L'année écoulée a été chargée pour ceux qui travaillent dans le secteur de la protection des données. 2020 a vu l'entrée en vigueur (1er janvier 2020) et la date d'application (1er juillet 2020) de la California Consumer Privacy Act (CCPA).
Les problèmes de main-d'œuvre liés à la pandémie de coronavirus ont également mis la pression sur les professionnels de la protection des données. Le déploiement rapide de la technologie pour permettre le travail à distance pendant la pandémie a présenté des défis en matière de sécurité et de confidentialité, notamment en ce qui concerne le traitement des données de santé des employés et la nouvelle surveillance des employés à distance. L'initiative de vote, la Proposition 24, la California Privacy Rights Act (CPRA), a été approuvée par les électeurs californiens le 3 novembre 2020, et entrera en vigueur le 1er janvier 2023. Pour compléter cette année chargée pour les professionnels de la protection des données, au printemps 2021, la Virginie a adopté sa Consumer Data Protection Act (CDPA), qui prendra également effet le 1er janvier 2023. Ainsi, ajoutant un nouvel acronyme à la liste toujours croissante de la terminologie de la protection des données.
| En savoir plus : Acronymes courants dans l'industrie de la protection des données → |
Il est temps de mettre en œuvre un logiciel de gestion de la protection des données
Chez G2.com, notre objectif est de recueillir des avis d'utilisateurs réels sur les produits et services logiciels B2B. Nous utilisons les données des utilisateurs disponibles pour alimenter notre analyse des marchés logiciels en temps réel, et à leur tour, aider les futurs acheteurs de technologie d'entreprise à acheter différents produits et services logiciels de manière plus intelligente.
Qu'est-ce qu'un logiciel de gestion de la protection des données ?
Le logiciel de gestion de la protection des données aide les entreprises à opérationnaliser leurs programmes de confidentialité d'entreprise en fournissant des outils de cartographie, de découverte et de classification des données sensibles ; des fonctionnalités de demande de consommateur ou de demande de sujet de données (DSR/DSAR). Il dispose également de fonctionnalités supplémentaires telles que la vérification d'identité, la désidentification ou la pseudonymisation, PIA, la notification de violation, la gestion du consentement et le balayage de suivi de site Web.
L'un des points de données que je voudrais souligner pour les professionnels de la protection des données sur le marché des logiciels de gestion de la protection des données est le temps qu'il a fallu à vos pairs pour mettre en œuvre ces produits. Ci-dessous se trouve un graphique montrant le temps de mise en œuvre pour des produits tels que TrustArc, DataGrail, Secure Privacy, SAI360, Collibra, SureCloud, DPOrganizer, et OneTrust. Les produits inclus dans l'Index de mise en œuvre pour la gestion de la protection des données, printemps 2021, listés ci-dessous ont reçu un minimum de 10 avis et 5 réponses pour chacune des questions liées à la mise en œuvre présentées dans notre enquête au 2 mars 2021.
Les temps de mise en œuvre les plus courts tournent autour d'un mois
En moyenne, les utilisateurs rapportent que la période de mise en œuvre des solutions de gestion de la protection des données est de 90 jours. La mise en œuvre la plus courte a été citée pour DPOrganizer à un peu moins d'un mois, suivie de Secure Privacy, avec un temps de mise en œuvre d'un mois et demi. La majorité des évaluateurs des deux entreprises provenaient de petites entreprises (50 employés ou moins) et d'entreprises de taille moyenne (51-1000 employés).
Selon les données de G2, 77 % des évaluateurs de DPOrganizer provenaient des segments des petites et moyennes entreprises, et 93 % des évaluateurs de Secure Privacy provenaient également des mêmes segments.
Les temps de mise en œuvre les plus longs sont juste au-dessus de cinq mois
Avec les temps de mise en œuvre moyens rapportés pour la gestion de la protection des données étant de trois mois, les périodes de mise en œuvre les plus longues sont rapportées à un peu plus de cinq mois. SAI360 a rapporté une période de mise en œuvre de 159 jours et Collibra a terminé la leur en 156 jours. Cela ne me surprend pas puisque ces deux produits servent une clientèle d'entreprises de grande taille. Les données de G2 montrent que 77 % des évaluateurs de SAI360 provenaient d'entreprises de niveau entreprise, avec plus de 1000 employés, tandis que 50 % des évaluateurs de Collibra proviennent également d'entreprises de niveau entreprise. OneTrust, malgré 54 % de leurs évaluateurs provenant d'entreprises de niveau entreprise, a un délai de mise en œuvre de 78 jours, soit près de la moitié de celui de SAI360 et de Collibra.
La durée plus longue rapportée de la mise en œuvre de logiciels de gestion de la protection des données dans les entreprises de niveau entreprise ne me surprend pas. Étant donné la taille des entreprises de niveau entreprise et leur portée nationale et mondiale, compléter la découverte de données sensibles, la cartographie des données, et prendre des décisions de politique de confidentialité des données qui informent les mises en œuvre de logiciels de gestion de la protection des données de l'entreprise, seraient probablement plus impliqués et incluraient plus de décideurs.
Votre propre calendrier d'opérationnalisation de la protection des données
Je voudrais encourager les professionnels de la protection des données à utiliser les informations de mise en œuvre de logiciels ci-dessus pour guider le calendrier d'adoption de votre entreprise pour la nouvelle technologie de programme de confidentialité. Juste après que le CCPA soit devenu loi, j'ai remarqué plusieurs entreprises de logiciels de protection des données offrant des mises en œuvre accélérées, connues sous le nom de "CCPA en un jour". Espérons qu'avec une planification avancée, vous ne serez pas obligé de mettre en œuvre une solution à la hâte pour atteindre les objectifs de conformité de votre entreprise en matière de CPRA et de CDPA.
| En relation : Un guide complet de la gestion de la protection des données → |
Au moment de la rédaction de cet article en mai 2021, il reste 20 mois avant que le CPRA et le CDPA n'entrent en vigueur, vous devriez donc avoir suffisamment de temps pour mettre en œuvre correctement une solution technologique de protection des données si vous commencez tôt. Disons que vous souhaitez donner à votre équipe un délai de trois mois après la mise en œuvre d'un nouveau logiciel avant que la nouvelle législation n'entre en vigueur, ce qui vous amène à terminer votre mise en œuvre d'ici le 1er octobre 2022. Si vous choisissez une solution de gestion de la protection des données avec une durée de mise en œuvre moyenne de 90 jours, vous devrez commencer à mettre en œuvre le produit logiciel d'ici le 1er juillet 2022. Cela signifie que vous devez sélectionner votre logiciel avant cela.
En termes de sélection d'une solution logicielle de gestion de la protection des données, il y a de nombreux facteurs à considérer pour votre entreprise spécifique, tels que la découverte de données manuelle ou automatisée, vous pouvez donc vouloir commencer à réduire votre recherche maintenant et obtenir l'avis des décideurs plusieurs mois à l'avance. Je vous recommande vivement d'utiliser le G2 Grid® pour la gestion de la protection des données pour évaluer les produits. Utilisez la fonction de comparaison de G2 pour comparer les produits logiciels entre eux à des fins de comparaison, et lisez les avis d'utilisateurs réels sur les produits logiciels de gestion de la protection des données.
Allez planifier vos vacances d'été
Après une année aussi remplie d'action, les professionnels de la protection des données ont certainement mérité une pause. Lorsque vous planifiez le temps de congé de votre équipe pour les vacances (un clin d'œil aux "équipes d'une seule personne"), considérez les délais qui vous attendent en termes d'opérationnalisation du programme de protection des données de votre entreprise et de mise en œuvre de nouvelles technologies, en particulier en ce qui concerne l'entrée en vigueur du CPRA et du CDPA en janvier 2023. Selon les besoins spécifiques de votre entreprise, sa taille, sa complexité et l'adhésion des parties prenantes requise pour acheter un logiciel pour se conformer au CPRA ou au CDPA, vous pouvez vouloir commencer à chercher un logiciel de gestion de la protection des données dès maintenant, mais pas plus tard que le début de 2022 pour vous donner suffisamment de temps pour sélectionner, mettre en œuvre et tester votre solution.
Mais que signifie vraiment ce calendrier ? Cela signifie que vous devriez vraiment prendre des vacances d'été cet été. Allez profiter d'un temps de repos bien mérité, professionnels de la confidentialité. Nous avons beaucoup de travail devant nous tous, et nous méritons tous une pause.
Avertissement : Je ne suis pas avocat et je ne donne pas de conseils juridiques. Si vous avez des questions juridiques, consultez un avocat agréé.
Vous voulez en savoir plus sur Logiciel de confidentialité des données ? Découvrez les produits Confidentialité des données.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
