet de dresser un inventaire des sous-traitants et de fournir à ces derniers un accès pour qu’ils complètent di- rectement leurs garanties de sécurité directement dans l’outil ; Suivi des incidents : la solution permet de renseigner les incidents de sécuri- té (date de survenance, notification, description, l’impact sur les données, le nombre de personnes concernées, etc.). Cependant, la solution ne comporte pas de lien vers le formulaire de la CNIL et ne permet pas aujourd’hui d’interfa- çage avec outil de ticketing interne. Demandes de droit d’accès : la solution permet de renseigner manuellement les informations relatives à une demande de droit d’accès (date de la demande, identité du demandeur, évaluation de la demande par le DPO, et suivi).

Critères génériques Cartographie des données Ergonomie Analyse d’impact relative à la protection Multilingue des données (AIPD)

Multi-utilisateurs, multi-entités Gestion des demandes d’exercice de droits et gestion fine des habilitations des personnes

VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET Hébergement Gestion des violations des données personnelles

Évolution de l’outil Gestion des risques fournisseurs et suivi des contrats de sous-traitance

Registre étendu Analyse des risques et mesures de sécurité Registre des activités de traitement

d’infos sur : https://www.riskntic.com/

42 Securiti.ai

2018 USA securiti.ai

SECURITI.ai est un éditeur de logiciel américain qui a développé trois solutions pour répondre aux besoins d’accompagnement à la mise en conformité au CCPA, RGPD et LGPD. Ses logiciels ont été élaborés selon la même logique, recourir à un système « AI Driven » alimenté par une fonctionnalité « data discovery » des données personnelles dans le système d’information afin d’automatiser les diffé- rents process comme par exemple, la gestion des demandes d’exercice de droits VOLET 1 – LES SOLUTIONS DU DPO des personnes ou la documentation pour l’accountability. La philosophie de PRIVACI.ai repose donc sur l’alliance entre l’expertise hu- maine (« people data intelligence ») et l’automatisation (« IA automation ») pour assurer la conformité des organisations. Un module GDPR Data Governance permet de scanner de manière continue la donnée afin d’identifier les écarts de conformité et les points de contrôle sécurité. La solution va se connecter aux applications (SaaS ou On-premise) afin d’identifier parmi les données structurées et non-structurées, les informations personnelles dans le système d’information grâce aux patterns (« data scanning »). Securiti.ai va ensuite automatiquement constituer des fiches et des graphiques des données relatives aux personnes (« people data graphs ») donnant ainsi une meilleure visibilité et une cartographie complète des données. La solution permet également de scanner les sites Internet afin d’identifier et de catégoriser les cookies, de customiser son bandeau cookies et de collecter et conserver la preuve des consentements via un centre de préférences. Présentée comme une console centralisée avec des tableaux de bord et des graphiques comprenant différents modules permettant d’aider le DPO dans l’accomplissement de ses missions. Ainsi, la solution dispose de modules : De gestion des droits des personnes (vérification d’identité, formulaires prérédigés à destination des personnes concernées, portail spécifique –sécurisation end-to-end des échanges) De gestion du consentement (formulaires de recueil du consentement prérédigés, gestion bandeau cookies) De gestion des violations (en fonction de la violation, la solution permet de déterminer quelle personne concernée doit être notifiée) De gestion des partenaires et sous-traitants (évaluations et questionnaires prérédigés à envoyer aux vendors et la solution va flagger automatiquement les risques au retour des réponses, évaluation automatique des politiques de confidentialités des tiers) D’évaluation interne des traitements, notamment pour les AIPD.

43 Le module de gestion des demandes d’exercice de droits est personnalisable et permet d’automatiser un maximum de tâches. Ainsi, l’utilisateur va pouvoir réaliser son propre webform et l’intégrer à son site Internet. Une fois la de- mande formulée par la demande concernée, l’utilisateur de la solution reçoit une notification. Les échanges avec la personne concernée se font à travers un portail personnalisé et sécurisé. Des réponses prérédigées sont proposées, notamment en cas de refus. Un workflow de vérification et de rectification des informations permet d’automatiser les modifications pour chaque occurrence de l’information personnelle erronée de la personne concernée. Les demandes d’opposition et d’effacement sont également automatisées lorsque l’utilisateur fait droit à la demande. La solution dispose également de trois onglets : « Compliance records » pour compiler les registres de traitements et les éléments permettant de répondre à l’obligation d’« accountability », Un portail collaboratif, Une interface de conversation. Dans l’interface, une map monde permet de visualiser la localisation de l’hé- bergement des données personnelles à l’aide d’un moteur de recherche.

Critères génériques Cartographie des données Ergonomie Analyse d’impact relative à la protection des Multilingue données (AIPD) // Multi-utilisateurs, multi-entités Gestion des demandes d’exercice de droits des et gestion fine des habilitations personnes // Hébergement Gestion des violations des données personnelles // Évolution de l’outil Gestion des risques fournisseurs et suivi des contrats de sous-traitance

Registre étendu Analyse des risques et mesures de sécurité Registre des activités de traitement //

VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET

d’infos sur : https://securiti.ai

44 Siatel

1983 France www.siatel.com

C-PUB O-P

Siatel est un éditeur des solutions permettant aux organisations de gérer leurs documents en proposant une automatisation des processus : Work- flow/BPM, GED/ECM, archivage sécurisé, numérisation. Siatel a 37 ans d’expérience dans l’édition de logiciel ; elle est particulièrement présente au sein des entités du secteur public. Sa solution RGPD Conformité

s’inscrit dans la gamme Gargantua a’doc ce qui lui permet de bénéficier des VOLET 1 – LES SOLUTIONS DU DPO fonctionnalités de sa suite logicielle Gargantua qui repose notamment sur des fonctionnalités de GED et de workflow éprouvées depuis de nombreuses an- nées dans les autres solutions proposées par l’éditeur. La solution est disponible en six langues (français, anglais, espagnol, russe, roumain, hongrois). RGPD Conformité est pensée pour les organismes disposants de plusieurs en- tités et dont la conformité est pilotée par un DPO mutualisé. De fait, l’éditeur a intégré la possibilité de gérer un nombre illimité d’entités juridiques dans une base unique tout en permettant à l’utilisateur de cloisonner les accès selon les droits. Il est également possible de lier des organismes-modèle et des biblio- thèques de fiches de traitement types par groupe / entités. La solution permet également de gérer les registres par entité et/ou consolidé. Disposant d’une interface simple, intuitive et personnalisable, RGPD Confor- mité permet au DPO de : Renseigner ses fiches de traitement, déléguer la complétude des fiches avec validation par le DPO, Élaborer un registre, Inventorier les contrats des sous-traitants, Inventorier les consentements : recueil multicanal et suivi des consentements avec stockage daté de l’accord ou du refus Documenter et centraliser les demandes d’exercice de droits et les violations de données, Élaborer des plans d’action, AIPD, Visualiser le suivi des tâches, les délais, notifications par mail, représentation graphique des liens entre les documents (fiches de traitement, contrats des sous-traitants, courriers en lien avec des demandes d’exercice de droits, etc.)

45 La solution permet une gestion collaborative du registre avec validation finale du DPO et gestion fine des habilitations et des droits. Il est possible de stocker toutes les preuves et documents permettant d’attester de la conformité. L’éditeur propose une formation d’une demi-journée et estime l’effort de déploiement à 7 jours.

Critères génériques Cartographie des données Ergonomie Analyse d’impact relative à la protection des Multilingue données (AIPD)

Multi-utilisateurs, multi-entités Gestion des demandes d’exercice de droits des et gestion fine des habilitations personnes

Hébergement Gestion des violations des données personnelles

Évolution de l’outil Gestion des risques fournisseurs et suivi des contrats de sous-traitance

Registre étendu Analyse des risques et mesures de sécurité Registre des activités de traitement

d’infos sur : https://www.siatel.com/ VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET

46 Smart Global Gouvernance

2017 Monaco www.smartglobalprivacy.com

C-PUB O-P C-PV HY

Smart Global Privacy est une console collaborative de gestion et pilotage de la conformité RGPD. Son interface est simple et facile à utiliser. Totalement personnalisable, la solution permet l’import de documentation et

de questionnaires préexistants. L’import automatique d’un registre au « format VOLET 1 – LES SOLUTIONS DU DPO CNIL » est possible. Les questionnaires ont été élaborés avec les métiers ; ils sont évolutifs en fonc- tion des réponses données par l’utilisateur (700 secteurs d’activités et 55 000 métiers pré-enregistrés). Le nombre d’utilisateurs est illimité. Un accès multi-entreprises pour les filiales d’un même groupe est prévu. Le DPO a accès à l’ensemble des registres des organisations. Trois profils de base sont disponibles (administrateur, pilote de la conformité et utilisateur). Il est possible de les personnaliser et de créer des nouveaux profils. La solution comprend les fonctionnalités suivantes : Une base documentaire, Des tableaux de bord avec des indicateurs de suivi de la conformité et de l’état d’avancement du plan d’action. Un registre des violations qu’il est possible de renseigner via une API avec une qualification du niveau de gravité des incidents. Un accès pour permettre aux sous-traitants de renseigner leurs violations de données (module spécifique). Un registre des demandes d’exercice de droits des personnes. La solution peut-être interfacée avec un site web ou d’autres systèmes pour alimenter directement ce registre. Les informations liées aux consentements des personnes sur Internet peuvent être transmises aux canaux marketing et communication grâce à une solution « open source » basée sur le standard IAB TCF. La cartographie des traitements est préconfigurée grâce aux questionnaires s’appuyant sur les retours métiers, les audits sont collaboratifs et paramétrables. La solution peut être déployée sur un cloud public (hébergement en France sur Microsoft Azure), un cloud privé ou hybrid, ou encore On-Premise au choix dans 100 pays, selon l’offre choisie. Smart Global Gouvernance dispose de cer- tification ISO 27001 et HDS.

47 NOUVEAUTÉS Améliorations des fonctionnalités de gestion des entités et des organisations, création de profil spécifiques Connexion avec l’Active Directory Système de double vérification des informations Module d’audit express Pour la cartographie : liste de tâches par métier (activités et finalités des traitements) Logique d’héritage qui permet de définir les traitements communs « mise en socle » au sein d’un groupe Questionnaire d’évaluation du niveau de risque et de la nécessité d’une AIPD (avec les listes de la CNIL) Possibilité de renseigner les sous-traitants et les logiciels impliqués Génération de l’AIPD dans l’outil à partir d’une analyse déjà existante Possibilité d’ajouter des documents en PJ à chaque tâche pour démontrer la conformité Veille juridique automatisée Connexion à des outils de breach tracking et permettant une notification directe au DPO Smart Global Privacy a également obtenu une certification AFAQ protection des données personnelles.

Critères génériques Cartographie des données Ergonomie Analyse d’impact relative à la protection Multilingue des données (AIPD)

Multi-utilisateurs, multi-entités Gestion des demandes d’exercice de droits et gestion fine des habilitations des personnes

Hébergement Gestion des violations des données personnelles

Évolution de l’outil Gestion des risques fournisseurs et suivi VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET des contrats de sous-traitance

Registre étendu Analyse des risques et mesures de sécurité Registre des activités de traitement

d’infos sur : https://www.smartglobalprivacy.com/fr/

48 Tesi Square

1995 Italie tesisquare.com

O-P C-PV

Cet éditeur de logiciel propose un module de mise en conformité RGPD au sein de sa suite logicielle de GRC. Disponible On-Premise et en cloud privé, celle-ci est entièrement paramétrable et comprend un registre alimenté de manière automatisée à partir des fiches de traitement. Modulable et personnalisable, TESI GRC permet de gérer les différentes enti-

tés en fonction d’une charte se calquant sur l’organisation de l’utilisateur. Il est VOLET 1 – LES SOLUTIONS DU DPO également possible de « mapper » les rôles et habilitation (notamment pour les externes). Un workflow permet de structurer, d’automatiser et d’exécuter la démarche au sein d’un groupe ou d’une grande organisation. Il est ainsi possible d’attribuer des tâches, des notifications et des question- naires automatisés aux différents acteurs au sein d’un même groupe et de suivre leur état d’avancement. Outre la tenue du registre, la solution permet aussi de : Bénéficier d’une gestion collaborative basée sur un workflow capable d’engager, quand cela est nécessaire, les rôles qui ont des responsabilités, Mettre en place une gestion et une gouvernance des sous-traitants, de la qualification du sous-traitant jusqu’à l’audit des mesures de conformité et de sécurité, Gérer le registre des requêtes des personnes concernées, Gérer le registre des incidents et des violations de données, Mener des AIPD et des analyses de risques : le module reprend les recommandations de la CNIL, les guidelines de l’EDPB et le standard IS029134. Il permet également de prévoir des mesures de sécurité pour atténuer les risques. Implémenter des mesures de sécurité Gérer les demandes d’exercice de droits des personnes Gérer les incidents Identifier les gaps de conformité et élaborer un plan d’action Inventaire des sous-traitants Module d’audit – internes / externes (sous-traitant) De paramétrer des alertes et des notifications Possibilité d’interfacer la solution avec d’autres solutions (solutions RH, IAM, collecteurs de logs, etc.) Analyse de risques périodiques Process de Privacy by Design pour tout nouveau traitement ou pour les traitements ayant eu une analyse d’impact

49 La solution comporte aussi une méthodologie de « Privacy by Design et Privacy by Default » pour tout nouveau traitement ou pour les traitements nécessitant une analyse d’impact. TESI Square s’intègre au système d’information et d’ana- lyse des risques de l’organisation.

Critères génériques Cartographie des données Ergonomie Analyse d’impact relative à la protection Multilingue des données (AIPD)

Multi-utilisateurs, multi-entités Gestion des demandes d’exercice de droits et gestion fine des habilitations des personnes

Hébergement Gestion des violations des données personnelles

Évolution de l’outil Gestion des risques fournisseurs et suivi des contrats de sous-traitance

Registre étendu Analyse des risques et mesures de sécurité Registre des activités de traitement

d’infos sur : https://tesisquare.com/en/ VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET

50 La gestion du consentement VOLET 1 – LES SOLUTIONS DU DPO

Renforcé par le RGPD, le consentement offre aux personnes concernées un contrôle concret et effectif sur l’utilisation qui est faite de leurs données personnelles. Si le responsable du traitement n’est pas tenu de recueillir systématiquement celui-ci, en préférant s’appuyer sur une autre des six bases légales définies par le Règle- ment, il sera parfois tenu de le faire en vertu de dispositions légales spécifiques. Ainsi, dans l’optique de se mettre en conformité aux exigences des articles 4 et 7 du RGPD et aux recommandations et lignes directrices de la CNIL, les éditeurs de site Internet se tournent vers des solutions logicielles. On constate deux situations qui se sont majoritairement répandues en pratique : Le recours à une solution spécifiquement dédiée à la gestion du consentement – Consent Management Plateform (Use case 1) ; Le recours à une solution permettant au DPO de piloter et gérer les différents aspects de la mise en conformité RGPD et comprenant une fonctionnalité de gestion du consentement (Use case 2). Quelle que soit l’approche choisie, TNP et ses partenaires vous accompagnent dans l’élaboration et la mise en œuvre d’une stratégie de gestion du consen- tement adaptée.

51 Use case 1 Vous choisissez de recourir à une solution spécialisée dans la gestion du consentement VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET

52 Didomi

2017 France www.didomi.io

Didomi est un acteur français reconnu pour son expertise dans la gestion du consentement des utilisateurs et dans le paramétrage de leurs préférences (Preference center). Didomi équipe plus de 25 000 sites Internet et applications mobiles avec une solution de bout en bout. Le déploiement est facilité grâce à des SDKs natifs. VOLET 1 – LES SOLUTIONS DU DPO Une des forces de Didomi est d’avoir su s’adresser directement aux développeurs auxquels des guides sont mis à dispositions (API, SDK, Privacy center). Didomi est présent à l’international. Cet éditeur génère plus de 800 000 000 consentements. La solution est disponible en SaaS. Il est possible de paramétrer et de personnaliser entièrement les points de col- lecte du consentement (notice de collecte de consentement,e-mails et marketing, Chatbox, etc.) et de sélectionner les finalités et les partenaires afin d’activer la bonne intégration pour le partage des consentements. Le Privacy Center (disponible en marque blanche) est totalement personna- lisable ; il est disponible pour les applications Web et mobiles et permet de gérer de manière interactive l’information et les préférences des utilisateurs y compris le retrait du consentement à tout moment. La solution garantit donc la traçabilité des actions liées au consentement. Didomi propose des fonctionnalités de reporting intéressantes tant en termes de conformité (accountability) que de business. La solution procède au scan automatique des sites Internet pour produire des rapports sur les cookies dé- posés. Le suivi de la conformité et du niveau de sécurité peut se faire via un Privacy Score et un Security Score. Il est possible de programmer la plateforme à travers les API pour surveiller de manière automatisée des sites internet, des partenaires ou des fournisseurs. Ouverte (API) et modulable, la solution offre également la possibilité de réaliser des statistiques en s’intégrant avec d’autres solutions d’analytics et de BI et propose de l’AB testing. Didomi s’adresse également aux entreprises soumises au CCPA. Didomi a obtenu le label « Gouvernance RGPD » de la CNIL.

d’infos sur : https://www.didomi.io/fr/

53 Use case 2 Vous choisissez de recourir à une solution complète de gestion de la conformité RGPD vous permettant aussi de VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET gérer les consentements des utilisateurs

54 One Trust

2016 USA www.onetrust.com

Parmi l’ensemble des fonctionnalités de One Trust (voir la description ci-avant), le module de gestion du consentement permet de scanner l’ensemble des sites Internet d’une organisation, de catégoriser automatiquement les cookies et trac- kers, de produire un rapport détaillé sur ces derniers et de paramétrer un ban- deau d’information et de gestion des préférences à insérer sur le site Internet. VOLET 1 – LES SOLUTIONS DU DPO Le module de collecte et de gestion du consentement permet de suivre le consentement pour chaque traitement de données, au travers d’un registre centralisé qui est alimenté par les différents points de collecte (Webform, API, cookies, etc.). Le centre de préférences entièrement personnalisable aux cou- leurs et au logo de votre entreprise permet au visiteur du site de modifier ou de retirer son consentement à tout moment. La solution permet également de générer automatiquement le bandeau cookies dans plusieurs langues et de le personnaliser. Le module de gestion du consentement et des cookies, proposé par One Trust est déployé sur plus de 100 000 sites Internet. Il est très facile à paramétrer. Le module de gestion du consentement est accessible indépendamment des autres modules de gestion de la conformité RGPD.

d’infos sur : https://www.onetrust.com/

55 Des solutions vous permettant de vous adapter à l’évolution de la réglementation applicable en matière de gestion du consentement et des cookies ou autres traceurs

Critères

Ergonomie et facilité de prise en main

Multilingue (français, anglais, autres langues de l’Union européenne)

Suivi et reporting des actions relatives au consentement (acceptation, preuve, retrait)

Personnalisation

VOLET 1 – LES SOLUTIONS DU DPO DU SOLUTIONS LES – 1 VOLET et paramétrage du bandeau cookies

Scan des sites Internet (Détection Automatique)

Reporting et statistiques relatives cookies actifs / inactifs et leur durée de vie

Gestion des vendors (Détection Automatique)

56 Volet 2 Les Solutions du CDO Usages et Gouvernance exploitation des données

Valorisation Gouvernance

IA & ML Référentiel VOLET 2 – LES SOLUTIONS DU CDO

Catalog-lineage

Métadonnées Anonymisation

Exploration - Données non-structurées

Collection

58 Actifio

2009 USA www.actifio.com

C-PUB O-P HY

Pionnier du Copy Data Virtualisation, Actifio une plateforme logicielle de virtuali- sation de données qui se définit par sa capacité à déplacer la data d’un point A à un point B de manière sécurisée. La console de gestion avec son tableau de bord et ses KPI permet de gérer des copies de données en étant hors production, de fournir des données à la demande (Data as a service), d’exploiter les infrastruc- tures de cloud public, privé ou hybride et permet d’automatiser l’anonymisation au travers des workflows et API en diffusant les données qu’une fois anonymi- sées. En ce sens, Actifio a un partenariat avec Arcad Software et son API ouverte permet également l’intégration avec ServiceNow et Splunk. Déployée chez plus de 3500 clients (Grands comptes et Cloud Service Provi- ders) dans 37 pays, Actifio va permettre de doublonner la BDD avant la trans- formation de VMware d’un endroit A à endroit B dans le format de destination, avec une sauvegarde incrémentale via les APIs natives. Une version dans Actifio fait le lien avec les versions dans tous les environnements du Data center au service cloud. Actifio procède à la prise des données d’un data center avant transformation en « golden copie » et en « incrément block » puis à la virtualisation des copies et à la diffusion (lecture / écriture). En cas de modifications, elles apparaissent dans des blocks modifiés. La solution présente de nombreux avantages : Baisse des coûts d’infrastructure

VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET Création de nouveaux environnements de travail Une plus grande productivité en termes de livrable sur les projets (diminution de délai des tests et donc plus grande capacité à délivrer pour les projets) L’optimisation de la phase test pour raccourir le temps du test et augmenter la qualité des données Time to market réduit Actifio qui permet de capturer des fichiers, VM des bases de données, dispose d’une grande diversité d’applications afin de gérer des copies virtuelles com- plètes disponibles aux différents moments de capture et de dédupliquer les données afin de réduire le stockage et la bande passante. Toutes les données multisites sont gérées depuis un point central unique, ce qui garantit une mise à disposition instantanée des bases de données virtuelles pour les environnements DevOps.

59 Critères génériques Évolution de l’outil Ergonomie Gouvernance

Tableaux de bord, workflows, reporting Référentiel VOLET 2 – LES SOLUTIONS DU CDO // Golden Records Multilingue // Domaine Multi-utilisateurs, multi-entités // et gestion fine des habilitations Workflows // Hébergement Fonctionnalités //

Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

d’infos sur : http://www.actifio.com

60 Arcad Software

1992 France arcadsoftware.fr

O-P

Editeur français présent chez plus de 450 clients, référencé à l’UGAP. Créé il y a 28 ans, Arcad Software a d’abord développé des solutions pour DevOps avant de proposer des solutions pour accompagner les organismes dans leur mise en conformité RGPD : DOT Anonymizer, une solution d’anonymisation ; DOT Anonymizer - Data Discovery, sa fonctionnalité e-discovery permettant la détection des données personnelles. DOT Anonymizer repose sur des bibliothèques évolutives d’algorithmes per- mettant d’anonymiser les données de manière irréversible tout en conservant leur type et leur format et donc l’exploitabilité des données (lisibilité, domaine d’exploitation, conservation des valeurs d’une transformation à l’autre, cohé- rence entre les différentes plateformes et SGBD). DOT-Anonymizer fournit un moteur central unique permettant la protection de l’ensemble des données présentes dans les bases de données. La solution est dite « agnostique » ou multi technologies, en ce qu’elle s’adapte à tout type de plateforme, de système d’exploitation (UNIX, Linux, Windows, IBM i, z / OS…), de base de données relationnelles (ORACLE, SQL Server, DB2, MariaDB, MySQL, MongoDB, …) et aux fichiers structurés comme aux fichiers plats. La technologie basée sur l’homonymie et le cache permet de recourir à une grande diversité d’algorithmes (scrambling, masquage, répertoires, etc.). Le nombre d’algorithmes existants (shuffle / partiel ou multiple) peut être aug- menté grâce à des capacités de développement rapide en fonction des besoins VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET clients. Les points différenciants sont sa capacité à effectuer des opérations d’anony- misation de copies de production à la volée et en base de stockage, mais aussi sa facilité d’installation et d’utilisation. Ainsi, l’utilisateur peut choisir d’anonymi- ser l’ensemble des champs ou sélectionner ceux qu’il souhaite « désensibiliser ». Ses « APIs » permettent une intégration aux systèmes de transport des données. La solution prévoit également un système de purge des données afin de ré- pondre aux exigences du droit à l’oubli et de gestion des durées de conserva- tion du RGPD. En complément de sa solution d’anonymisation, Arcad Software propose une fonctionnalité Data Discovery. Le data scanning permet de mettre en évidence les données personnelles notamment celles qualifiées de « sensibles ». L’utilisa- teur bénéficie alors d’une détection automatisée des données personnelles au travers des différentes bases de données

61 Les règles définies en amont (catalogue de plus de 100 règles de détection de données personnelles) permettent l’exploration des champs et l’identification de la donnée recherchée. La liste de données personnelles résidant dans les bases de données peut servir à alimenter le registre des traitements avant de planifier une stratégie d’anonymisation. VOLET 2 – LES SOLUTIONS DU CDO Cette solution s’applique aux données structurées grâce à ses connexions aux bases de données.

Critères génériques Anonymisation Ergonomie Connecteur

Multilingue Cartographie

Multi-utilisateurs, multi-entités Algorithmes et gestion fine des habilitations N/A Documentation Hébergement //

Évolution de l’outil

Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

d’infos sur : https://arcadsoftware.fr/

62 ASG

1986 USA www.asg.com

ASG technologies est reconnu par les analystes comme le leader dans le domaine des solutions de gestion des métadonnées. Cette solution fait en permanence le lien entre l’IT et le métier. Sa solution, ASG Data Intelligence comprend la découverte de données « data discovery », le data lineage technique automatique et permet de définir et gérer des règles de gouvernance de la donnée afin de lier les objets métiers avec les données physiques. Les fonctionnalités de « data scanning » permettent de connaître l’origine des flux de données et leur destination ce qui permet d’avoir une représentation du cycle de vie de la donnée au sein du système d’information. Il est donc possible de réaliser un inventaire et un catalogue de données personnelles présentes dans le système d’information. Socle complet de la gouvernance des données ASG Data Intelligence permet d’explorer tant la data structurée que la data non structurée ; grâce à un sys- tème de tag automatisé on obtient un glossaire métier et cela garantit la tra- çabilité des données techniques afin de mieux comprendre les flux. La solution permet également de mettre en place un programme de qualité des données. Il est donc possible d’inventorier, de suivre, de contextualiser et de gouverner les données avant de les partager. La solution se veut collaborative et donne un accès au catalogue des données et aux jeux de données validés. VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

Critères génériques Catalogue-Lineage Accès Ergonomie Connecteur Reporting Tableaux de bord, workflows, Scanning reporting Collection

Cartographie Connecteur Multilingue

Dictionnaire de données Scanning Multi-utilisateurs, multi-entités et gestion fine des habilitations Métadonnées Cartographie Exploration Non structuré Hébergement Connecteur Dictionnaire des métadonnées Évolution de l’outil Cartographie

63 Valorisation Gouvernance

Gouvernance Référentiel VOLET 2 – LES SOLUTIONS DU CDO

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

d’infos sur : https://www.asg.com/fr/

64 BigID

2016 USA bigid.com

BigID propose une solution de cartographie et de gouvernance des données qui permet d’automatiser le processus de collecte et de contextualiser les flux de données dans l’organisation. La solution permet à l’utilisateur de disposer d’une analyse des métadonnées et du contenu. Disponible en SAAS ou s’adaptant à l’infrastructure client. Cette solution de « data discovery » est construite autour de 3 axes : Data privacy Sécurité Data management Sur l’interface, un tableau de bord permet de visualiser la localisation des don- nées structurées, non-structurées ou semi-structurées. A partir de celui-ci, l’utilisateur peut identifier les données personnelles et les données sensibles au sein des différents environnements de son SI. BigID permet d’avoir une cartographie des applications et permet également de comparer les risques associés aux traitements de données sur la base de différents critères paramétrables (sensibilité de la donnée, types d’applications, accès aux applications, origines des données, etc.) Sur la base d’un calcul automatisé, la solution permet de mesurer le niveau du risque et de fournir des recommandations opérationnelles pour le traiter en assignant des tâches via une fonctionnalité de workflow. VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

65 Critères génériques Analytics Connecteur Ergonomie Data science Cartographie Tableaux de bord, workflows, //

reporting Sharing Capacity Accès VOLET 2 – LES SOLUTIONS DU CDO // // Multilingue Gouvernance Reporting Catalogue-Lineage Multi-utilisateurs, multi-entités Connecteur et gestion fine des habilitations

Scanning Hébergement

Cartographie Évolution de l’outil

Dictionnaire de données Usages et exploitation des données Métadonnées Valorisation de données Exploration - Données Préparation de contenus non-structurées //

Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

d’infos sur : https://bigid.com/

66 Collibra

2008 Belgique www.collibra.com

Reconnu comme leader par les analystes dans le domaine des solutions de ges- tion des métadonnées, Collibra propose une plateforme de gouvernance et de gestion automatisée des données avec un inventaire centralisé des données pour plus de 250 clients dans plus d’une vingtaine de pays. Collibra permet de cartographier les données ainsi que leur contexte, de fournir ainsi un référentiel décrivant les flux de données et une vision commune des métadonnées, de définir les règles associées à chaque catégorie de données (ex. : limitation des accès) et de suivre les actions sur celles-ci dans l’ensemble des processus métiers. La solution propose des fonctions de reporting et de tableau de bord permet- tant de visualiser les projets et les flux de données qui y sont associés (data lineage métiers) de leur source à leur restitution. L’utilisateur de la solution peut identifier la source de la donnée et sa locali- sation avant de la traduire en termes communs et de créer des liens entre les données afin de valoriser l’information. Grâce à son positionnement proche des métiers, la solution de Collibra permet de mieux comprendre et de mieux exploiter le gisement des données de l’en- treprise. Avec plus de 200 connecteurs et le support de nombreux formats de données, la solution s’adapte à tout type d’organisation et de besoins. Disponible en SaaS et On-premise, le progiciel est doté d’un tableau de bord et d’un moteur de workflow puissant. VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

67 Critères génériques Gouvernance Accès Ergonomie Catalogue-Lineage Connecteur Reporting Tableaux de bord, workflows,

reporting Scanning Collection VOLET 2 – LES SOLUTIONS DU CDO

Connecteur Multilingue Cartographie

Scanning Multi-utilisateurs, multi-entités Dictionnaire de données et gestion fine des habilitations Cartographie Métadonnées Hébergement Exploration Non structuré Dictionnaire Connecteur des métadonnées Évolution de l’outil

Cartographie

Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

d’infos sur : https://www.collibra.com/

68 Dathena

2016 Singapore www.dathena.io

C-PUB O-P C-PV HY

Dathena fait appel à l’IA pour la classification de la donnée et la création de règles de protection. L’objectif est d’automatiser les tâches manuelles, trop chronophages à l’heure du Big Data. La solution s’appuie sur des procédés de data science pour l’accès aux données et l’exploration graphique. Avec sa solution, Dathena va permettre aux utilisateurs de localiser la donnée dans leur système d’information et de définir comment celle-ci doit être pro- tégée. Son approche métier et sa facilité de prise en main permettent aux uti- lisateurs de disposer aisément d’une visibilité accrue sur le SI et les différentes sources de données. Grâce à l’IA, Dathena s’adapte au contexte local, analyse le contenu et le contexte (métadonnées) avant la revue utilisateur. Dans une logique « user driven improvement », son module de revue de classification permet d’inter- viewer les top contributeurs. Ce process permet d’aboutir à la qualification précise de la donnée. Les possibilités de déploiement sont flexibles (Cloud privé ou public, On-Pre- mise ou Hybrid). Un mode full SaaS est prévu pour Q3 2020. La solution est toujours hébergée sous l’infrastructure du client. Le déploiement standard est d’un à deux jours. Les premiers résultats sont obtenus en une semaine. L’utilisateur a la possibilité d’ajouter des départements, sources ou entités. La gestion des rôles et accès VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET se fait via l’Active Directory du client. La solution est disponible en anglais et en français pour l’interface (multilingue pour la détection). La solution permet une classification automatisée de la donnée et une carto- graphie des données présentant une haute « toxicité » (facilité d’identification de la personne concernée). Cette classification des données non-structurées s’accompagne d’une prédiction du niveau de confidentialité (généralement 4 niveaux sont prévus dans la solution, il est possible de moduler selon les be- soins) et d’une catégorisation métier du document. Dathena permet de visualiser l’ensemble des éléments clés sur un tableau de bord. Via ses interfaces dynamiques la solution propose une vue sur les jeux de don- nées, leur sensibilité, les utilisateurs à risques et leurs emplacements dans le système d’information. Les DPO, CIO et CISO disposent ainsi d’une cartogra- phie des risques. À ce jour, Dathena ne propose pas de module de data lineage mais peut s’interfacer à une solution de data lineage. L’éditeur dispose d’une liste de connecteurs évolutive et d’une API permettant la connexion à un SOC.

69 Le reporting est automatique et disponible via les interfaces et la charte gra- phique interactive. L’utilisateur a la possibilité de trier les KPIs et KRIs selon plusieurs critères (top 10 dossiers à risque, top 10 contributeurs à un certain sujet, groupes à risque etc…). VOLET 2 – LES SOLUTIONS DU CDO EN RÉSUMÉ Possibilité de constituer un inventaire des données personnelles présentes dans le SI Accès à l’ensemble des données relatives à une personne concernée et génération de rapport Amélioration des outils de sécurité existant (DLP) Rectification des accès Plan de migration des données avec minimisation des données (identification des doublons et documents dupliqués) Tableau de bord dynamique La solution supporte tout type de format (PDF, Excel, etc.) Application de durées de conservation aux données

Critères génériques Usages et exploitation Accès Ergonomie des données IA & Machine Learning Reporting Tableaux de bord, workflows, Analyse de données / reporting Traitement Collection // Connecteur Multilingue Intelligence

Scanning Multi-utilisateurs, multi-entités Métadonnées et gestion fine des habilitations Exploration Données Cartographie Non structuré Hébergement Connecteur Dictionnaire des métadonnées Évolution de l’outil Cartographie //

70 Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

d’infos sur : https://www.dathena.io/ VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

71 Delphix

2008 USA www.delphix.com

C-PUB O-P C-PV

Delphix permet à ses utilisateurs de gérer les différentes sources de données grâce à sa liste de connecteurs de bases de données et d’API. Il est possible de créer de nouveaux connecteurs. La solution traite aussi bien des fichiers présents dans les environnements IT physiques que le cloud.

Au sein d’une même plateforme il est possible d’identifier les données dans le VOLET 2 – LES SOLUTIONS DU CDO système d’information pour en faire un catalogue, de les anonymiser puis de gérer les copies. Delphix comprend des modèles préconfigurés et des algorithmes de décou- verte spécifiques pour répondre aux enjeux du RGPD (droit d’accès, données du salarié lors de son départ de l’entreprise). Delphix utilise des techniques de pseudonymisation et d’anonymisation (réa- liste, irréversible et répétable). Le « Profiling » des données permet d’identifier et de classifier les données sensibles afin de pouvoir y appliquer les algorithmes d’anonymisation adéquats. La solution comprend un archivage sur des virtuals database dormantes. Delphix peut être déployée On Premise, Cloud Public (Azure, AWS, Google, IBM etc...) ou Privé ou PaaS. Ce déploiement peut se faire en 3 jours (installation, configuration, formations). L’utilisateur peut gérer plusieurs environnements et groupes d’utilisateurs avec des accès différents (RBAC). La solution permet de générer des rapports dans la plateforme, basés sur les logs systèmes et relatifs aux actions utilisateurs. Il est également possible de se connecter à un autre outil de reporting. La solution est uniquement disponible en anglais.

72 Critères génériques Métadonnées Algorithmes Ergonomie Exploration - Données non-structurées Documentation Tableaux de bord, workflows, Connecteur reporting // Cartographie Multilingue Accès Multi-utilisateurs, multi-entités et gestion fine des habilitations Reporting // Hébergement Anonymisation Connecteur Évolution de l’outil

Cartographie

Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET d’infos sur : https://www.delphix.com/

73 Denodo

1999 USA www.denodo.com

Denodo propose de la « Data Vitualization » applicable au Big data, avec possibi- lité d’anonymiser les données à la volée. Solution de gestion des métadonnées et de data gouvernance, la plateforme de Denodo permet à l’utilisateur de se doter d’une vue 360° de ses bases de données virtuelles, web services, applications sous forme de graphiques, avec la possibilité de créer des connexions ressources / jointures et connexions. Via des drivers standards, Denodo se connecte aux VOLET 2 – LES SOLUTIONS DU CDO sources (ex. : Oracle, AWS, Microsoft Azure, Big Data). Denodo intègre toutes les sources de données (structurées / semi structurées / non-structurées). L’utilisateur a la faculté de tout gérer à partir d’une console unique (gestion, monitoring tool, design studio, planification et exécution de tâches). La solution permet la mise en forme d’un modèle (table and drop out), de faire la sélection d’une table virtuelle (champs, type de champs) avant de procéder à l’exécution de la table / plan d’exécution (création de sous-requêtes qui vont être déléguées aux bases de données relationnelles). L’utilisation de Denodo va permettre une optimisation du trafic réseau via les jointures en exploitant au maximum la puissance des systèmes sources. La solution permet de présenter les résultats sous forme de tableaux avant de constituer des rapports et de publier une vue sous forme de webservice. L’utilisateur a également la possibilité de sécuriser le web service (authentification) pour les développeurs d’API. La fonctionnalité Data Catalog de Denodo se présente sous la forme d’une application web qui permet d’accéder aux métadonnées et de créer des requêtes. La solution permet de faire des recherches des métadonnées, du data lineage, des requêtes ad hoc, l’export des résultats et de sauvegarder la requête (possibilité de partager la requête ou de la publier sous forme de nouvelles vues). Denodo permet également la création de tags ou de catégories des métadonnées pour classifier / catégoriser selon des tag métiers / certifiés. Il est possible de créer des rôles, privilèges, groupes et des customer policies (librairies Java permettant la création de règles personnalisées) ; la solution peut s’interfacer avec l’Active Directory notamment pour émettre des restrictions d’accès. Un portail partenaire recense les différents cas d’usage des solutions Denodo. L’éditeur est partenaire de Tableau ce qui lui permet de créer des rapports personnalisés et de SAP.

74 Critères génériques Modélisation des processus Collection Ergonomie de validation Connecteur N/A Tableaux de bord, workflows, Modélisation des contenus Scanning reporting // Outils de suivi Cartographie Multilingue Métadonnées Dictionnaire des métadonnées Multi-utilisateurs, multi-entités Exploration - Données et gestion fine des habilitations non-structurées Anonymisation Connecteur Connecteur Hébergement

Cartographie Cartographie Évolution de l’outil

Accès Algorithmes Gouvernance Gouvernance des données Reporting Documentation Modélisation des organisations

Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

d’infos sur : https://www.denodo.com/en

75 IBM

1911 USA www.ibm.com

C-PUB O-P C-PV HY

IBM est une entreprise américaine, acteur historique de l’édition de logiciels présent sur le marché des technologies et des innovations dans 170 pays. Afin d’accompagner les organisations dans leur mise en conformité au RGPD, IBM propose une suite logicielle s’articulant sur trois axes : la donnée, la gouvernance et la sécurité. VOLET 2 – LES SOLUTIONS DU CDO L’ensemble des fonctionnalités (Data et Sécurité) sont centralisées sur une seule plateforme qui permet d’identifier et de localiser les données dans le système d’information afin de les classifier. L’utilisateur sera ensuite en mesure de réaliser des actions sur les données (déplacements, suppressions, modifications) tout en surveillant les différentes alertes de sécurité. IBM Cloud Pak for Data est l’interface utilisateur avec Tableaux de bord et analytics qui repose sur une plateforme centralisant l’ensemble des fonctionnalités liées aux usages des données. La suite IBM Stored IQ s’adresse principalement aux CDO et à leurs équipes, aux data steward et aux équipes métiers. Elle permet de couvrir l’ensemble de leurs besoins concernant la collecte, l’exploration des données, la gouvernance de la donnée jusqu’à sa valorisation. IBM Stored IQ va permettre de définir lesdata class et les méthodes permettant à la data class de reconnaitre la donnée, de faire de la Data Virtualization, et de gérer les dates de rétention de la donnée. L’API permet de recréer les informations de lineage et d’exporter l’information. Après la collecte automatisée des métadonnées, au moment de la classification des données, l’utilisateur a la possibilité d’analyser la qualité des données via un score basé sur plusieurs dimensions (nombre de valeur, seuils, exceptions, etc.) avant la phase de discovery et la constitution d’un catalogue de métadonnées (codes sec- toriels, ISO, pays, régions). La solution permet de supprimer les doublons. IBM Cognos Analytics, est une application BI qui permet d’analyser et de rendre opérationnel les usages des données afin qu’elles soient exploitables par les mé- tiers (data preparation). La suite multicloud IBM Watson s’appuie sur les dernières innovations en matière de machine learning afin d’automatiser le cycle de vie de l’IA afin de créer et de -dé ployer des modèles prédictifs pour le suivi, le monitoring et la détection de patterns / formats sur les applications et plateformes. IBM cloud Pak for data a un aspect collaboratif qui permet aux utilisateurs de sollici- ter l’élaboration d’une nouvelle base de données, afin de recueillir par exemple une liste des équipements ou pour consolider les data warehouses. Une fois la réponse apportée à la requête il est possible de reconstruire un modèle prédictif. Ainsi, il y a un aller/retour constant entre technique et métier. Ce qui permet de faire la correc- tion des biais entre le modèle et la production et d’ajouter une couche métier aux catalogues de données. La plateforme permet également de filtrer les accès aux données en fonction des besoins.

76 L’utilisateur va pouvoir concevoir les flux de transformation, les jointures entre des tables de données disparates et faire la gestion de tables virtuelles avec des accès / crédentials bien distincts. IBM InfoSphere Optim propose des fonctionnalités de data masking permettant de réduire le risque associé à l’utilisation ou à la diffusion de la donnée tout en conservant son intégrité grâce à différentes techniques réversibles et non réver- sibles (masking à la volée, pseudonymisation, tokenisation, chiffrement).

Critères génériques Data science Dictionnaire de données Ergonomie Data Mining Métadonnées

Tableaux de bord, workflows, Exploration - Données reporting Gouvernance non-structurées

Gouvernance des données Connecteur Multilingue Modélisation des organisations

Cartographie Multi-utilisateurs, multi-entités Modélisation des processus et gestion fine des habilitations de validation Accès

Hébergement Modélisation des contenus Reporting

Évolution de l’outil Outils de suivi Collection

Usages et exploitation Connecteur Référentiel des données Golden Records Scanning Valorisation de données Préparation de contenus Domaine Cartographie

Analytics Workflows Dictionnaire des métadonnées

Data science Fonctionnalités Anonymisation

Connecteur Sharing Capacity Catalogue-Lineage Connecteur Cartographie

IA & ML // Scanning Analyse de données / Algorithmes

Traitement VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET Cartographie Documentation

Intelligence //

77 Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

d’infos sur : http://www.ibm.com VOLET 2 – LES SOLUTIONS DU CDO

78 Informatica

1993 USA www.informatica.com

Reconnu comme leader par les analystes dans le domaine des solutions de ges- tion des métadonnées, Informatica propose aussi une solution de GRC et de sé- curisation des données pour accompagner l’entreprise dans sa mise en conformi- té aux exigences du RGPD notamment. La solution est plus particulièrement adaptée aux grands comptes et ETI. Identification et définition des données structurées nécessitant une protection : l’éditeur propose des solutions permettant de détecter les localisations des données dans le champ, de classer les données, de surveiller la prolifération des données et d’évaluer les risques. Ces outils favorisent la connaissance de l’emplacement des données et permettent de les évaluer en fonction du risque. Définition des politiques, identification des intervenants et croisement des connaissances sur les données entre les métiers : l’éditeur propose des solu- tions permettant la collaboration entre métiers et système d’information aux bénéfices d’une meilleure gouvernance de la donnée. Contrôle de l’accès à des données personnelles en fonction du rôle et de la lo- calisation. Il est également possible de rendre les données anonymes. Les fonctionnalités de masquage de données persistantes et de masquage de données dynamiques peuvent aider à limiter automatiquement le nombre de per- sonnes et de systèmes bénéficiant d’un accès illimité aux données personnelles. La technologie permet d’appliquer des mesures correctives liées à la sécurité des données en orchestrant les mises à jour des contrôles de sécurité. VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET Suppression des données conformément à la requête d’une personne ou à des obligations légales : l’éditeur propose des solutions permettant de détecter à l’aide d’algorithmes avancés les données des personnes concernées quel que soit leur emplacement de stockage. La solution permet aussi de gérer les consentements de manière centralisée. À noter également, qu’Informatica propose une plateforme complète centrée sur la donnée permettant : L’accès à la donnée quel que soit l’environnement (traditionnel ou Cloud) et quel que soit le type de données (Base de données, fichiers structurés, non structurés, applications, streaming) ; La compréhension de la donnée au travers des modules d’analyse qui permettent une cartographie technique et fonctionnelle ; La remédiation de la donnée au travers les modules d’Informatica Data Quality ; L’enrichissement et le déploiement de la donnée.

79 La plateforme offre en transverse un ensemble d’outils permettant de faciliter la gouvernance de ces données et systèmes au travers un catalogue entreprise et un outil orienté métiers permettant de modéliser l’organisation et les processus de l’entreprise et ainsi d’aligner personnes, technologie et processus. VOLET 2 – LES SOLUTIONS DU CDO

Critères génériques Data Mining Métadonnées Ergonomie Exploration - Données Gouvernance non-structurées Tableaux de bord, workflows, Gouvernance des données Connecteur reporting Modélisation des organisations Cartographie

Multilingue Modélisation des processus de validation Accès Multi-utilisateurs, multi-entités et gestion fine des habilitations Modélisation des contenus Reporting

Hébergement Outils de suivi Collection

Connecteur Évolution de l’outil

Référentiel Golden Records Scanning Usages et exploitation des données Domaine Cartographie Valorisation de données Préparation de contenus Workflows Dictionnaire des métadonnées

Analytics Fonctionnalités Anonymisation / // effacement Data science Catalogue-Lineage Connecteur

Sharing Capacity Connecteur Cartographie

Scanning IA & ML Algorithmes Analyse de données / Cartographie Traitement Documentations

Dictionnaire de données Intelligence //

Data science

80 Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

d’infos sur : https://www.informatica.com/fr/ VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

81 Kensu

2015 USA kensu.io

C-PUB O-P C-PV HY

Data Activity Manager est une solution intelligente de gouvernance et de gestion des risques liés aux traitements de données mis en œuvre par les Data Scientists. Véritable Data Intelligence supervisor qui permet de contrôler la source des données, leur destination et plus généralement l’activité relative aux données (notamment les accès aux données sensibles) afin de justifier et clarifier les actions menées. VOLET 2 – LES SOLUTIONS DU CDO L’objectif est de fournir un cadre éthique et durable autour de la data intelli- gence. Data Activity Manager génère automatiquement des tableaux de bord intelligents et des rapports, y compris sur les flux de données. Et permet éga- lement d’automatiser des processus chronophages de data gouvernance et de générer des alertes. Grâce à son API ouverte et à sa capacité à se brancher sur les applications mé- tiers ou modules connexes, Data Activity Manager permet de détecter et identifier les différentes sources de données, bases de données existantes dans le système d’information et faire un suivi de l’évolution des processus et de la qualité dans le temps. La solution prévoit également la possibilité de paramétrer des alertes et de générer automatiquement des rapports. Disposant d’un data lineage fonctionnel allant de l’IT jusqu’au business, la solution permet de savoir quels sont les outils qui sont strictement nécessaires et ceux dont on peut se passer, d’avoir une meilleure compréhension des flux, des IA (compré- hension des modèles, des processus, des résultats). Data Acitvity Manager donne davantage de visibilité sur le contenu des data source (format, date, ajout de sélec- teurs, etc.) et sur le cycle de vie de la donnée grâce à la traçabilité automatique et aux indicateurs et tags. La solution est également pertinente pour le respect de règlementations telles que HIPAA ou PCI-DSS. Future évolution : intégration en mode SDK. La solution peut être déployée On premise, Cloud public comme privé et Hybrid (Installation en 1 jour, résultats dès le premier mois. Pour les clients Européens, la solution sera hébergée en France, Allemagne et Irlande. La solution propose une ségrégation des profils d’utilisateurs à plusieurs niveaux pour s’adapter aux diffé- rentes situations (profils, groupe d’utilisateurs, applicatifs). Actuellement disponible en anglais, d’autres langues sont en cours de déve- loppement. Data Activity Manager se positionne comme un pont entre les aspects techniques et métiers (contenants, contenus, applicatifs) tout en maintenant à jour automati- quement la cartographie. Concernant la modélisation des processus, le workflow et le tableau et le tableau de bord présenteront davantage de dynamisme.

82 À ce titre, l’éditeur propose un dashboard DPO qui permet d’être notifié en cas de nouveau traitement utilisant de la donnée personnelle et/ ou de la donnée sensible, de faire la traçabilité des actions menées avec ces données et de construire des rapports.

Critères génériques Évolution de l’outil Catalogue-Lineage Ergonomie Connecteur Gouvernance Tableaux de bord, workflows, Gouvernance des données Scanning // reporting Modélisation des organisations // // Cartographie

Multilingue Modélisation des processus de validation Dictionnaire de données Multi-utilisateurs, multi-entités // et gestion fine des habilitations Modélisation des contenus

Hébergement Outils de suivi

Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

d’infos sur : https://kensu.io/

83 Mega International

1991 France www.mega.com

La plateforme Hopex proposée par Mega International comporte de multiples fonctionnalités. Hopex Information Architecture permet aux entreprises de transformer leurs jeux de données en actifs de confiance. En complément de Hopex Privacy Ma- nagement qui s’adresse aux DPO souhaitant piloter leur mise en conformité RGPD, Hopex Information Architecture donne à ses utilisateurs une plus grande VOLET 2 – LES SOLUTIONS DU CDO visibilité sur les données présentes dans le système d’information (inventaire des données), une meilleure compréhension du métier (business glossary), un data lineage permettant de comprendre l’utilisation de la donnée depuis sa source jusqu’à sa destination, de définir des règles applicables aux données et compréhensibles pour les métiers afin pour s’assurer de la bonne application des réglementations et des politiques internes. Hopex Information Architecture s’organise autour de trois modules : « Architect data », « Trace data », « Govern data » « Architect data » permet de générer automatiquement un dictionnaire de données à partir des sources, le glossaire métier, les modèles physiques, logiques et concep- tuels des données et connecte automatiquement les informations IT aux informa- tions métiers. « Trace data » réalise le data lineage et permet de décrire l’ensemble des trans- formations qu’a connue la donnée. L’utilisateur a également la possibilité de lier les données des applications et des processus métiers afin d’avoir une meilleure connaissance des utilisations de la donnée. Il pourra également évaluer la qualité des données et catégoriser les données sensibles. « Govern data » permet de définir les rôles et habilitations des personnes chargées de manipuler les données et les workflows, de décrire les règles et de référencer les réglementations, et pour s’assurer de la conformité et du respect de ses dernières, relier ses règles aux process métiers. La plateforme se présente sous la forme de Tableaux de bord dynamiques et per- sonnalisables afin de suivre l’état d’avancement et de superviser la validation des workflows pour le data lineage et lesdata models.

84 Critères génériques Évolution de l’outil Catalogue-Lineage Ergonomie Connecteur Gouvernance N/A Tableaux de bord, workflows, Gouvernance des données Scanning N/A reporting Modélisation des organisations // Cartographie

Multilingue Modélisation des processus de validation Dictionnaire de données Multi-utilisateurs, multi-entités et gestion fine des habilitations Modélisation des contenus

Hébergement Outils de suivi

Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

d’infos sur : https://www.mega.com/fr/plateforme-hopex VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

85 Micro Focus HP

1976 UK www.microfocus.com

C-PUB O-P C-PV HY

Micro Focus HP est une société spécialisée dans le logiciel d’entreprise, affichant 3 milliards de CA et 11 000 employés. Elle est présente mondialement et dispose notamment d’une forte présence aux USA suite au rachat de HP Software. Elle propose à ses clients – grand comptes, une grande variété de produits, des outils de développements d’applications, de tests d’application, de sécurité, d’analyse prédictive pour les aider dans la transformation digitale de leurs assets existants VOLET 2 – LES SOLUTIONS DU CDO tout en diminuant les risques. Pour accompagner les entreprises dans leur mise en conformité RGPD, Micro Focus HP propose une gamme de solutions dédiées à la sécurité et à la ges- tion des données, depuis la découverte et la classification de la donnée dans le système d’information jusqu’à la purge de la donnée ou son chiffrement, par exemple. L’ensemble des fonctionnalités est centralisé sur une console unique. Une fois les sources identifiées, la solution va classer les informations structu- rées et non-structurées (textuel, audio, vidéo) et l’utilisateur va pouvoir appli- quer des règles de gestion de la donnée (surveillance, notification, suppression, chiffrement, etc.). La sécurisation de la donnée se fait en production dès le début du processus afin de garantir une protection par défaut et end to end des données. Sur le plan de la sécurité, Micro Focus HP permet aux utilisateurs de gérer les identités et les accès, la sécurité des applications, l’archivage de l’information, le SIEM et les équipement du SOC. La gamme Voltage family (Micro Focus Data Security product family) est composée d’un module de protection des données structurées (Voltage Secure Data), d’un module de sécurisation des documents (Voltage SmartCipher) et d’un module de sécurisation des e-mails et pièces jointes (Voltage Securemail). Voltage Secure Data est une solution translogicielle qui utilise différentes tech- niques (format preserving hashing – secure stateless tokenization – format pre- serving encryption) permettant le chiffrement du champ (en tout ou partie) sans perdre la structure de l’information d’origine afin d’être toujours exploitable par l’application. L’intégrité de la donnée est préservée quel que soit son format (nom, date, adresse, nombre, etc.). Cette méthode de chiffrement est certifiée auprès du NIST. Le recours à une clé maître et à des clés dynamiques permet de ne pas conserver de clés sur son poste de travail pour l’authentification. Disposant d’une grande expérience dans le chiffrement de la carte bancaire et la protection des paiements (membre PCI DSS), Micro Focus HP permet à ses clients de travailler dans des environnements chiffrés par défaut. Solution ouverte (API et toutes les technologies de bases de données) et qui offre la possibilité de travailler en web service, Micro Focus HP dispose égale- ment d’un intercepteur réseau permettant de chiffrer l’information migrant vers les applications SaaS.

86 Critères génériques Évolution de l’outil Anonymisation Ergonomie Connecteur Métadonnées Tableaux de bord, workflows, Exploration - Données Cartographie reporting non-structurées

Connecteur Algorithmes Multilingue

Cartographie Documentation Multi-utilisateurs, multi-entités et gestion fine des habilitations Accès

N/A Hébergement Reporting

Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

d’infos sur : https://www.microfocus.com/en-us/home VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

87 Microsoft

1975 USA www.microsoft.com

Développeur historique de systèmes d’exploitation et de logiciels, Microsoft pro- pose une gamme dédiée à la gestion et à la protection de l’information : Micro- soft 365 E5 qui se compose de plusieurs modules complémentaires. Microsoft 365 E5 permet d’identifier les données sensibles dans le système d’in-

formation afin de pouvoir les protéger. La technologie s’appuie sur despatterns VOLET 2 – LES SOLUTIONS DU CDO spécifiques au RGPD et à la protection des données personnelles. Le module Azure Information Protection permet également de classifier auto- matiquement la confidentialité des documents (personnel, public, confidentiel) et des serveurs de fichiers (Share Point). Pour garantir la sécurité et la confi- dentialité des données personnelles, il est possible d’importer sa propre clé de chiffrement et de crypter les messages électroniques. Azure Information Protection va permettre de scanner et d’identifier la donnée sensible pour la classifier et lui attribuer un label avant d’appliquer du chiffre- ment. La solution permet également de générer des rapports et alertes. Cette fonctionnalité de « scanning » va également permettre aux utilisateurs de superviser les usages liés aux Cloud et aux applications, en plus de la visibilité ap- portée sur les données résidant dans le Cloud et dans les applications. En effet, Microsoft 365 E5 permet d’investiguer et d’analyser en continue les anomalies. En plus d’analyser les menaces externes, Microsoft 365 E5 possède également un module de gestion du risque interne et un module de gestion des identités et des accès qui va permettre à l’utilisateur de gérer les accès aux données, les privilèges et habilitations et de mettre en place un workflow de validation / approbation, d’évaluer le risque des connexions. La solution prévoit également une supervision des communications internes et externes pour identifier les comportements à risque. L’utilisateur pourra faire une revue régulière des accès. Le module de protection contre les menaces avancées va permettre de protéger la messagerie, les documents, le poste de travail, les applications cloud et l’Active Directory. Cette détection des menaces s’accompagne d’un processus automatisé d’identification des éléments com- promis et de la remédiation (exfiltration de données) des incidents. Microsoft prévoit d’autres dispositifs de sécurité des données : un module DLP, un Service Trust Portal, une protection contre les usurpations d’identité, un si- mulateur d’attaque et une protection contre le phishing. Microsoft 365 E5 va doter l’organisation d’une gestion automatisée du cycle de vie de la donnée sur Office 365. En effet, son module de Gouvernance de la donnée de rechercher l’information et de la localiser, la classifier, d’y appliquer une durée de conservation ou de la supprimer directement. La solution pro- pose aussi une fonctionnalité d’audit des logs.

88 L’interface comprend des Tableaux de bord dynamiques permettant d’exploiter et de partager rapidement les résultats et analyses avec des graphiques et des KPI.

Critères génériques Analytics Scanning Ergonomie Data science Cartographie Tableaux de bord, workflows, reporting Sharing Capacity Dictionnaire de données // // // Multilingue Gouvernance Métadonnées

Gouvernance des données Exploration - Données Multi-utilisateurs, multi-entités Modélisation des organisations non-structurées et gestion fine des habilitations Connecteur

Modélisation des processus Hébergement de validation Cartographie

Évolution de l’outil Modélisation des contenus Accès

Usages et exploitation Outils de suivi Reporting des données Valorisation de données Catalogue-Lineage Préparation de contenus Connecteur //

Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

Anonymisation

Collection

d’infos sur : https://www.microsoft.com/fr-fr

89 Netwrix

2006 USA www.netwrix.com

C-PUB O-P

Netwrix est une société américaine de logiciels qui propose des solutions de gouvernance et de sécurité de l’information. Présente dans plus de 10 000 or- ganisationsà l’international, Netwrix revendique en France le statut de premier acteur sur la visibilité des données en comptant une centaine de clients de toutes tailles sur le marché national dans différents secteurs (notamment BPI, ARS). VOLET 2 – LES SOLUTIONS DU CDO Les deux principales solutions proposées par l’éditeur sont : Netwrix Data classification : identification et classification de la donnée ; Netwrix Auditor : évaluation des risques via des audits informatiques permettant de détecter les menaces en amont. Netwrix propose ainsi des solutions faciles à prendre en main qui couvrent les environnements où résident les données stratégiques de l’entreprise (Active Directory, bases de données, Share Point, etc.). La solution se présente sous la forme d’une console unique permettant de gérer la gouvernance des accès (qui a accès à quoi, quand et où ?) et des droits (lecture, modification, suppression) et de faire la découverte et la classification des informations. Ainsi, Netwrix permet d’avoir la visibilité sur les données et de réaliser une évaluation des risques avec des indicateurs/KPI. Netwrix dispose également d’une API ouverte et documentée. Le moteur de classification des données permet une indexation dans - desfi chiers de référence ainsi que la recherche selon des critères ou des exigences (réglementation ou norme spécifique) afin de localiser l’information. Cette ana- lyse prend en compte le contexte, la langue ou le pays concerné ainsi que le normalisme associé à la donnée. Il est possible de paramétrer tout type d’alerte relative à des évènements (élé- vation de privilège, comportement ou action non-habituelle) afin de gérer les vulnérabilités lors de la revue de sécurité. L’utilisateur a alors la possibilité : D’identifier les informations sensibles et de réduire leur exposition De classer les données de façon optimale pour plus de productivité De réduire les coûts de stockage par la suppression des données obsolètes D’identifier les données soumises aux différentes réglementations (RGPD, HIPAA, PCI DSS)

90 La solution permet de générer des rapports préconfigurés et la cartographies des droits et habilitations avec une historique. Il existe 3 catégories de rapports : Rapport sur la localisation des données et les personnes y ayant accès, Rapport technique, très détaillé à destination des experts IT ou des RSSI pour les stratégies de sécurité en interne, Rapport conformité / réglementaire qui reprend l’infrastructure et la gestion des accès en fonction des réglementations et normes (RGPD, ISO, PCI DSS, HIPAA).

Critères génériques Métadonnées Ergonomie Collection Connecteur Multilingue Scanning Multi-utilisateurs, multi-entités et gestion fine des habilitations Cartographie // Hébergement Dictionnaire des métadonnées // Évolution de l’outil

Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

Collection

d’infos sur : https://www.netwrix.com/?var=a

91 Privitar

2014 UK www.privitar.com

C-PUB O-P

Privitar permet d’anonymiser des données, notamment les données sensibles. Basé à Londres, l’éditeur s’ouvre au marché français, notamment dans les sec- teurs de la banque et de la santé. Privitar se définit comme une solution de désidentification« » des données, alter-

nant techniques de pseudonymisation et d’anonymisation selon les cas d’usage. VOLET 2 – LES SOLUTIONS DU CDO Privitar permet de centraliser les règles de gouvernance des données afin de les « désidentifier » en utilisant plusieurs techniques (ex. perturbation, tokeni- sation et généralisation des standards). Il est possible de moduler la technique choisie selon les jeux de données afin d’éviter les risques de ré-identification. L’objectif de sa solution est de garantir à la fois la sécurité et l’utilité de la don- née à ceux qui souhaitent l’exploiter dans l’organisation. Privitar Data Privacy Platform conserve dans un référentiel la valeur d’origine à des fins de traçabilité Privitar permet également d’investiguer un jeu de données afin d’en identifier l’origine lorsque celui-ci a été placé dans le mauvais répertoire ou a subi une fuite. Cette traçabilité donne au responsable du traitement la possibilité d’infor- mer les personnes concernées en cas de mauvaise manipulation ou d’attaque cyber. La solution permet ainsi la création collaborative de règles / policies cohérentes entre les technologies et gère la livraison des données (filigrane individuel, protection contre la liaison / reconstruction). Privitar permet un contrôle des accès, le chiffrement des données mais ne se positionne pas sur la « data discovery ». Il est cependant possible d’interfacer Privitar avec d’autres solutions, tel que BigID, Collibra ou Talend. La solution peut également s’appuyer sur les Data catalogs des solutions de cloud public via son API. Privitar est une solution ouverte via son API et ses connecteurs qui permet de sécuriser les jeux de données en jeux de données sécurisées tout en gardant la traçabilité des mesures appliquées. L’utilisateur peut également recourir à l’API afin de se connecter à un outil de BI pour le reporting. La plateforme de Privitar se présente sous forme de Tableaux de bord avec des KPI. Cette solution est à destination des équipes Privacy et Data, les utilisateurs consommateurs de la donnée n’y accèdent pas directement. Afin de gérer les différentes équipes et entités, Privitar Data Privacy Platform

92 dispose de plusieurs rôles : Admin Author : créateur des policies Operator : créateur et exécuteur de Job de De-identification Unmasker : créateur et exécuteur de Job de Re-identification Investigator : identifier l’origine d’un jeu de données De-Identifié

Privitar est disponible uniquement en Anglais, Elle est disponible On-Premise et également dans le cloud public.

Critères génériques Évolution de l’outil Ergonomie Anonymisation Tableaux de bord, workflows, reporting Connecteur // Multilingue Cartographie

Multi-utilisateurs, multi-entités Algorithmes et gestion fine des habilitations

Documentation Hébergement //

Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

Anonymisation

Collection

d’infos sur : https://www.privitar.com/

93 Qualitadd

2016 France qualitadd.com

C-PUB O-P C-PV

Qualitadd est une plateforme de gouvernance des données en mode SaaS héber- gée en France (possible On Premise) qui permet gérer la qualité, la traçabilité, la protection et la conformité réglementaire des données pour répondre aux exi- gences des réglementations (Solvabilité 2, BCBS 239, RGPD, etc.).

Cet éditeur fait état d’une vingtaine de clients dans le secteur de l’assurance et VOLET 2 – LES SOLUTIONS DU CDO de la banque privée. La solution permet l’identification des flux de données, leur structuration sous forme de dictionnaires et la visualisation du cycle de vie de la donnée. On peut identifier, tracer et documenter les données sensibles localisées au sein du sys- tème d’information de l’organisation pour ensuite les sécuriser. La solution est ergonomique et facile à prendre en main. Les tableaux de bord et graphiques permettent, entre autres, de suivre l’avancée des réponses aux demandes d’exercice des droits ou la réalisation d’analyses d’impact. La solution propose une vue graphique et dynamique des flux de données identifiés, une visualisation des dictionnaires de données et de la localisation des données. Le déploiement de la plateforme est en moyenne de 2 mois, les contenus sont alimentés durant la phase de déploiement dans un premier temps, puis via sai- sie ou connecteurs durant l’utilisation. Qualitadd anime les référentiels d’entreprise (entités, directions, domaines d’activité) et permet une gestion des profils, des utilisateurs et des habilita- tions, des profils standards sont proposés par défaut (Data Steward, Data Ma- nager, Data Officer, Administrateur Métier, Administrateur Technique, etc.) qui pourront être paramétrés ou renommés par les administrateurs de la solution. Qualitadd permet également de créer des profils consultatifs (Lecteur). Les langues disponibles sont le français et l’anglais, sur demande, l’éditeur peut proposer des langues optionnelles (italien, espagnol, allemand etc.).

94 Critères génériques Évolution de l’outil Ergonomie Métadonnées Tableaux de bord, workflows, reporting Connecteur

Multilingue Scanning

Multi-utilisateurs, multi-entités Cartographie et gestion fine des habilitations

Dictionnaire des métadonnées Hébergement

Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

d’infos sur : https://qualitadd.com/ VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

95 Semarchy

2011 USA www.semarchy.com

C-PUB O-P C-PV

Reconnu sur le marché et plébiscité par ses utilisateurs pour son Intelligent Data Hub, Semarchy propose avec sa plateforme xDM, une solution de gestion des données permettant la centralisation des usages de la donnée avant de distri- buer l’information pertinente aux applications métiers. Semarchy génère des « golden records » qui permettent de bénéficier d’une version à jour des données exactes et fiables sur lesquelles baser la prise de décision. VOLET 2 – LES SOLUTIONS DU CDO Avec sa fonctionnalité xDM Discovery, les utilisateurs ont la possibilité de col- lecter des informations sur leurs données au sein des différentes sources de la donnée. Au sein de la solution, un tableau de bord donne de la visibilité sur les données centralisées dans le hub ou en dehors du hub et de mixer les différentes sources de données. L’interface, inspirée celle de Gmail, se présente sous forme de modèles de données ou de diagramme. La plateforme se présente sous forme d’application légère qui s’intègre facile- ment via son API. Elle est composée d’une base de données relationnelle qui stocke les données avec deux serveurs d’application. La solution s’installe sur l’infrastructure ou le cloud client. Semarchy permet d’appliquer les règles relatives à la qualité des données (véri- fication des erreurs, identification des doublons, rapprochement, consolidation des valeurs). La solution garantit la sécurité en permettant de verrouiller des champs, de rendre certaines données obligatoires pour assurer la qualité de la donnée ou de manière générale de définir des politiques. L’enregistrement consolidé des données avec des liens entre les différents masters apparaît sous forme de graphes ou de tableaux de comparatifs entre les doublons. Autre apport de Semarchy, l’utilisateur bénéficie d’une PoV de ses données brutes et d’une explication méthodologique du projet mis en œuvre avant la pre- mière itération. Cette démarche « Proof of value » permet d’avoir une idée de la valeur que la solution peut apporter au client et une première version du projet. Semarchy se déploie sur plusieurs semaines voire plusieurs mois. 80 % des clients sont en production en moins de dix semaines. La solution est disponible On Pre- mise ou dans le cloud. Les langues disponibles - pour la partie design - sont le français et l’anglais. Les applications générées étant intégralement localisables par le client, celles-ci sont paramétrables en autant de langues qu’il le souhaite.

96 La modélisation des organisations est réalisable dans l’application selon les besoins du client. La modélisation des contenus est également flexible selon le choix du client. Pour les hubs de consolidation ou hubs dédiés principalement à l’intégration d’applications, la modélisation sera technique et liée à la cartographie du SI. Pour les hubs ciblant des utilisateurs des métiers, la modélisation sera davantage axée sur des patterns métiers / sectoriels.

Critères génériques Analytics Domaine Ergonomie Data science Workflows Tableaux de bord, workflows, // reporting Sharing Capacity Fonctionnalités // // Multilingue Gouvernance Catalogue-Lineage

Gouvernance des données Connecteur Multi-utilisateurs, multi-entités Modélisation des organisations et gestion fine des habilitations // Scanning // Modélisation des processus Hébergement de validation Cartographie

Évolution de l’outil Modélisation des contenus Dictionnaire de données

// Usages et exploitation Outils de suivi des données // Valorisation de données Référentiel Préparation de contenus Golden Records //

Valorisation Gouvernance

Gouvernance Référentiel VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

d’infos sur : https://www.semarchy.com/

97 Talend

2005 USA fr.talend.com

Talend est un éditeur de logiciels et fournisseur de services dans les domaines de l’intégration de données, de la préparation des données, de la gestion des données et des métadonnées et de la qualité des données de tout format et tout volume. Ses solutions permettent d’éliminer les silos de données, de nettoyer les données avant leur exploitation en utilisant des méthodes de déduplication, de validation et de standardisation à base de machine learning ou l’application de VOLET 2 – LES SOLUTIONS DU CDO politiques de confidentialité pour l’accès aux données et pour leur partage. Talend Data Management, Talend Big Data et Talend Data Quality permettent la création d’un référentiel de souveraineté des données où toutes les informations relatives à une personne, y compris les données personnelles et les consentements, peuvent être réconciliés et permettre de gérer un inventaire unique de tous les consentements, y compris pour les campagnes d’emailing, le consentement aux cookies et les contrats téléphoniques. Talend Data Catalog permet de scanner un ensemble de sources de données, de découvrir comment elles sont modélisées et utilisées et de reconstituer leur liens (au travers d’intégration à des langages comme SQL ou d’outils de BI, ETL, et modélisation). Au travers de fonctions de relationship discovery, Talend permet de modéliser des liens et d’associer des données physiques à un business glossary. La solution offre des fonctions de retro-engineering pour répercuter cette sémantique dans les outils du marché (modélisation, ETL, BI, Databases…). La solution peut s’interfacer avec l’Active Directory de l’entreprise. Talend Data Catalog peut également cataloguer les propriétaires et les ges- tionnaires de données pour les catégories et sous-catégories de données et leur attribuer des rôles et des workflows. La solution assure une traçabilité des changements survenus dans un modèle et une analyse d’impact en cas de changement. Le Data Catalog permet de construire un inventaire qui comprend le nom du modèle, le propriétaire du modèle, les variables d’entrée, les variables de sortie, la méthodologie du modèle, la date de création et la preuve de l’approbation par le juridique et la conformité. Talend Data Catalog prend en charge le lineage de données sur plusieurs plateformes, notamment la veille économique, Hadoop, NoSQL et ETL. Talend offre une vue de bout en bout des données critiques telles que les opt-in pour suivre et retracer l’origine et la destination des données

98 Avec Talend, il est possible de fournir un contexte aux données brutes afin de faciliter leurs interconnexions et leur enrichissement (dictionary) qui référence les principaux types de données utilisées dans les entreprises. Cette intelligence sémantique est essentielle pour la découverte, catégorisation, réconciliation et protection des données personnelles. En complément, des services de metadata management permettent l’auto-do- cumentation/classification ainsi que la découverte de relations entre les données, que ce soit à l’intérieur d’un modèle de données ou au travers d’un flux de données (data lineage). Au travers de l’intégration de solutions de gestion d’adresses, par exemple, les données peuvent être standardisées et géolocalisées. De nombreux clients de Talend connectent leurs données avec celles de fournisseurs de données, à des sources de données Open Source, ou aux données de leurs clients/partenaires. Talend dispose de nombreux connecteurs compatibles avec les principales solutions logicielles du marché. Talend Cloud API Services Platform permet de concevoir, de documenter et de tester des API avec Talend Cloud API Designer et Talend Cloud API Tester et de les implémenter et déployer avec le Studio Talend et Talend Cloud Management Console. Talend Data Quality fournit des capacités de traitement de NLP pour extraire et baliser des données personnelles potentielles à partir d’un texte libre dans un document (e-mail, Microsoft Word ou PDF), une application (Salesforce, Zendesk ou Service Now), ou un contenu généré par l’utilisateur dans une application web ou mobile. La fonction Magic Fill permet d’adresser des use cases de « standardization/ cleansing ». Avec cette fonction, au lieu d’utiliser plusieurs commandes tech- niques pour transformer la donnée, on demande à l’utilisateur de fournir quelques exemples du résultat souhaité. Afin de permettre la gestion des risques, Talend automatise la découverte et la catégorisation de données personnelles à partir de flux de données entrants. Dans le domaine de la finance, Talend permet la détection de fraude par un apprentissage supervisé de l’historique des transactions ou complément d’analyse de conformité SOX sur une approche statistique. Talend Data Stewardship permet de définir des workflows collaboratifs pour l’arbitrage, la validation, la réconciliation, et la correction d’erreurs dans les don- nées et propose un suivi des actions menées sur les données avec des tableaux VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET de bord et des alertes (dépassement de délais dans les actions de stewardship).

99 Critères génériques Intelligence Scanning Ergonomie Data science Cartographie Tableaux de bord, workflows, reporting Data Mining Dictionnaire de données Multilingue Gouvernance

Gouvernance des données Métadonnées Multi-utilisateurs, multi-entités Modélisation des organisations Collection et gestion fine des habilitations Connecteur

Modélisation des processus Hébergement de validation Scanning

Évolution de l’outil Modélisation des contenus Cartographie

Usages et exploitation Outils de suivi Dictionnaire des données des métadonnées Valorisation de données Référentiel Préparation de contenus Golden Records Anonymisation VOLET 2 – LES SOLUTIONS DU CDO Connecteur Analytics Domaine Cartographie Data science Workflows Algorithmes Sharing Capacity Fonctionnalités Documentation IA & ML Catalogue-Lineage Analyse de données / Connecteur Traitement

Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

d’infos sur : https://fr.talend.com/

100 Tamr

2012 USA www.tamr.com

C-PUB O-P C-PV HY

La solution proposée par Tamr repose sur une approche probabiliste (et non dé- terministe). L’objectif est d’unifier les données (« schéma mapping ») provenant de différents silos à partir de sources diverses et avec des structures différentes en combinant les connaissances de ses experts et le machine learning. Après avoir identifié les différentes sources de données au sein de l’organisation, Tamr Unify les centralise et consolide les datasets dans un écosystème (« map- ping / record matching »). Tamr Unify entend se différencier en proposant une solution qui permet de rationaliser les coûts, de garder les données à jour et de proposer des services ouverts et interopérables. En effet, Tamr permet d’accélérer le process de « data preparation » en scannant les différentes sources de données et facilite l’ajout des nouvelles sources de données, il permet d’identifier les doublons et de clas- sifier les données de manière automatique. Tamr permet également de générer des golden records (application de « golden rules », consolidation de clusters). Ainsi, les utilisateurs pourront mutualiser les in- formations stratégiques relatives à un fournisseur, pour faire apparaitre la maison mère et les filiales du fournisseur comme la même entité (ex : personnel, chiffre d’affaires, nombre de commandes, etc.). L’objectif reste que les décideurs puissent s’appuyer sur un inventaire des don- nées fiable et à jour. Tamr lit les données et identifie les patterns sur les données après profiling de

VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET celles-ci. Un référentiel peut être apporté par l’utilisateur sous forme de « training dataset » qui contient des enregistrements et leur classification, ou les enregistrements qui matchent ensemble. Ceci permet de constituer un référentiel métier propre à l’utilisateur et basé sur ses données. Des modèles Machine Learning par décli- naison métiers - qui s’adaptent à l’utilisateur après entrainement par des experts - sont également disponibles. Afin de visualiser de manière dynamique les flux de données, des points d’entrée API permettent de constituer le jeu de données utilisé sur des outils de visualisa- tion comme la solution Tableau. Tamr dispose d’une grande expérience sur le marché (catalogue de plus de 90 use cases) et peut permettre aux entreprises : D’améliorer l’expérience client / utilisateur qu’ils proposent, De les aider dans leur conformité en offrant une meilleure connaissance de ses jeux de données et une vision unifiée des données, D’optimiser les coûts de gestion de la supply chain, De rationaliser les données dans le domaine de la santé et des essais cliniques.

101 Tamr fonctionne sur un système d’instance « single-tenant » (une instance est dédiée à une entreprise ou à une Business Unit). Différents profils et rôles sont disponibles : Data Administrator

Curateur : Méga-expert qui valide les réponses des experts VOLET 2 – LES SOLUTIONS DU CDO Reviewer : expert qui répond aux questions pour entrainer le Machine Learning Tamr L’éditeur propose de déployer sa solution On-premise, sur le cloud (Google Cloud Platform, Azure, AWS) ou Hybrid. En tant que solution cloud-native, Tamr peut très facilement étendre ses capacités sur le cloud. La plateforme est uniquement disponible en Anglais.

Critères génériques Évolution de l’outil Catalogue-Lineage Ergonomie Connecteur Gouvernance Tableaux de bord, workflows, Référentiel Scanning reporting Golden Records // Cartographie Multilingue // Domaine

Dictionnaire Multi-utilisateurs, multi-entités de données Workflows et gestion fine des habilitations //

Fonctionnalités Hébergement //

102 Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

d’infos sur : https://www.tamr.com/ VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

103 Varonis

2005 USA www.varonis.com

Varonis se définit comme une plateforme de sécurité des données, disponible On-premise avec possibilité de le provisionner dans un cloud public, la solu- tion s’installe sur l’infrastructure client. Elle permet de découvrir et de classifier les données pour y associer des règles de gestion, de sécurité ou de durées de conservation, permettant ainsi de répondre à certaines exigences du RGPD. VOLET 2 – LES SOLUTIONS DU CDO Son moteur scanne et classifie le contenu sur la base de plus de 450 modèles et mots clés : numéros de SS, IBAN, types de réseau sanguin, numéros de carte de crédit, etc. Il est également possible d’importer des dictionnaires de données afin d’améliorer l’identification des données sensibles. Les tableaux de bord et les rapports donnent une vue d’ensemble de la localisation des données vulnérables et permettent ainsi d’évaluer les risques de non-conformité. La solution porte sur les données non-structurées et semi-structurées et détecte les comportements anormaux, les accès aux données, les violations de politique et peut ensuite générer des alertes. Varonis permet de prévenir la menace, en limitant les cyberattaques après avoir identifié, classé et verrouillé les données sensibles et les données non-utilisées. Elle bénéficie d’un haut niveau d’automatisation qui en fait une solution phare sur le marché de la sécurité des données, notamment grâce à son module d’audit (data risk assessment). Varonis fédère les environnements à risques pour les données sensibles sur une seule plateforme et permet une modélisation des menaces sur la base des compor- tements des utilisateurs et une génération d’alertes afin de prévenir des intrusions. Il est possible de programmer des règles de mise en quarantaine des données en fonction des durées de conservation prédéfinies avant suppression. Grâce à un moteur de recherche (Datanswer), les personnes concernées peuvent gérer leurs demandes d’exercice des droits. Varonis propose des tableaux de bord fournissant une vue en temps réel de l’activité et des KPI personnalisables. Il existe un club d’utilisateurs sur lequel s’appuie l’éditeur pour ses mises à jour.

104 Critères génériques Métadonnées Ergonomie Exploration - Données non-structurées Tableaux de bord, workflows, reporting Connecteur // Multilingue Cartographie

Multi-utilisateurs, multi-entités Accès et gestion fine des habilitations Reporting Hébergement

Évolution de l’outil

Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

d’infos sur : https://www.varonis.com/fr/ VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

105 Veritas technologies LLC

1983 USA www.veritas.com

C-PUB O-P

Editeur américain également présent sur le marché européen, Veritas techno- logies LLC se présente comme le leader mondial de la protection des données d’entreprise. Il propose une large suite logicielle (multicloud, visibilité sur les données, Data Protection, portabilité des données et des charges de travail optimisation du stockage, etc.). Parmi ce portefolio de logiciels, deux solutions vont permettre de classifier et de gérer les données de l’entreprise : Data Insight VOLET 2 – LES SOLUTIONS DU CDO et Information Studio. Data Insight permet de cartographier des espaces de stockage et de faire un focus sur les données non-structurées à partir des différentes sources (bases de données, Share Point, One drive, etc.). La solution permet une analyse en surface, avec un scan des différents serveurs de fichiers avant de proposer une classifica- tion fine des documents avec détection despatterns particuliers. Les utilisateurs peuvent se constituer un référentiel des données personnelles présentes dans le système d’information. Data Insight permet d’effectuer une recherche par tag, description ou par nom afin de retrouver une donnée souhaitée. Il est possible de configurer des règles de proximité et de réutiliser des patterns prédéfinis (classification sur les fichiers les plus à risques en priorité). Il est possible de cibler la recherche concernant un individu ou un groupe dans plusieurs bases de données et d’identifier des com- portements « anormaux». Le moteur de classification peut s’interfacer avec des solutions externes et clas- sifier certaines données comme confidentielles ou sensibles. La solution permet également de gérer les accès et les habilitations des utilisateurs et de faire l’analyse des permissions et d’en conserver la traçabilité. Information Studio propose un tableau de bord avec une map monde permettant de visualiser les différents lieux de stockage, de faire des opérations d’assainisse- ment des données sur l’ensemble des partages On-Premise, notamment suite à l’identification des données personnelles ayant dépassé leur durée de conservation. La solution permet de générer des rapports par requête, commande. D’autres fonctionnalités permettent d’empêcher l’envoi d’information aux mauvais destinataires et d’auditer les accès et habilitations.

106 Critères génériques Métadonnées Ergonomie Exploration - Données non-structurées Tableaux de bord, workflows, reporting Connecteur // Multilingue Cartographie

Multi-utilisateurs, multi-entités Accès et gestion fine des habilitations Reporting Hébergement //

Évolution de l’outil

Valorisation Gouvernance

Gouvernance Référentiel

IA et Machine des données Catalog-lineage Learning Usages et exploitation

Exploration - Données non-structurées Métadonnées

Anonymisation

Collection

d’infos sur : https://www.veritas.com/ VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

107 Pryv

2012 Suisse Pryv.com

MIDDLEWARE

Un middleware « data subject centric » clé en main pour la gestion des données personnelles et des consentements. Présent principalement dans le secteur de la santé, Pyrv propose une solution On-Premise qui se pose directement sur l’infrastructure du client (installation en

2h30). VOLET 2 – LES SOLUTIONS DU CDO Middleware entre l’hébergement HDS et la couche applicative (cœur de métier du client). Cette facilité d’intégration du système permet de palier au problème récurrent d’interopérabilité dans le domaine de la santé (applications e-santé, télé santé, IOT, domotique, etc.). Pryv se présente comme une « Brique Privacy by Design » pour la collecte et le stockage des données semi-structurées. Pryv permet l’aggrégation et la compréhension de la donnée. L’objectif est d’avoir une structure de données stable dans le temps qui fait évoluer les process et business model. Pryv permet d’accélérer le « Time to market », de se passer de la mise en place du « back end » et donc de se focaliser sur leur cœur métier. Pryv est un « coffre-fort » de données des patients doté d’une gestion fine des consentements qui permet à la personne de garder la maîtrise sur ses données. La personne concernée peut gérer son consentement et les accès à ses données. Il définit de manière spécifique les opérateurs pouvant avoir accès à ses infor- mations et à quel type d’information. L’individualisation du stockage (chaque personne concernée à sa propre url pour accéder aux données) est privilégiée, on a donc un container par individu. Pryv permet également la modélisation des données stockées et le paramétrage de la portabilité. La personne concernée a accès à une interface graphique avec un tableau de bord de l’ensemble des données via API. Elle peut connecter ou déconnecter les applications de son centre de préférence. Elle a le pouvoir de choisir de partager ses informations à sa guise en donnant des droits. Ex. : Un patient peut donner un droit de lecture à son médecin sur les informations relatives à sa nutrition. Lorsque l’opérateur économique souhaite obtenir un consentement, il lance une requête de consentement et peut personnaliser son message. La solution offre également la possibilité d’auditer, de visualiser les tokens distribués pour vérifier les autorisations. Disposant d’un partenariat avec Smart Global Gouvernance, Pryv permet de faire un lien entre les process RGPD (registre) et la donnée elle-même.

108 Les prochaines évolutions prévoient la mise en place d’un dynamic mapping faisant le lien entre la donnée et le process ou l’application métiers SAAS. La documentation relative à l’outil est disponible en anglais. Le 9 juin 2020, l’éditeur a annoncé le passage de la licence Pryv en Open Core. Une version de base Pryv.io sera disponible en Open Source, ainsi les développeurs pourront utiliser librement le « back end » de la solution comme fondation de leurs applications pour la gestion des données personnelles.

d’infos sur : https://pryv.com/fr/ VOLET 2 – LES SOLUTIONS DU CDO DU SOLUTIONS LES – 2 VOLET

109 VOLET 3 – LES SOLUTIONS DU CISO

Volet 3 Les Solutions du CISO La détection des incidents et la réponse aux incidents

110 DarkTrace

2013 USA www.darktrace.com

Déployée dans plus de 3000 organisations, Darktrace se présente comme le leader mondial de solutions IA de cybersécurité avec sa technologie auto-ap- prenante s’inspirant du système immunitaire humain. La solution s’interface notamment avec Office 365, AWS, SharePoint, Dropbox, G-suite, Salesforce. L’analyse comportementale permet de détecter les événe- ments non-habituels dans le SI afin d’alerter et de proposer une réponse adéquate. L’interface permet également de reconstituer et de visualiser l’évènement en 3D. Darktrace permet de protéger son espace cloud, les boites e-mails, les réseaux et les objets connectés. La solution peut tourner de manière indépendante, y compris off-line. Darktrace propose aussi un module de détection de tentatives de phishing par e-mails. La solution offre une protection contre les menaces d’initiés, l’espionnage industriel, les logiciels malveillants de type «zero-day», les pertes de données et les vulnérabilités des infrastructures à long terme. Darktrace peut fonctionner sans internet. Les mises à jour se font en ouverture en lecture seule – pas de périodicité. S’adapte - sonde en physique et en virtuel. Données stockées sur le boitier hardware - accès uniquement si utilisation du SOC externe DarkTrace ou support client et MAJ. VOLET 3 – LES SOLUTIONS DU CISO DU SOLUTIONS LES – 3 VOLET

Critères génériques Détection usecases Réponse aux incidents Ergonomie Réponse aux incidents Traitement des évènements Multilingue usecases Orchestration de la réponse

Multi-utilisateurs, multi-entités Gestion des logs Fonctionnalités et gestion fine des habilitations N/A Technologies intégrées Technologies intégrées Hébergement Performance de l’outil Performance de l’outil Évolution de l’outil N/A Documentation

Détection des incidents Audit et conformité Catégorie de sources

d’infos sur : https://www.darktrace.com/fr/

111 IBM

1911 USA www.ibm.com

C-PUB O-P C-PV HY

IBM est une entreprise américaine, acteur historique de l’édition de logiciels qui est présent sur le marché des technologies et des innovations dans 170 pays. Afin d’accompagner les organisations dans leur mise en conformité au RGPD, IBM propose une suite logicielle s’articulant sur trois axes : la donnée, la gouvernance et la sécurité. VOLET 3 – LES SOLUTIONS DU CISO Les fonctionnalités concernant les données et la sécurité sont centralisées sur une seule plateforme qui permet d’identifier et de localiser les données dans le système d’information afin de les classifier et de leur appliquer les règles définies tout en surveillant les alertes de sécurité. La gamme Data d’IBM propose un portefeuille allant de la prévention à la réponse aux incidents : IBM QRadar : SIEM d’IBM qui permet de détecter les menaces avancées. Il offre une visibilité complète sur les points d’accès, les flux réseaux, les points d’entrée des menaces et vulnérabilités, effectue la priorisation des menaces et mène des investigations automatisées. Les évènements sont captés en temps réel dans leur format brut (journaux de logs), la solution comprend le format de chaque donnée et les évènements sont ensuite normalisés. L’étape suivante consiste à appliquer des règles de filtrage et d’agrégation avant de faire de la corrélation et de la remontée d’alerte. Les informations sont ensuite stockées à des fins de preuve. L’interface se présente sous la forme d’une console web unique composée de tableaux de bord et de KPI. L’utilisateur peut générer des rapports et faire des investigations post-incident. Une information au fil de l’eau permet aux DSI / RSSI d’avoir de la visibilité sur les comportements nouveaux ou inattendus. IBM Guardium Data Protection protège en temps réel les environnements IT complexes en faisant de la découverte et de la classification des données, en évaluant la vulnérabilité des bases de données et en gérant les droits d’accès et habilitations aux sources de données. Avec Guardium, l’utilisateur peut chiffrer les données et les monitorer, il dispose d’un système de blocage dynamique, bénéficie d’alertes et peut prévoir des mises en quarantaine. IBM Resilient : plateforme permettant de piloter la réponse à incident, d’industrialiser et d’automatiser les process de réponse aux incidents et de bénéficier d’un suivi avec des KPI sur les mesures de remédiations mises en œuvre.

112 Critères génériques Détection usecases Réponse aux incidents Ergonomie Réponse aux incidents Traitement des évènements Multilingue usecases Orchestration de la réponse

Multi-utilisateurs, multi-entités Gestion des logs Fonctionnalités et gestion fine des habilitations Technologies intégrées Technologies intégrées Hébergement Performance de l’outil Performance de l’outil Évolution de l’outil Documentation

Détection des incidents Audit et conformité Catégorie de sources

d’infos sur : http://www.ibm.com VOLET 3 – LES SOLUTIONS DU CISO DU SOLUTIONS LES – 3 VOLET

113 Splunk

2003 USA www.splunk.com

C-PUB O-P C-PV HY

Splunk est un éditeur de logiciel qui compte plus de 10 000 clients dans le monde. Reconnue par le Magic Quadrant du Gartner comme leader pour sa solution SIEM. Splunk recourt à une AI auto-apprenante pour surveiller, enquêter et agir sur les menaces potentielles pesant sur le SI des organisations.

La solution collecte, indexe et met en corrélation les informations relatives aux VOLET 3 – LES SOLUTIONS DU CISO menaces et incidents. Ces dernières sont stockées et permettent de générer des graphiques, des rapports, des alertes, des tableaux de bord et des infographies. Ainsi, l’utilisateur bénéficie d’enquêtes basées sur les informations recueillies et permet d’apporter la réponse adéquate à l’incident. Les Tableaux de bord sont dynamiques et personnalisables avec des KPI et des graphiques permettant de faire le suivi des menaces et des incidents. Ainsi, Splunk permet de recueillir, de regrouper, de dédupliquer et de hiérarchiser les renseignements sur les menaces provenant des différentes sources de l’entre- prise. Les enquêtes de sécurité sont renforcées et gagnent en efficacité. Se présentant sous la forme d’une plateforme moderne et flexible, l’utilisateur est doté de nombreuses fonctionnalités SOC, SecOps et conformité. Splunk Cloud a reçu les attestations SOC2 Type 1 et Type 2. La solution est disponible en SaaS, privé comme public et peut être déployée dans des environnements hybrides. Splunk dispose également d’une offre On-Premise. Afin de détecter les intrusions et anomalies, Splunk UBA se base sur une techno- logie d’analyse comportementale (IA, machine learning) qui permet d’optimiser les SecOps, d’accélérer et d’améliorer la capacité d’enquête et la réponse aux incidents grâce aux workflows automatisés. L’analyse de l’activité via les logs (recherche de patterns, analyse statistique), permet d’identifier les anomalies ou les activités, Splunk permet d’avoir une visi- bilité et une surveillance de bout en bout de l’activité afin d’identifier les causes des incidents et de trouver les menaces (ransomware) en prévention des dégâts qu’elles peuvent potentiellement causer. La fonctionnalité d’enquête va permettre de définir la méthodologie choisie par le hacker pour s’introduire dans le réseau. La solution va classer avec précision les différents types de menaces (menace interne, tentative d’intrusion, infection par un malware). L’analyste sécurité va pouvoir faire une revue des évènements et examiner les in- cidents en affectant un KPI aux différentes menaces (critique, élevée, moyenne, faible).

114 Les graphes et Tableaux de bord donnent une visibilité d’ensemble des key security indicators avec notamment un risk score relatif à l’activité sur les dernières 48 heures. Dans la continuité de son partenariat avec Amazon qui vise à intégrer l’offre Splunk Cloud aux services AWS, Splunk a récemment conclu un partenariat avec Google Cloud afin d’étendre ses services à l’infrastructure Google.

Critères génériques Détection usecases Réponse aux incidents Ergonomie Réponse aux incidents Traitement des évènements Multilingue usecases Orchestration de la réponse

Multi-utilisateurs, multi-entités Gestion des logs Fonctionnalités et gestion fine des habilitations Technologies intégrées Technologies intégrées Hébergement Performance de l’outil Performance de l’outil Évolution de l’outil Documentation

Détection des incidents Audit et conformité Catégorie de sources

d’infos sur : https://www.splunk.com/ VOLET 3 – LES SOLUTIONS DU CISO DU SOLUTIONS LES – 3 VOLET

115 TNP CONSULTANTS

116 TNP : Transformation ‘N’ Performance

TNP est un cabinet de conseil français, hybride et indépendant, leader de la performance. Il accompagne les leaders de l’économie dans leurs transformations digitales, opérationnelles et réglementaires

TNP EN BREF EN TNP Hybride Bilingue métier-technologies

Indépendant Pour exercer librement notre métier et proposer des solutions adaptées aux attentes de nos clients

117 Notre ADN

FORTE SÉNIORITÉ ORIENTÉ MULTISECTORIEL DES ÉQUIPES RÉSULTATS

ENGAGEMENT MULTISPÉCIALISTE DES PARTNERS TNP EN BREF

En chiffres (2020)

15 associés 510 39 directeurs 150 collaborateurs recrutements (dont 450 en France) 80 managers

NOS BUREAUX 70 m Paris, Lyon, € Marseille, Mumbai, de chiffre Luxembourg, d’affaires Genève, Casablanca, (dont 64 en France) Cochin, New-Delhi

118 Une organisation qui couvre l’ensemble des secteurs de l’économie et qui répond à vos enjeux

MULTISECTORIEL

ASSURANCE BANQUE & PROTECTION SOCIALE Banque de détail Assurance de biens TNP EN BREF EN TNP Banque de financement Assurance de personnes et d’investissement Banque privée, gestion d’actifs et titres

TRANSFORMATION NUMÉRIQUE & TECHNOLOGIQUE

TRANSFORMATION DIGITALE & BUSINESS SOLUTIONS

EXCELLENCE OPÉRATIONNELLE

DATA, GDPR, CYBERSÉCURITÉ MULTISPÉCIALISTE FINANCE, RISQUE & RÈGLEMENTAIRE

119 Notre ADN multisectoriel et multispécialiste prend tout son sens dans notre organisation : nous intervenons sur l’ensemble des secteurs d’activités et mettons à votre disposition nos experts qui combinent expertises sectorielles et métiers.

TNP possède cinq grands domaines d’expertises qui répondent à vos enjeux actuels et à venir. TNP EN BREF

INDUSTRIE SECTEUR MOBILITÉS & SERVICES PUBLIC & SANTÉ

Ferroviaire Automobile Gouvernements Aérien Energie & Utilités Collectivités territoriales Maritime Retail & Luxe Hôpitaux Routier Pharmaceutique Défense

TRANSFORMATION NUMÉRIQUE & TECHNOLOGIQUE

TRANSFORMATION DIGITALE & BUSINESS SOLUTIONS

EXCELLENCE OPÉRATIONNELLE

DATA, GDPR, CYBERSÉCURITÉ

FINANCE, RISQUE & RÈGLEMENTAIRE

120 Notre offre RGPD TNP, l’acteur « end to end » de la protection des données

TNP vous accompagne dans toutes les phases de mise en œuvre du RGPD : volets juridique, organisationnel, technique et technologique.

NOTRE OFFRE RGPD & PROTECTION DES DONNÉES

DPO & Représentant Externe Accompagnement du DPO Externalisation de la fonction DPO Représentant pour entreprises non Européennes

Audit, AIPD, Privacy by Design Audit de conformité (BCR, contrôle CNIL, RGPD et loi applicable, certification, code de conduite) Analyse d’impacts sur la protection des données (AIPD) Privacy By Design

Politique, procédures, gouvernance Politique et procédures de protection des données Sous-traitants : Contrats et évaluation des mesures de sécurité TNP - NOTRE OFFRE GDPR OFFRE NOTRE - TNP BCR

Certification Certification EuroPriSe de produits et services IT Préparation à la certification ISO 27701 Préparation à la certification AFNOR « protection des données »

Outil DPO Aide au choix de solutions de registre Paramétrage et implémentation de solutions de registre

Formations DPO & GDPR Formation DPO 5 jours – éligible à la certification Formations AIPD et Privacy by Design Formation utilisateurs ONE TRUST

Legal Design Mise en forme pédagogique des documents obligatoires Création de contenus RGPD : infographies, podcasts…

121 NOTRE ÉQUIPE

# Expertise Depuis 2010 TNP - NOTRE OFFRE GDPR Maîtrise des législations UE et hors UE Maîtrise des normes de sécurité (NIST, ISO, NIS, OWASP)

# Expérience DPO externe pour plus de 20 organisations Plus de 70 références RGPD secteurs privé et public Une expérience multisectorielle reconnue dans le privé et le public Intervention en France (Métropole et Outre Mer) et à l’international

# Excellence Équipe de 35 consultants RGPD (juristes, ex-CNIL, avocats, experts sécurité, chefs de projet) Consultants certifiés (IAPP, One Trust, ISO 27001, Expert juridique pour le label EuroPriSe)

122 Notre offre cybersécurité

Des experts cybersécurité qui maîtrisent les outils

D’ABORD UNE MAITRISE DES EXPERTS DES OUTILS

Plus de 13 ans d’expérience Grands groupes et ETI

DES STANDARDS DES ET DES CERTIFICATIONS RÉFÉRENTIELS TNP - NOTRE OFFRE CYBERSÉCURITÉ OFFRE NOTRE - TNP

MULTI TECHNOLOGIES

Réseau : switch/LAN, firewalling, Système : Linux, Windows, MacOS Applicatif : tests d’intrusion & Audit de code : Java, PHP, .NET, Scala, Objective C, Android

123 MULTI ENVIRONNEMENT

Applications mobiles (iOS, Android, Windows) Web Cloud Big Data Internet Of Thing (IoT) TNP - NOTRE OFFRE CYBERSÉCURITÉ

Audit SMSI DevSecOps SIEM managé Audits techniques SOC - CTI - CERT Security by Design (pentests, code, architecture)

Centre de compétences et d’expertise Gestion d’incident Shadow IT, DLP, APT, Déploiement EDR, SOAR, de solutions Cyber-résilience Chiffrement, de cybersécurité PCA/PRA Forensic, Anonymisation…

Formations ISO 27001 Cyber-entrainement et 27005, Mobile Red Team – Blue Team RSSI as a service application hacking, Crise cyberdéfense SecDevOps

En partenariat avec :

124 Notre offre Data

Une demarche progressive, adaptée à votre contexte et à vos objectifs

# Vision # Démarche

Data = facteur de confiance Approche « Diagnostic – Enjeux – Opportunités » Une stratégie data adaptée au contexte du client Évaluation du niveau de maturité actuelle Nouvelles réglementations = opportunité de repenser Définition duniveau de maturité sa gouvernance des données cible dans les 3 à 5 ans et plan de transformation Approche holistique : risques, conformité, métiers, Déploiement sur un périmètre processus internes cible Pilotage, KPI, suivi ROI

Réglementation & Sécurité Conformité & sécurité

TNP - NOTRE OFFRE DATA OFFRE NOTRE - TNP Data Management Effectiveness Review Synthèse Diagnostic

Valeur métier Valeur métier Valeur d’usage Accessibilité Architecture & Solutions Fraicheur Pertinence Processus & Maturité Qualité Disponibilité

Architecture S.I & Solutions Adéquation cohérence fonctionnelle Moyens techniques (Obsolescence, Quick Wins Dette) Coûts Sécurité Vision cible Maturité des Processus Conaissance du S.I Conformité Gouvernance Mesure et métriques Gestion des risques Cas d’usage

125 # Expertise # Offre

Des spécialistes capables d’aligner Périmètre Data l’IT et l’amélioration des process business en intégrant Stratégie data les exigences réglementaires. Diagnostic de maturité « data » Des experts en architecture et définition de cas d’usages data et en data management

Découverte et cartographie TNP - NOTRE OFFRE DATA Des experts qui maîtrisent des données les technologies relatives à l’intégration de données, la data Gestion & gouvernance: quality, MDM, gestion des Définitions, normalisation, métadonnées, data masking, classification, documentation sécurité des données, archivage (politiques, relations, modèles des données, BI. et processus, règles) ; Des consultants régulièrement Référentiels de données formées aux technologies : Architecture systèmes Intégration de la donnée Virtualisation de la donnée Gestion de la qualité de la donnée Conformité et sécurité

Projets

Business Intelligence Master Data Management Exigences réglementaires (RGPD, IFRS9…) Migration des applicatifs Anonymisation, Test Data Management Décommissionnement d’applications ou de données

126 PASSER À L’HYBRIDE POUR GAGNER EN PERFORMANCE

www.protection-des-donnees.com TNP fournit cette étude comparative pour aider les DPO, CDO et CISO dans leurs choix de solutions technologiques. L’information contenue dans cette étude est fournie à titre informative seulement, elle ne saurait être exhaustive et n’a pas l’intention de se substituer à la mise en place de mesures juridiques, organisationnelles ou de sécurité afin de répondre aux exigences de la réglementation. TNP ne sera en aucun cas responsable ni envers une organisation faisant un choix d’outil sur la base des informations contenues dans cette étude, ni de l’évaluation faite de manière totalement indépendante des outils cités dans cette étude. TNP,31rueduPont,92200Neuilly-Sur-Seine [email protected] www.tnpconsultants.com Contact 0147224334

JUILLET 2020 - Conception graphique : StudioChadho - Estelle Dho / Crédit visuel courverture : shutterstock