En direct de San Mateo. Après Odaseva qui propose depuis l’an dernier une solution RGPD conçue pour Salesforce, nous avons rencontré son concurrent DataGrail qui couvre une périmètre SaaS beaucoup plus large. Fondée en février 2018 par de jeunes entrepreneurs de la Silicon Valley - Daniel Barber, Earl Hathaway et Ignacio Zendejas – cette start-up a été lancée pour surfer sur les besoins des entreprises qui peinent à assurer leur conformité RGPD en Europe, CCPA (California Consumer Privacy Act) en Californie et LGPD (Law of General Protect Data) au Brésil. Des textes juridiques parmi les plus contraignants au monde sur la question de la gestion des données personnelles qui ont la particularité d’avoir été promulgués en 2018. « Les entreprises américaines n’ont pas idée du travail nécessaire pour être conformes à RGPD, mais c’est aussi vrai pour les entreprises européennes sur les marchés californien et brésilien », nous a expliqué Daniel Barber, CEO et cofondateur de DataGrail, lors d’une conférence de presse à San Mateo dans le cadre de l’IT Press Tour. « Le RGPD, tout comme le CCPA ou le LGPD ne font que rattraper des procédures standardisées adoptées par les organismes bancaires. Chez Visa par exemple, les données personnelles des clients ne sont pas exploitées pour proposer des services additionnels avec des partenaires tiers ».

Développée pour travailler avec les principales plateformes SaaS, la solution de DataGrail traite les demandes des clients désirant effacer leurs données personnelles ou professionnelles soigneusement conservées par les Salesforce, ZenDesk, Marketo et autre Slack. DataGrail réceptionne les requêtes, puis vérifier l’identité et la légitimité des requérants désirant faire valoir leurs droits liés aux différents règlements. Une fois les demandes acceptées, DataGrail efface les données liées aux requérants sur les plateformes de stockage primaires mais également secondaires (sauvegarde) grâce à une intégration à haut niveau des API de ces différents acteurs. Beaucoup de compagnies essayent encore de contrôler manuellement cette fuite de données personnelles pour assurer leur conformité avec les différents règlements, mais on passe de plusieurs requêtes par jour à plusieurs centaines, il devient nécessaire d’automatiser cette tâche afin d’éviter de gaspiller des ressources humaines et limiter au maximum les frais engagés pour ces opérations. « Quand une compagnie possède une base de six millions de contacts, elle préfère s’abonner à un service pour assurer automatiquement le traitement des requêtes quand elle exploite des solutions SaaS », a souligné le dirigeant.

La plateforme DataGrail Privacy Portal s'interconnecte à un haut niveau avec les principales solutions SaaS du marché. (Crédit DataGrail)

Coresponsabilité RGPD avec les entreprises clientes

DataGrail assure donc la réception des demandes, le contrôle des identités mais également le suivi des opérations avec un email de confirmation aux requérants pour leur indiquer le bon suivi de leur requête. La start-up conserve ensuite les logs de conformité pour couvrir son client en cas de contrôle de la CNIL en France par exemple dans le care de la fameuse coresponsabilité. « Nous ne prenons aucune décision et nous traitons uniquement les demandes des clients », précise le CEO. « Dans le cadre du RGPD, les entreprises doivent décrire le traitement qu’elle fait des données personnelles nous intervenons dans ce cadre ». Mais les entreprises sont parfois dépassées par les usages de leurs salariés. Il y a quelques années, Deloitte s’était aperçu que ses salariés partageaient beaucoup de données professionnelles sur Yammer et l’IT ne contrôlait plus rien. Aujourd’hui dans le cadre du RGPD, du CCPA ou du LGPD, cette situation pourrait virer au cauchemar au cas d’audit.

La start-up travaille avec les principaux éditeurs SaaS mais également avec les fournisseurs de services cloud comme AWSGCP ou Azure pour assurer la conformité avec les règlements en vigueur. Le prix de la solution - proposée sous forme d’abonnement  repose, par exemple, sur le nombre de courriers électroniques stockés par la société. Nous n’avons pas réussi à en savoir plus. Interrogé sur ses ambitions en Europe, le CEO nous a indiqué qu’il avait déjà des clients notamment en Allemagne. Une implantation à Dublin est d’ailleurs à l’étude. L’arrivée du Brexit n’est pas étrangère à la chose même si les impôts sont plus doux dans la verte Irlande.