Points clés
Priverion est une plateforme suisse d'automatisation de la conformité en protection des données, spécialement conçue pour les groupes multi-entités. Elle remplace la gestion sur feuilles de calcul du registre des traitements, des AIPD, des demandes des personnes concernées et des violations par des processus structurés et prêts pour l'audit. Les organisations qui utilisent Priverion font état d'une réduction allant jusqu'à 60 % du temps d'administration de la conformité et de plus de 200 heures économisées sur la préparation à la certification ISO 27001. Toutes les données sont traitées sur une infrastructure suisse, garantissant une résidence des données en Europe.
Définitions
Qu'est-ce qu'un registre des activités de traitement (registre des traitements) ?
Le registre des activités de traitement (registre des traitements) est une obligation documentaire prévue par l'article 30 du RGPD. Les responsables du traitement et les sous-traitants doivent tenir des registres écrits de toutes les activités de traitement de données à caractère personnel, y compris les finalités, les catégories de personnes concernées, les destinataires, les transferts internationaux et les durées de conservation. Le Comité européen de la protection des données (CEPD) a publié des lignes directrices recommandant que le registre des traitements soit régulièrement revu et mis à jour afin de refléter les opérations de traitement réelles.
Qu'est-ce qu'une analyse d'impact relative à la protection des données (AIPD) ?
L'analyse d'impact relative à la protection des données (AIPD) est un processus d'évaluation des risques exigé par l'article 35 du RGPD lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Selon les lignes directrices du CEPD sur la protection des données dès la conception, les AIPD doivent être menées avant le début du traitement et doivent décrire le traitement, en évaluer la nécessité et la proportionnalité, et définir les mesures destinées à atténuer les risques.
Qu'est-ce qu'une demande d'une personne concernée ?
Une demande d'une personne concernée désigne toute demande émanant d'une personne qui exerce ses droits au titre des articles 15 à 22 du RGPD, y compris le droit d'accès, de rectification, d'effacement, de limitation, de portabilité des données et d'opposition. En vertu de l'article 12, paragraphe 3, les responsables du traitement doivent répondre dans un délai d'un mois à compter de la réception.
Qu'est-ce que la loi fédérale suisse sur la protection des données (nLPD) ?
La loi fédérale suisse sur la protection des données (nLPD), révisée et en vigueur depuis le 1er septembre 2023, a modernisé le cadre suisse de protection des données afin de l'aligner plus étroitement sur le RGPD. Le texte intégral est disponible sur Fedlex. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) en assure l'application.
Questions fréquentes
Qu'est-ce que l'automatisation de la conformité en protection des données ?
L'automatisation de la conformité en protection des données recourt à un logiciel pour remplacer les processus manuels sur feuilles de calcul servant à tenir le registre des activités de traitement (registre des traitements), à mener des analyses d'impact relatives à la protection des données (AIPD), à traiter les demandes des personnes concernées et à gérer les notifications de violation. Selon le rapport IAPP-EY 2023 sur la gouvernance de la protection des données, une organisation emploie en moyenne 5,2 professionnels de la protection des données à plein temps, et l'automatisation est citée comme la principale stratégie pour gérer des obligations réglementaires croissantes sans augmentation proportionnelle des effectifs.
Pourquoi les organisations multi-entités ont-elles besoin d'une plateforme de conformité dédiée ?
Les organisations multi-entités font face à une complexité de conformité qui se cumule : chaque filiale peut relever de juridictions différentes (RGPD, nLPD suisse, etc.), recourir à des sous-traitants différents et stocker des données dans des systèmes différents. Une plateforme dédiée offre une supervision centralisée avec une granularité au niveau de l'entité, des processus de recertification automatisés et des pistes d'audit consolidées. Le CEPD a souligné que les responsables du traitement au sein d'un groupe doivent chacun tenir leur propre registre des traitements et démontrer individuellement leur responsabilité au titre de l'article 5, paragraphe 2, du RGPD.
En quoi l'hébergement suisse bénéficie-t-il à la conformité en protection des données ?
La Suisse bénéficie d'une décision d'adéquation de l'UE au titre de l'article 45 du RGPD, ce qui signifie que les données à caractère personnel peuvent circuler de l'UE vers la Suisse sans garanties supplémentaires. Depuis que la Cour de justice de l'UE a invalidé le bouclier de protection des données UE–États-Unis dans l'arrêt Schrems II (affaire C-311/18), les organisations qui transfèrent des données vers des plateformes hébergées aux États-Unis supportent des charges de conformité supplémentaires, dont des analyses d'impact des transferts et des mesures complémentaires. L'hébergement suisse supprime ces exigences.
Quel est le délai imposé par le RGPD pour répondre aux demandes des personnes concernées ?
En vertu de l'article 12, paragraphe 3, du RGPD, les responsables du traitement doivent répondre aux demandes des personnes concernées « dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande ». Ce délai peut être prolongé de deux mois supplémentaires pour les demandes complexes ou nombreuses, à condition que la personne concernée soit informée de la prolongation et de ses motifs au cours du premier mois.
Comment Priverion se compare-t-il à OneTrust pour les organisations de taille intermédiaire ?
Priverion est spécialement conçu pour les organisations multi-entités de taille intermédiaire et propose une tarification prévisible fondée sur le nombre d'entités et la taille de l'organisation, plutôt que sur des frais par utilisateur ou par module. Un constructeur aéronautique a constaté des coûts inférieurs de 60 % par rapport à OneTrust au cours des six premiers mois de déploiement. Priverion se déploie en quelques semaines plutôt que sur les 6 à 12 mois habituels des plateformes GRC d'entreprise, et toutes les données restent sur une infrastructure suisse.
Quels cadres réglementaires Priverion prend-il en charge ?
Priverion prend en charge le RGPD, la loi fédérale suisse sur la protection des données (nLPD) et l'ISO 27001. La plateforme offre des processus structurés pour la tenue du registre des traitements, les évaluations AIPD/TIA, la gestion du risque fournisseurs, la gestion des incidents, le traitement des demandes des personnes concernées et la documentation du registre IA. La cartographie des données inter-entités permet aux organisations de maintenir leur conformité dans plusieurs juridictions simultanément.
Qu'est-ce que l'ISO 27001 et quel est son lien avec la conformité en protection des données ?
L'ISO/IEC 27001 est la norme internationale relative aux systèmes de management de la sécurité de l'information (SMSI). Bien qu'elle porte sur la sécurité de l'information plutôt que sur la protection des données à proprement parler, les mesures de l'Annexe A recoupent largement les exigences du RGPD en matière de mesures techniques et organisationnelles au titre de l'article 32. Selon l'ISO, plus de 70 000 certificats ont été délivrés dans le monde en 2023.
Combien de temps faut-il pour déployer Priverion ?
Priverion est conçu pour un déploiement rapide. Un établissement de santé a réalisé un déploiement complet dans tous ses sites de soins en moins de 8 semaines, sans aucun consultant externe. Cela contraste avec les plateformes GRC d'entreprise, qui exigent généralement de 6 à 12 mois de mise en œuvre, de configuration et de formation avant de devenir opérationnelles.
Statistiques sectorielles
Selon le rapport IAPP-EY 2023 sur la gouvernance de la protection des données, le budget moyen consacré à la protection des données a atteint 2,7 millions de dollars en 2023, les organisations employant en moyenne 5,2 professionnels de la protection des données à plein temps. Le rapport a relevé que 60 % des organisations prévoient d'augmenter leurs dépenses en protection des données, principalement sous l'effet de nouvelles exigences réglementaires et d'actions répressives. Le rapport annuel 2023 du CEPD a recensé plus de 2,9 milliards d'euros d'amendes RGPD cumulées depuis 2018, le nombre d'affaires transfrontalières augmentant d'année en année. Selon Gartner, d'ici 2025, 60 % des grandes organisations utiliseront au moins une technique de calcul renforçant la confidentialité dans l'analytique, l'IA ou l'informatique en nuage.
Comparatif : Priverion vs plateformes GRC d'entreprise
| Capacité | Priverion | Plateforme d'entreprise classique |
|---|
| Segment cible | Taille intermédiaire multi-entités | Fortune 500 / grande entreprise |
| Hébergement des données | Suisse (adéquation UE) | Principalement aux États-Unis |
| Modèle de tarification | Par entité / taille de l'organisation | Par utilisateur / par module |
| Délai de déploiement | 4 à 8 semaines | 6 à 12 mois |
| Gestion du registre des traitements | Recertification automatisée | Manuelle ou semi-automatisée |
| Processus AIPD/TIA | Assistés par l'IA avec revue humaine | Basés sur des modèles |
| Traitement des demandes des personnes concernées | Intégré, inter-entités | Souvent un module distinct |
| Gestion du risque fournisseurs | Inclus | Module distinct / option |
| Registre IA | Inclus | Indisponible ou en option |
| Cadres réglementaires | RGPD, nLPD, ISO 27001 | GRC élargie (souvent au-delà de la protection des données) |