Dix-huit mois du RGPD : Les solutions innovantes
Le 25 novembre dernier, le RGPD fêtait ses 18 mois d’application. Parce que nous célébrons aussi les 18 mois du magazine Compliances, la rédaction vous propose un focus sur trois solutions RGPD qui font parler d’elles. Par Claire Estagnasié.
Après avoir échangé avec Smart Global Privacy (voir nos magazines des mois de juin et septembre) et découvert tout le potentiel de cette solution multiréglementaire qui fonctionne en « différentiel », Data Legal Drive nous ont pour leur part convaincu avec leur approche métier et leur côté 100 % made in France. Et nous ne pouvons pas omettre OneTrust, le géant américain qui propose une solution compatible à plus de 100 réglementations.
À chaque solution ses avantages !
SMART GLOBAL PRIVACY, DU MULTI-RÉGLEMENTAIRE EN DIFFÉRENTIEL
À l’origine de Smart Global Privacy était l’intelligence artificielle. Ou plus exactement, un groupe d’entrepreneurs, mené par Olivier Guillo et Benoît Guignard, animés par la même conviction : « pour que l’intelligence artificielle soit bienveillante pour l’humanité, il faut que les individus aient le contrôle sur leurs données personnelles ». Alors, dès 2017, ils fondent à l’époque Smart GDPR, une solution ayant pour finalité d’équiper les organisations de manière intuitive, pour garantir le bon usage des données de leurs clients. « Tout ce qu’on fait est centré sur l’individu », martèle Olivier Guillo. Puis, en 2018, la société monégasque a évolué en Smart Global Privacy, une solution globale couvrant « tous les articles RGPD » mais aussi, progressivement, d’autres réglementations comme la réglementation américaine, californienne, brésilienne et turque. « L’année prochaine, nous couvrirons les 24 premières réglementations mondiales », promet Olivier Guillo.
UNE LOGIQUE « DIFFÉRENTIELLE »
Car pour le fondateur, la particularité de Smart Global Privacy tient notamment à son offre de diagnostic des réglementations auxquelles seraient soumis les clients. Il cite l’exemple de ce client, qui collectait des données de citoyens turcs, et donc, sans le savoir, était soumis au KDKK, la réglementation sur les données personnelles d’Ankara. « Or, en Turquie, les sanctions en cas d’enfreinte à cette loi peuvent aller jusqu’à la prison ! Notre client était bien content de ne pas risquer un séjour derrière les barreaux à cause d’une méconnaissance de la réglementation étrangère ». L’autre intérêt de cette approche multi-réglementaire, pour Olivier Guillo, c’est la mise en conformité dans une logique « différentielle » et non en parallèle, dans la mesure où la réglementation RGPD est la plus exigeante et que beaucoup d’éléments se recoupent d’une loi à l’autre.
« Contrairement à ce que proposent la plupart des solutions en traitant des projets séparés pour être conforme à chaque réglementation, nous privilégions la logique différentielle : c’est-à-dire de combler les 20 % d’écart entre la législation RGPD et la législation californienne, par exemple. Ça représente un vrai gain de temps pour le client ! ». Et si les réglementations sont implémentées au fur et à mesure dans la solution, « cette volonté était présente dès le départ de Smart », assure-t-il. Un avantage qui aurait fait passer le portefeuille de la société de 900 à 1700 clients payants dans les six derniers mois. « Nous estimons que le marché des solutions RGPD va évoluer avec la disparition d’acteurs et le regroupement autour de ceux qui permettent le multi-réglementaire », espère le fondateur de l’éditeur SaaS.
UNE SOLUTION OUVERTE
Alors la suite Smart, composée de plusieurs sous-modules, se veut ouverte, adaptée aussi bien aux grands groupes qu’aux petites structures. Et « puisqu’un donneur d’ordre doit sécuriser toutes les données de son écosystème, et que les sous-traitants n’ont parfois pas les moyens de s’équiper », Smart Global Privacy propose une version simplifiée gratuite aux TPE. « Si on détecte qu’il y a des données à risque, on les rebascule automatiquement vers un audit approfondi », précise Olivier Guillo.
Sur le plan technique, le point fort de Smart Global Privacy est d’avoir pré-cartographié les traitements usuels pour environ 700 secteurs d’activités. Concrètement, ils proposent à leurs clients d’encoder leur organigramme, puis de sélectionner le traitement d’information de leur secteur d’activité. Ainsi, « 80 % du travail de cartographie est déjà fait ! ». Puis, les registres sont créés et accessibles soit par Open API, soit manuellement, ou bien par les audits express.
Enfin, lorsqu’un DPO intervient, il bénéficie automatiquement d’une analyse des réponses aux audits, où sont identifiés les éventuels écarts et priorisées les options de remaniement automatiques. « La solution pré-rédige des recommandations », explique le cofondateur. « Si le DPO les valide, on passe alors au modèle de gestion de projet, qui permet de redistribuer les tâches au sein de l’organisation ». Le DPO peut, lui aussi, faire des recommandations sur les documents, en s’appuyant sur la bibliothèque mise à disposition dans des coffres-forts électroniques, et bénéficie de missions formation via un registre. Et en seulement un clic, il ou elle peut sortir sa data analyse (PIA) en temps réel. « Ainsi, le client est certain d’avoir la bonne PSSI en main ! », se réjouit Olivier Guillo.
SAAS MAIS PAS CONSULTANTS
Pour l’entrepreneur, l’une des forces de Smart Global Privacy, c’est d’être uniquement un éditeur de logiciel. « La plupart de nos concurrents sont des cabinets de conseil qui ont créé une solution qu’ils vendent. Nous, notre mission, c’est les individus ». Donc la solution SaaS a fait le choix de travailler avec les cabinets de conseil mais dans le cadre de partenariats, via le « Smart Partner Network ». Cet écosystème, composé de « centres d’excellence Smart », est présent au Canada, aux États-Unis, au Royaume-Uni, en Turquie, en Inde et à Singapour. « Ce sont généralement des sociétés de conseil de taille internationale, bien que localement nous ayons de très bons partenaires régionaux », précise Olivier Guillo. Smart Global Privacy fait affaire avec trois types de partenaires : soit des cabinets de conseil indépendants, qui proposent la solutions Smart à leurs clients, moyennant remises ; soit des partenaires prescripteurs ; ou encore des partenaires intégrateurs, qui achètent la solution et l’utilisent dans le cadre de leurs propres missions. Ainsi, si Smart Global Privacy facture pour l’instant dans 17 pays, la solution serait diffusée déjà sur une centaine de géographies, via 1 800 entités légales, assure Olivier Guillo. Pour l’instant, les « 13 principales langues » sont disponibles, mais « pas encore le chinois ».
LES INDIVIDUS AU CENTRE
Enfin, fidèle à sa philosophie centrée sur les individus, Smart Global Privacy propose un module de gestion de services de droits, qui permet d’automatiser et de gérer le traitement de ces demandes. « On a aussi des outils de gestion des incidents, qui permettent de déclarer directement auprès des autorités », précise Olivier Guillo. Dans la même veine, l’éditeur travaille sur une application mobile et web à disposition des individus, pour leur permettre d’exercer gratuitement leurs droits. « Nous fournissons la technologie, qui est déjà prête, mais nous n’en serons pas les promoteurs, puisque nous faisons partie de l’écosystème. Alors nous recherchons des partenaires non commerciaux pour nous aider à diffuser cet outil de lutte contre les spams ». Car Smart veut rester cohérent à son slogan : « Everyone deserves privacy ».
DATA LEGAL DRIVE, LA SOLUTION « MADE IN FRANCE » QUI MISE SUR L’EXPERTISE MÉTIER
Créée en 2018, Data Legal Drive est le fruit de la collaboration entre le cabinet d’avocats STAUB & Associés, expert en droit de la donnée depuis 1997, et l’éditeur de logiciel Saas POCKET RESULT. Une solution 100 % hébergée en France, qui mise sur son approche d’expertise métier et sa prise en main immédiate pour tout type d’organisation.
PRIVACY BY DESIGN
Les datas, Sylvain Staub est tombé dedans en même temps que dans sa robe d’avocat, en 1997, bien avant le RGPD. Data Legal Drive est donc né d’un besoin, celui d’un cabinet d’avocats spécialisé dans les données personnelles qui a eu besoin d’un véritable logiciel métier à proposer à ses clients. « Les outils disponibles ne me semblaient pas suffisamment rigoureux d’un point de vue juridique, alors, main dans la main avec l’éditeur de logiciel Saas POCKET RESULT, j’ai créé Data Legal Drive », explique le fondateur. Commercialisée dès avril 2018, la LegalTech a rapidement misé sur son atout principal : l’expertise métier. Lors de la dernière levée de fonds en avril dernier, qui a permis d’injecter un million d’euros, la jeune pousse juridique est allée chercher le groupe Francis Lefebvre. Les Éditions Législatives et Dalloz ont alors rejoint Data Legal Drive. « Plutôt que de nous faire épauler par un fonds d’investissement, nous avons choisi d’avoir pour actionnaire un éditeur juridique de premier plan », justifie Sylvain Staub. L’ambition est claire : « intégrer dans la plateforme du contenu juridique de très haute qualité ». Dans la même veine, Data Legal Drive s’appuie depuis octobre sur DS avocats, un cabinet de plus de 300 avocats dans 16 pays, une référence en droit des affaires.
UNE PRISE EN MAIN IMMÉDIATE POUR TOUT TYPE D’ENTITÉS
Au-delà de son triumvirat de partenaires « privacy by design », Data Legal Drive mise sur la simplicité d’utilisation de son outil. Sur fond de couleurs « user friendly » empruntant les codes de communication start-up, on peut lire le slogan « Digitalisez votre gouvernance RGPD. Simplement, efficacement, avec ou sans DPO ». Le ton est donné. Data Legal Drive a ainsi fait le choix de développer une seule plateforme pour tous les types de clients, de la start-up aux grands groupes. Résultat ? Parmi ses 220 clients, la répartition est quasi-parfaite : un quart de grands comptes, un quart d’ETI, un quart d’institutionnels (comme l’EFB Paris) et un quart de TPE/PME. Au-delà d’un parfait partage du camembert, Sylvain Staub se réjouit de couvrir la plupart des industries. « Que ce soit en BtoB ou BtoC, dans l’enseignement, le BTP, la santé, l’industrie, les start-up, l’immobilier, les collectivités territoriales ou l’assurance, le large éventail de domaines d’activité dans lesquels nous intervenons nous donne une très bonne connaissance des attentes des entreprises ». Alors, pour y répondre de manière adéquate, de nouvelles fonctionnalités (releases) sont adaptées toutes les cinq semaines. Par exemple, puisque de nombreux clients travaillent sur des formats Excel, la fonctionnalité d’import Excel a été intégrée dès le début. Tout comme un outil de diagnostic de l’existant, pour modéliser la façon dont un contrôle de la CNIL se déroule. « On constate une forte demande de nos clients sur le partage des documents relatif à la confidentialité, ou sur les registres, entre entités situés sur des géographies différentes ».
Pour ce faire, Data Legal Drive se décline désormais en neuf langues européennes : le français, l’anglais, l’espagnol, l’italien, le portugais, l’allemand, le néerlandais, le polonais et le roumain. Des fonctionnalités développées pour répondre aux besoins de clients, qui ont par exemple « des centres de traitements, de développement ou de back-up en Europe de l’Est », précise Sylvain Staub.
PAS À PAS
Si la solution a réussi à convaincre des clients si divers, c’est parce que Data Legal Drive a fait le choix d’un outil unique, paramétrable par les clients. « L’un des enjeux était de permettre à n’importe quelle personne de l’entreprise, quel que soit son métier et son profil, de prendre en main la plateforme de manière native. Et ce, sans formation préalable », développe le fondateur. Un outil intuitif, ergonomique, mais néanmoins puissant et rigoureux.
Pour Florian Graby, Responsable Grands Comptes, « la force, c’est que la plateforme est pré-paramétrée ». Il donne l’exemple d’une petite structure qui voudrait récolter des données de ses clients. « L’outil, s’appuyant sur le contenu juridique de nos partenaires éditeurs ou des fiches actions établies par Staub & associés, donne des recommandations en fonction de sa collecte. L’usager est accompagné via un questionnaire tout au long de sa démarche. Collecte-t-il des données sur le NIR (numéro de sécurité sociale) ? Là, attention, nous le guidons pas à pas vers d’autres questions. Est-il bien une collectivité locale dans le cadre d’une mission sociale pour pouvoir le faire ? ». À l’aide d’une ergonomie simple d’accès, proposant des indicateurs permettant le suivi de son processus de mise en conformité ou des to-do list de vérification, le DPO (ou son équivalent) peut ainsi piloter sa gouvernance RGPD de manière pérenne et collaborative. Et pour justifier les démarches mises en oeuvre auprès de la CNIL, il suffit de télécharger le PDF récapitulatif.
« Les entités de taille modeste se disent rassurées par la prise en main de Data Legal Drive, accessible en ligne via un simple navigateur sur une solution SaaS hébergée en France », met en avant Florian Graby, « mais aussi des grands comptes, qui veulent un outil utilisable tel quel et n’exigeant pas de repenser toute la conduite du changement ».
100 % MADE IN FRANCE
Sylvain Staub en est convaincu : si le marché va continuer à croître et les outils se rapprocher d’autres réglementations de la conformité, « il y aura un avantage certain pour les solutions métiers, qui résultent directement de la pratique concernée ». Avec des données exclusivement stockées dans l’Hexagone, sur des serveurs français, Data Legal Drive compte bien se démarquer de ses concurrents, qui proposent certes des outils permettant d’être conformes à plusieurs réglementations, mais ne jouent pas la carte « made in France ».
D’autres fonctionnalités devraient d’ailleurs bientôt voir le jour, notamment concernant le tableau de bord du DPO, pour « affirmer sa place au cœur de l’entreprise ». Affaire à suivre !
ONETRUST, LA SOLUTION AMÉRICAINE QUI SOUFFLE SUR LE MARCHÉ DU RGPD
OneTrust est le géant américain sur les données personnelles, proposant la mise en conformité à plus de 100 législations mondiales de protection des données. En 2018, OneTrust figurait parmi les deux leaders du logiciel Fordester New Wave sur le RGPD et le logiciel de gestion de la confidentialité. Avec plus de 4 000 clients, dont 40 % du groupe Fortune 500, la solution s’impose comme un incontournable du marché, mais est basée outre-Atlantique et non spécifique au RGPD. Rencontre avec cet acteur qui pèse lourd dans l’écosystème.
À l’origine de OneTrust, on trouve avant tout la vision d’un homme d’affaire et ancien développeur, Kabir Barday. Nommé récemment entrepreneur EY de l’année pour le Sud-Est des États-Unis, ce diplômé du Georgia Institute of Technology a fait ses armes lorsqu’il était directeur de la gestion des produits d’AirWatch, un leader mondial de la sécurité et de la gestion des périphériques mobiles. « J’ai alors constaté que nos clients, y compris de nombreuses entreprises parmi les plus grandes du classement Fortune 500, avaient du mal à gérer les conséquences imprévues concernant la protection de la vie privée des employés qui utilisent des téléphones portables ». Dès lors, l’entrepreneur s’est formé davantage via l’IAPP (International Association of Privacy Professionnals) sur les réglementations relatives à la protection des données, y compris le RGPD. « Cette législation a un impact sur toutes les relations commerciales des entreprises ayant des clients européens, quel que soit leur siège », note-t-il.
Alors pour répondre au manque général de compréhension et de gouvernance sur les données personnelles, il quitte AirWatch en 2016 pour lancer OneTrust, s’appuyant sur son expérience en logiciels d’entreprise. « Alors que les entreprises ont de plus en plus tendance à partager des données à des tiers, il n’existait pas vraiment de technologie puissante pour soutenir les initiatives de protection de la vie privée », justifie-t-il.
UNE SOLUTION QUI SE VEUT MONDIALE
Dès l’origine, la volonté de Kabir Barday était de proposer une solution globale, répondant aux lois sur la confidentialité et la sécurité. « Le principal obstacle était de comprendre comment les régulateurs appliqueraient les lois mondiales sur la protection de la vie privée, et comment créer une solution permettant de gérer la protection de la vie privée à l’échelle mondiale, des petites et moyennes entreprises aux entreprises multinationales les plus complexes », met-il en avant. Alors aujourd’hui, OneTrust est la seule solution qui propose la mise en conformité à plus de 100 législations, du CCPA californien à l’ISO27001 en passant par la réglementation brésilienne LGPD, une envergure internationale qui explique que plus de 50 % de ses activités proviennent de l’extérieur des États-Unis, notamment de la région EMEA, de l’Asie-Pacifique, de l’Amérique latine, de l’Australie et de la Nouvelle-Zélande. Si l’emphase n’était pas forcément sur le RGPD à l’origine, OneTrust s’y est largement penché, puisque « près de la moitié des entreprises du CAC40 ont opté pour notre solution pour gérer leurs programmes de confidentialité et de sécurité », explique Kabir Barday. OneTrust se veut donc une « solution modulaire », pouvant évoluer au fur et à mesure que son programme mûrit et pour couvrir les réglementations nécessaires. Ainsi, « nous avons vu des clients commencer leur programme axé sur le RGPD et s’étendre à partir de là, ainsi que des clients qui se concentrent uniquement sur CCPA ou LGPD ».
L’ACCENT SUR LA RECHERCHE
Avec une levée de fonds en juillet dernier de 200 millions de dollars, OneTrust a pu encore plus mettre l’accent sur la recherche, avec près de la moitié des 1 100 salariés dédiés à la recherche et développement, sur les neufs bureaux internationaux que compte l’entreprise. L’ambition est claire : se positionner comme « la plus grande plateforme technologique de confidentialité, de sécurité et de gestion des risques tierces la plus utilisée, conformément aux lois CCPA, RGPD, ISO27001 et à des centaines de lois mondiales en matière de confidentialité et de sécurité ».
OneTrust a aussi fait appel à 300 professionnels de la protection de la vie privée certifiés et une équipe de juristes spécialisés dans la protection de la vie privée disponibles dans le monde entier. Concrètement, 40 chercheurs internes et un réseau de 500 avocats intègrent et alimentent quotidiennement la recherche sur des centaines de lois et de cadres de sécurité. Aussi, l’équipe incorpore régulièrement les commentaires des clients dans les produits et organise des réunions du conseil consultatif afin de déterminer les domaines dans lesquels des améliorations sont possibles. Pour montrer son envergure mondiale, la société américaine insiste sur son assistance produit multilingue disponibles à toute heure du jour et de la nuit, permettant aux clients d’être assistés dans leur implémentation technique à tout moment.
DE LA CONFORMITÉ À L’ÉTHIQUE DES DONNÉES
Pour Kabir Barday, « la fonction « privacy » est en train d’être unifiée à d’autres processus de gestion des risques à mesure que les entreprises passent de la conformité traditionnelle à l’éthique des données ». Les prochains projets de OneTrust se veulent donc rassembleurs de toutes ces informations dans une même plateforme, par le biais « d’applications basées sur les données », « d’analyses prédictives fondées sur des mises à jour réglementaires en temps réel » et d’un « écosystème extensible » se connectant aux systèmes clés. Un vent nord-américain pourrait-il souffler sur notre protection des données à l’européenne ? //
Cet article a paru pour la première fois dans Compliances le mag n°6 // hiver 2019
Compliances, le mag est disponible à l’unité ou par abonnement sur www.compliances.fr
