RGPD · Privacy Management · ESG · GRC · Gestion des Risques Tiers
| Module | Fonctions | Conformité couverte |
|---|---|---|
| Privacy & Data Governance | Registre des traitements (Art. 30 RGPD), DPIA automatisées, cartographie des flux de données, gestion des droits des personnes (ARCO), documentation des bases légales | RGPD, CCPA, LGPD Brésil, PIPL Chine, 180+ réglementations privacy mondiales |
| Consent & Cookie Management | Bannières cookies conformes CNIL, gestion du consentement granulaire par canal (web, mobile, email, IoT), preuves de consentement archivées | RGPD ePrivacy, directives CNIL, IAB TCF 2.2, Google Consent Mode v2 |
| Third Party Risk Management | Inventaire des fournisseurs, questionnaires de conformité RGPD/NIS2/DORA, scoring risque, audits fournisseurs, suivi des DPA (Data Processing Agreements) | RGPD Art. 28 (sous-traitants), NIS2 Art. 21 (chaîne d'approvisionnement), DORA Art. 28 |
| ESG & Sustainability | Collecte de données ESG multi-sites, reporting CSRD automatisé (ESRS), chaîne de preuve pour auditeurs externes, déclarations GHG Protocol | CSRD/ESRS, GRI, TCFD, EU Taxonomy, SBTi |
| AI Governance | Inventaire des systèmes IA utilisés, classification par niveau de risque AI Act, documentation technique (conformité Art. 9–16 AI Act), tests de biais | EU AI Act, ISO/IEC 42001, NIST AI RMF |
| GRC Enterprise | Registre des risques enterprise, contrôles de conformité multi-référentiels, gestion des incidents de sécurité, plans d'action correctifs | ISO 27001, SOC 2, NIST CSF, DORA, NIS2 |
L'AI Act impose aux organisations de tenir un inventaire de tous leurs systèmes IA, classifiés par niveau de risque (inacceptable, haut risque, risque limité, risque minimal). Pour les systèmes haut risque (recrutement, crédit, scoring, accès aux services), une documentation technique complète et une évaluation de conformité sont obligatoires avant déploiement. OneTrust AI Governance fournit un registre des systèmes IA avec les workflows de classification, de documentation et d'évaluation des risques préconfigurés selon le texte de l'AI Act.
Pour les organisations utilisant des modules IA dans leurs SIRH (Workday AI, SAP Joule RH) ou leurs CRM (Salesforce Einstein, HubSpot Breeze), OneTrust AI Governance permet de documenter ces systèmes dans le registre IA, d'évaluer leur niveau de risque AI Act et de générer les preuves de conformité requises par les autorités de surveillance. Cette intégration est particulièrement critique pour les modules de recrutement IA classés haut risque en Annexe III de l'AI Act.
- Expansion du périmètre vs profondeur : OneTrust a rapidement élargi son périmètre de la privacy vers le GRC et l'ESG. Sur ces nouveaux domaines, la profondeur fonctionnelle est inférieure à MetricStream (IRM) ou Diligent (ESG). OneTrust reste le meilleur choix lorsque la privacy RGPD est la priorité principale.
- Maintenance de la conformité : les réglementations évoluent constamment. La mise à jour des questionnaires et des référentiels de contrôles dans OneTrust nécessite une veille réglementaire continue et un administrateur dédié.