Playbook de

gestion des
incidents
Guide pratique pour le signalement
d’événements, la définition des responsabilités
et la gestion des mesures de réponse

eBook | MAI 2021

PLAYBOOK DE GESTION DES INCIDENTS | 1
TABLE DES MATIÈRES
À propos de ce playbook................................................................................. 3

Préparer............................................................................................................ 4

Enquêter ........................................................................................................... 6

Évaluer.............................................................................................................. 8

Atténuer............................................................................................................ 9

Notifier............................................................................................................ 10

Enseignements............................................................................................... 11

CLAUSE DE NON-RESPONSABILITÉ
Aucune partie du présent document ne peut être reproduite sous aucune forme sans
l’autorisation écrite du titulaire des droits d’auteur.

Le contenu de ce document peut faire l’objet d’une révision sans préavis en raison de progrès
continus en matière de méthodologie, de conception et de fabrication. OneTrust LLC décline
toute responsabilité en cas d’erreur ou de dommage résultant de l’utilisation de ce document.

Les produits, le contenu et les matériaux OneTrust sont uniquement fournis à titre informatif et
ne sont pas destinés à fournir de conseils juridiques. Nous vous recommandons de consulter
votre avocat pour obtenir des conseils au sujet de toute autre question précise. Les informations
fournies par OneTrust ne garantissent pas la conformité aux lois et règlements applicables.

Droits d’auteur © 2021 OneTrust LLC. Tous droits réservés. Exclusif et confidentiel.

PLAYBOOK DE GESTION DES INCIDENTS | 2

À PROPOS DE CE PLAYBOOK

Ce playbook fournit un cadre pour le signalement

des événements et des défaillances, la définition des
responsabilités, les mesures pour la réponse et le recueil
des preuves. Il propose un cadre de surveillance et
des conseils pour les processus requis en matière de
réponse aux incidents et violations de confidentialité
et de sécurité des données d’une entreprise,
conformément aux lois fédérales et nationales sur la
protection des données et de la vie privée. L’organisation
de ce document vise à répondre aux obligations
communes à toutes les exigences légales mondiales.

PLAYBOOK DE GESTION DES INCIDENTS | 3

PRÉPARER
Des incidents peuvent se produire à tout moment,
souvent avec peu ou pas de signes avant-coureurs. La
préparation d’un plan et d’une équipe de réponse aux
incidents afin de résoudre les incidents lorsqu’ils se
produisent peut faire toute la différence. En se préparant
à tout type d’incident, les membres de l’équipe peuvent
réduire l’impact des incidents ou des violations de
données et parfois même éviter complètement une
violation.
Créer une équipe de réponse aux incidents
Créez une équipe de réponse aux incidents composée
de membres des équipes responsables de la
confidentialité, de la sécurité et des affaires juridiques.
Un seul membre doit être chargé de répondre à tous les
incidents et de déterminer si l’équipe de réponse aux
incidents doit se réunir afin de discuter d’un incident
particulier et quels membres sont nécessaires.
En plus de l’équipe de réponse aux incidents, les autres
équipes et fonctions mobilisées en cas d’incident doivent
être définies et attribuées à une personne directement
responsable de répondre à l’incident. Voici quelques
groupes courants à inclure :
• Experts externes en sécurité ou en analyse post-
mortem chargés d’évaluer l’incident ou d’en
déterminer la cause
• Conseillers/experts juridiques chargés de décider si
l’intervention des forces de l’ordre est requise
• Assurance permettant d’évaluer si les polices les informations protégées, telles que l’omission
d’assurance détenues par la société fournissent une de détruire des documents papier ou d’effacer des
couverture pour tous les dommages potentiels données de manière sécurisée ; l’accès aux informations
• Relations publiques/communications afin de protégées non nécessaires pour une tâche donnée ;
favoriser une communication externe appropriée la diffusion d’informations protégées plus importantes
que nécessaires à l’usage donné ; le partage de mots
• Ressources humaines afin de favoriser une
de passe ; l’incapacité de se déconnecter d’un système
communication interne appropriée
ou de notre réseau ; le fait de laisser un poste de travail
Définir les rôles, les objectifs et les intentions sans surveillance, etc.
de chaque membre de l’équipe de réponse aux Il est impossible de créer un plan pour chaque incident
incidents mais les équipes doivent établir un plan approprié pour
Identifiez le rôle de chaque membre de l’équipe de chaque niveau de gravité et en fonction des organismes
réponse aux incidents, ainsi qu’un remplaçant pouvant de réglementation concernés.
agir à sa place si ce membre est absent ou injoignable
pendant un incident. La définition du rôle de chaque
membre de l’équipe à l’avance permet de déterminer
la liste des personnes et des domaines fonctionnels
minimum requis pour la prise en charge d’un incident
particulier.
Décrire les plans de réponse et les échéances
pour les différents types d’incidents
Les incidents de sécurité ou de confidentialité des
données personnelles peuvent découler de la présence
d’une application malveillante, telle qu’un virus ;
l’établissement d’un compte non autorisé pour un
ordinateur ou une application ; la manipulation sociale,
telle que l’hameçonnage ; l’activité réseau non autorisée ;
la présence de programmes inattendus ou inhabituels ;
le vol d’ordinateur ; l’incapacité à détruire correctement
PLAYBOOK DE GESTION DES INCIDENTS | 4
PRÉPARER
Créer des systèmes pour la prise en compte des
incidents
Il est essentiel de mettre en place des méthodes
permettant aux employés, aux clients et même aux
fournisseurs de signaler les nouveaux incidents à
l’équipe de réponse aux incidents. Il peut s’agir de
mécanismes de détection automatisés ou de rapports
générés manuellement, tels que ceux répertoriés ci-
dessous.
Mécanismes de détection
• Notification de l’incident à partir de mesures d’audit
ou de journalisation internes
• Rapport interne automatisé de panne ou d’utilisation
anormale du système
Rapports
• Rapport d’incident émanant du client
• Rapport de compromission potentielle de la part
d’un tiers
• L’ensemble du personnel est tenu de signaler
immédiatement toute activité suspecte (par d’autres
personnes ou par des systèmes).
• E-mail (et appel téléphonique si pas d’accusé de
réception dans les 20 minutes) à l’adresse
example@company.com
• Un rapport d’incident doit être rempli dès que
possible par l’employé à l’origine du signalement.
Il est recommandé de le faire au sein d’un seul
logiciel de gestion de la confidentialité des données
personnelles qui permet de suivre et de favoriser le
workflow de bout en bout.
Comprendre et identifier les obligations
Déterminez les différentes obligations des clients et
des fournisseurs afin de comprendre les échéances
de notification en cas d’incident. Organisez les
informations relatives aux obligations et déterminez, en
tant qu’entreprise, avec votre service juridique, si vous
souhaitez normaliser les obligations dans les contrats
client. Marquez les exceptions aux clauses standard
afin de vous assurer que l’équipe est informée des
obligations.
PLAYBOOK DE GESTION DES INCIDENTS | 5
ENQUÊTER
L’enquête est importante pour déterminer la façon dont
l’incident va être géré au sein de l’organisation et pour
évaluer les dommages potentiels subis. Cette partie
de la gestion des incidents comprend l’examen des
informations fournies lors de la découverte de l’incident,
la recherche d’informations supplémentaires jugées
importantes pour le résoudre et l’évaluation de toutes
les lois juridictionnelles ou sectorielles potentielles que
l’entreprise doit respecter.
Identifier les types de données concernés,
valider les informations fournies et déterminer
si les données personnelles ont été négligées.
L’enquête sur l’incident devrait comporter deux
parties. La partie 1 doit être remplie par l’utilisateur
professionnel qui signale l’incident, puis soumise pour
examen. La partie 1 comprend des questions sur les
éléments suivants :
1. Cause de l’incident
2. Réseaux concernés
3. Ressources concernées
4. Client(s) ou fournisseur(s) impliqué(s)
5. Données compromises
6. Catégories des personnes concernées par l’incident
7. Nombre de personnes affectées
8. Nombre de registres de données compromis
9. Examen du risque pour les données
10. Disponibilité publique préalable des données
11. Utilisation du chiffrement
12. Informations sur les personnes ayant reçu les
données
13. Si les données ont été réellement consultées ou
acquises
14. Dans quelle mesure le risque pour les données
a-t-il déjà été atténué
15. Mesures de protection techniques ou
organisationnelles déjà mises en œuvre et appliquées
16. Toute mesure ultérieure mise en place
17. Preuves recueillies
La partie 2 doit être remplie par le responsable de la
confidentialité des données personnelles/sécurité ou
son représentant, après la soumission et l’examen de la
partie 1. En général, elle n’est nécessaire que lorsqu’il a
été déterminé qu’une « violation de données à caractère
personnel » a eu lieu, mais elle peut être utilisée pour
des événements ou des incidents moins importants, le
cas échéant. La partie 2 comprend des questions sur les
éléments suivants :
1. Relation entre l’organisation et les données (c’est-à-
dire le responsable du traitement et le sous-traitant)
2. Niveau de risque pour les personnes physiques créé
par la violation de données
3. Conséquences probables de la violation de données
4. Plans d’atténuation
5. Personnel impliqué dans la réponse
6. Tous les contrats touchés par la violation de
données (par exemple, les clients ou les
fournisseurs)
PLAYBOOK DE GESTION DES INCIDENTS | 6
ENQUÊTER
En fonction de la documentation fournie à l’équipe de
réponse aux incidents, cette dernière doit valider ou
déterminer le type des données concernées (par exemple,
les données personnelles), les identifiants concernés, si
les données étaient chiffrées (et la méthode/la fiabilité
du chiffrement), l’adéquation de la sécurité des mots de
passe, le type d’incident et si la journalisation était active et
adéquate. Il est particulièrement important de valider les
informations fournies à l’équipe de réponse aux incidents,
car certaines violations de données ont initialement
négligé les données personnelles. La cause de la violation
de données est déterminée par une analyse technique et
une enquête.
Cette phase du plan de réponse aux incidents peut
être menée en parallèle des étapes suivantes, car il est
possible que l’enquête dure dans le temps alors que
certaines informations doivent être traitées sans délai.
Identifier les juridictions et les lois sectorielles
susceptibles d’être concernées par cet incident
Signalez toute réglementation potentielle à prendre
en compte lors de la résolution ou de la notification au
personnel de cet incident.
Définir les facteurs de risque et toutes les
mesures d’atténuation prises précédemment
mais qui n’ont pas été suivies dans le cadre de
cet incident
Il est important de réfléchir le plus tôt possible à
l’ensemble des violations de données ou incidents
potentiels qui pourraient se produire suite à cet incident.
Par exemple, si un incident implique une violation de
données du fournisseur ou du sous-traitant, quels autres
systèmes ou sous-traitants pourraient être touchés ?
Existe-t-il des mots de passe partagés qui pourraient
permettre à un pirate d’accéder à un autre système ?
Cela va-t-il rompre des obligations contractuelles qui ne
seraient pas prises en compte dans une autre partie du
processus d’enquête ?
Hiérarchiser et acheminer les incidents vers les
bons interlocuteurs
Le membre de l’équipe de réponse aux incidents en
charge de la réponse doit identifier les personnes
d’autres équipes à inclure dans l’enquête afin de
recueillir des informations supplémentaires. Il en va
également de sa responsabilité de hiérarchiser les
incidents et de s’assurer que l’enquête a lieu dans
un délai qui garantit la conformité avec toutes les
éventuelles obligations de notification.
PLAYBOOK DE GESTION DES INCIDENTS | 7
ÉVALUER
Compte tenu des informations issues de l’enquête,
l’équipe peut déterminer la gravité de l’incident et le
plan de réponse, en prenant en compte les exigences
réglementaires.
L’équipe de réponse aux incidents détermine
si les informations à risque sont protégées par
des lois juridictionnelles ou sectorielles
Les juridictions concernées identifiées par une enquête
doivent être évaluées afin de déterminer un plan de
notification complet. Chaque juridiction a des exigences
différentes et chacune doit être évaluée et compilée
dans une liste unique répertoriant toutes les exigences
de notification et de résolution permettant de clore
l’incident.
Classer le niveau de gravité de l’incident et
déterminer le plan de correction
Le membre de l’équipe de réponse aux incidents en
charge de la réponse doit recevoir les résultats de
l’enquête et déterminer la cote de gravité de l’incident.
Grâce à cette cote et au plan prédéterminé, cette
personne peut hiérarchiser cet incident par rapport
à d’autres, autoriser les actions à entreprendre
immédiatement et/ou convoquer l’ensemble de l’équipe
de réponse aux incidents.
Si l’équipe de réponse aux incidents ou une partie de
l’équipe doit se réunir, la réunion doit servir à :
• examiner l’évaluation et le rapport d’incident ;
• définir le périmètre de l’incident ;
• identifier et approuver les objectifs pour la gestion
de l’incident ;
• attribuer les premières actions telles que le
confinement et la conservation des preuves ;
• déterminer les groupes et personnes
supplémentaires disposant d’une expertise
pertinente qui doivent participer ;
• établir un plan permettant de remédier à l’incident,
en fonction des informations actuelles disponibles.
Si le niveau de gravité de l’incident est considéré
comme négligeable et qu’un plan de réponse est jugé
inutile, l’incident est signalé, le membre à l’origine du
signalement est informé et l’incident est considéré clos.
Établir un plan afin d’informer les personnes et
les organismes de réglementation appropriés
L’équipe de réponse aux incidents, ainsi que tous
les autres membres concernés, doit déterminer les
exigences juridictionnelles à respecter et l’urgence de
chaque réponse. À partir de là, l’équipe identifie les
responsables de l’exécution de chaque partie de la
stratégie de réponse.
Vérifier les obligations du client et du
fournisseur
Vérifiez les obligations de notification du client ou du
fournisseur. Signalez les notifications qui sont plus
précoces que les autres afin de vérifier que les membres
de l’équipe répondent dans un délai conforme aux
obligations de votre organisation.
PLAYBOOK DE GESTION DES INCIDENTS | 8
ATTÉNUER
L’équipe de réponse aux incidents, ou ses représentants
désignés lors de la première réunion de l’équipe, est
chargées de prendre les mesures suivantes en réponse à
un incident de sécurité important.
Déterminer une stratégie de confinement
appropriée afin de limiter les dommages aux
ressources organisationnelles
Le cas échéant, une stratégie de confinement doit
être mise en place afin de limiter les dommages pour
l’organisation.
Le confinement implique parfois des mesures de contrôle
techniques, telles que :
• le verrouillage du disque pour en bloquer toute
éventuelle modification ;
• l’activation de la règle de sécurité réseau « tout
refuser » sur l’hôte ou le sous-réseau compromis ;
• le déplacement du système vers un sous-réseau isolé
et la vérification que la règle de sécurité réseau « tout
refuser » ;
• l’exécution d’analyses de vulnérabilité sur l’hôte ;
l’exécution ou l’autorisation d’analyses post-mortem
(interne ou tierce).
Le confinement implique parfois des éléments non
techniques, tels que :
1. la communication avec un tiers ayant reçu des
informations confidentielles par erreur ;
2. l’organisation d’une formation supplémentaire pour Effectuer une analyse post-mortem
les équipes spécifiques ; L’analyse post-mortem de l’incident comprend un examen
3. la publication d’un communiqué de presse ou d’un technique des preuves, la conservation de ces preuves, la
message externe pour limiter les atteintes à la préservation de la chaîne de responsabilité des preuves,
réputation. la documentation des observations et l’analyse tirée de
conclusions logiques basées sur les preuves objectives.
En cas d’activité criminelle, l’ensemble des
preuves et des journaux doit être collecté et Développer et noter une hypothèse :
conservé 1. En quoi les preuves la soutiennent-elles ou la
Lors du tri et du suivi, il convient de conserver les contredisent-elles ?
preuves, notamment si l’incident implique une activité 2. Qu’avez-vous fait, quelles preuves avez-vous trouvées
criminelle. La conservation effective des preuves nécessite et comment avez-vous testé l’hypothèse ?
l’établissement de mesures relatives à la chaîne de 3. Quelles interactions importantes ont eu lieu ?
responsabilité. Toute preuve électronique doit faire l’objet
d’un suivi approprié dans un processus documenté et
reproductible. La conservation des preuves est également
requise aux fins de la couverture d’assurance, et le
non-respect de cette consigne peut limiter ou affecter
le recouvrement d’assurance. Consultez votre conseiller
juridique pour obtenir des conseils propres à l’incident.
Les preuves électroniques doivent faire l’objet
d’un suivi dans un processus documenté et
reproductible
Les documents justificatifs doivent être conservés
conformément à un calendrier de conservation défini (par
exemple, pendant un (1) an minimum). La destruction
appropriée des documents justificatifs est autorisée après
cette période si l’organisation n’en a plus besoin.
PLAYBOOK DE GESTION DES INCIDENTS | 9
NOTIFIER
Lors des phases précédentes du plan de réponse aux
incidents, s’il est déterminé que l’incident constitue une
violation de données, avec des obligations de notification
conformément à la législation, à la réglementation ou
à des exigences juridictionnelles similaires applicables,
l’équipe de réponse aux incidents doit traiter le
processus de notification. L’équipe de réponse aux
incidents est également tenue d’identifier ou de solliciter
les personnes et les équipes appropriées afin de
déterminer si une notification est nécessaire en fonction
du programme d’éthique de l’organisation.
Élaborer une stratégie de communication et
de divulgation pour les publics externes et le
personnel interne
Identifiez qui doit être informé (en interne et en
externe) et qui est responsable de la production de ces
communications. Consultez le conseiller juridique afin
de déterminer si l’enquête doit être poursuivie sous la
direction d’un avocat et relever de la relation privilégiée
avocat-client. Dans ce cas, le conseiller juridique
peut établir des mesures de communication et de
documentation.
L’équipe des relations publiques ou des communications,
de concert avec l’équipe de réponse aux incidents, doit
produire et partager des déclarations préparées pour
tous les publics critiques concernés par l’incident.
Pour le personnel interne, cela peut inclure :
• des réponses préétablies et des guides de remontée
pour les équipes en relation avec les clients ;
• des messages internes à l’usage de l’équipe de
direction ;
• des messages destinés au site Web public ou à
l’application fournissant aux clients les informations
nécessaires ;
• des FAQ internes à consulter par les employés ;
• une déclaration pour une conférence de presse.
Pour les publics externes, identifiez les victimes d’une
violation de données et faites des références croisées
avec d’autres bases de données pour compiler les
adresses de contact les plus récentes. En ce qui
concerne les exigences de délai de notification, l’équipe
de réponse aux incidents doit se référer aux exigences
légales et contractuelles. Dans de nombreux cas, les
entreprises doivent fournir des rapports par courrier
ou par e-mail d’excellente qualité aux personnes
concernées.
Produire des rapports pour les organisations et
les agences externes
Le cas échéant, identifiez les agences ou organismes de
réglementation qui doivent être informés et fournissez à
chacun d’entre eux les informations requises au format
exigé (électronique, papier, etc.). Les rapports doivent
inclure les éléments suivants :
• la description de l’incident
• la date de la violation de données
• la date de la découverte
• la description des types d’informations en cause
dans la violation de données
• les mesures recommandées pour les entités
externes afin de se protéger contre les dommages
potentiels résultant de la violation de données
• une brève description des actions prises par
l’organisation pour :
- enquêter sur la violation de données ;
- atténuer les dommages ;
- se protéger contre toute autre violation de
données.
• les coordonnées nécessaires pour obtenir plus
d’informations
Déterminer les mesures supplémentaires à
prendre pour se conformer au programme
d’éthique interne
Les organisations créent des codes d’éthique afin
d’encourager les employés à agir correctement en
toutes circonstances. Ces codes sont considérés
comme un signe de maturité commerciale et
PLAYBOOK DE GESTION DES INCIDENTS | 10
ENSEIGNEMENTS
contribuent à renforcer la confiance des clients, même
en cas de violation de données. Dans le but de se
conformer aux programmes d’éthique internes, les
organisations peuvent décider de signaler l’incident
au-delà de ce que les organismes de réglementation
exigent. Il relève de l’équipe de réponse aux incidents
de déterminer si la stratégie de communication
respecte les codes d’éthique, ou de faire appel à des
équipes supplémentaires afin d’établir la stratégie de
communication appropriée.
Lorsqu’un incident majeur a été traité, l’organisation
doit convoquer une réunion afin d’examiner l’efficacité
du processus de gestion des incidents et d’identifier les
améliorations nécessaires aux mesures et pratiques
de sécurité existantes. Les informations recueillies lors
de ces réunions doivent être utilisées pour identifier
et corriger les faiblesses et les lacunes systémiques
des politiques et mesures. Les rapports de suivi
générés pour chaque incident résolu sont importants
non seulement pour la constitution de preuves, mais
également à des fins de référence dans la gestion des
incidents futurs.
Effectuer une analyse des causes premières
L’analyse des causes premières est une méthode
de résolution des problèmes utilisée pour étudier
les problèmes connus et identifier les causes sous-
jacentes. Les incidents peuvent avoir été causés par
un seul problème, mais il arrive souvent que plusieurs
problèmes résultent de défaillances des produits, des Si des modifications ou des mises à niveau des
personnes, des processus ou d’autres facteurs. Une processus sont nécessaires, les responsables de
analyse des causes premières permet à l’équipe de la confidentialité des données personnelles et
découvrir et de documenter les risques matérialisés au de la sécurité doivent recommander la manière
cours de l’enquête, d’atténuer les risques d’incident et d’appliquer ces améliorations
d’évaluer l’efficacité des mesures de contrôle actuelles
Les responsables de l’équipe de réponse aux incidents,
sur les ressources de données, les activités de traitement
de la confidentialité des données personnelles et de
et les fournisseurs et d’ajuster les mesures de contrôle
la sécurité doivent prendre des initiatives en ce qui
en fonction des vulnérabilités exploitées au cours d’un
concerne la réduction des risques en aval, l’ajustement
incident.
des mesures de contrôle en fonction des vulnérabilités
exploitées au cours d’un incident et l’évaluation de
Optimiser le plan de réponse aux incidents l’efficacité des mesures de contrôle en place pour tout
en identifiant les tactiques qui permettent risque théorique sur une ressource ou un fournisseur.
d’améliorer la prise de décision et le temps de
réponse
L’équipe de réponse aux incidents doit examiner
l’incident dans son ensemble et déterminer les
possibilités d’amélioration des processus internes.
Si certaines étapes du programme de réponse aux
incidents n’apportent pas de valeur, la capacité de
l’équipe de réponse aux incidents à les contenir et à les
corriger peut être altérée.
PLAYBOOK DE GESTION DES INCIDENTS | 11
COMMENT ONETRUST CONTRIBUE À LA GESTION
DES INCIDENTS
La solution OneTrust de gestion des incidents permet de
gérer les incidents de manière centralisée, d’automatiser
les tâches et de conserver des registres pour des
raisons de conformité et de notification, contribuant
ainsi à la conformité aux législations internationales.
OneTrust DataGuidance, un portail détaillé des
dernières modifications et de mises à jour apportées
à des centaines de lois et de cadres en matière de
confidentialité des données personnelles et de sécurité,
est intégré directement à la plateforme OneTrust, ce qui
permet aux équipes de créer un workflow automatisé
contextuel afin de réagir aux incidents en fonction des
réglementations de chaque juridiction. Comblez l’écart
entre la confidentialité des données personnelles et la
sécurité grâce à l’automatisation de la notification des
incidents et le stockage des pistes d’audit nécessaires à
la conformité. OneTrust atténue également les risques
futurs et améliore les workflows en lançant une analyse
des causes premières afin d’identifier les menaces sur
le système et sur les applications et de trouver des
opportunités d’affiner le processus de notification.

SUIVEZ UNE DÉMONSTRATION EN LIGNE ET PROFITEZ D’UNE VERSION

D’ÉVALUATION GRATUITE SUR ONETRUST.COM

PLAYBOOK DE GESTION DES INCIDENTS | 12

À propos de OneTrust
OneTrust est la société la plus dynamique sur Inc. 500 et la plateforme de référence pour générer la confiance. Plus de 10 000 clients, dont la moitié des entreprises du classement Fortune 500, utilisent OneTrust pour transformer
la confiance en un avantage concurrentiel, en mettant en œuvre des workflows flexibles indispensables en matière de confidentialité des données personnelles, de sécurité, de gouvernance de données, de GRC, de risque tiers,
d’éthique, de conformité et de programmes RSE.

Les produits OneTrust sont soutenus par 150 brevets et optimisés par les technologies d’intelligence artificielle et d’automatisation de l’outil OneTrust Athena™. Nos offres comprennent le logiciel de gestion de la confidentialité
des données personnelles OneTrust, la découverte et la classification basées sur l’IA OneTrust DataDiscovery™, le logiciel de veille de données OneTrust DataGovernance™, le référentiel de risques tiers OneTrust Vendorpedia™,
la gestion intégrée des risques OneTrust GRC, le logiciel d’éthique et de conformité OneTrust Ethics, la gestion du consentement et des préférences utilisateurs OneTrust PreferenceChoice™, le logiciel de gouvernance, social et
environnemental OneTrust RSE et la recherche réglementaire OneTrust DataGuidance™.

Selon le rapport d’IDC Worldwide Data Privacy Management Software Market Shares Report, datant de 2020, « OneTrust est sans conteste le leader du marché et ne montre aucun signe de ralentissement ou de stagnation ».

OneTrust a levé un total de 920 millions de dollars de financement pour une valorisation de 5,3 milliards de dollars auprès d’Insight Partners, Coateu, TCV, SoftBank Vision Fund 2 et Franklin Templeton.

L’équipe de OneTrust en pleine expansion, composée de 2 000 employés, est basée à Atlanta et à Londres. L’entreprise dispose également de plusieurs sites internationaux situés à Bangalore, Melbourne, Seattle, San Francisco,
New York, São Paulo, Munich, Paris, Hong Kong et Bangkok.

Pour en savoir plus, consultez le site OneTrust.com ou retrouvez-nous sur LinkedIn, Twitter et YouTube.

Pour plus d’informations, rendez-vous sur OneTrust.com.