Dastra : le logiciel qui simplifie la conformité au RGPD

Entré en application il y a quatre ans, le RGPD impose aux entreprises un contrôle rigoureux sur leurs traitements des données personnelles. Des exigences face auxquelles de nombreuses organisations se trouvent démunies. Grâce à sa plateforme SaaS, Dastra, start-up présente à VivaTech 2022 avec l’IMT, les aide à se conformer aux réglementations autour des données, de façon pérenne.

Le 27 avril 2016, le Parlement européen publiait un texte qui allait fortement chambouler le monde de l’entreprise : le Règlement Général sur la Protection des Données (RGPD). Deux ans plus tard, le 25 mai 2018, la réforme entrait en vigueur au sein de l’Union européenne. Ont alors commencé à apparaître, sur les sites web, des fenêtres demandant le consentement des visiteurs quant au traitement de leurs informations personnelles. Une mécanique désormais habituelle pour les internautes, mais qui ne correspond qu’à la partie émergée de l’iceberg.

En effet, les organisations sont dorénavant contraintes de respecter plusieurs engagements vis-à-vis des données personnelles. Elles doivent notamment tenir un registre des traitements, assurer un niveau de sécurité optimal des données collectées, donner aux utilisateurs la possibilité d’accéder à leurs informations, de les rectifier, de les supprimer, etc. Certains organismes sont même contraints de nommer un Data Protection Officer (DPO), en charge de piloter la conformité au RGPD. Et, dans tous les cas, une société doit toujours désigner un responsable de ce sujet.

Une mise en conformité pas donnée à tout le monde

Ce nouveau cadre juridique concerne toutes les entreprises recueillant des informations auprès de ses utilisateurs, du grand groupe au petit commerce. Si certains secteurs sont habitués à de telles contraintes, comme la banque et l’assurance, d’autres se heurtent à un véritable casse-tête. « La conformité au RGPD est difficile à mettre en œuvre, et encore plus à maintenir », indique Paul-Emmanuel Bidault, cofondateur et CEO de la start-up Dastra incubée à IMT Starter. « Premièrement parce que, pour protéger les données, il faut déjà savoir où elles sont. Et à cet effet, les DPO n’ont souvent rien de plus qu’un papier, un stylo ou un fichier Excel. » Un équipement bien pauvre pour recenser des données disséminées partout et évoluant en permanence, sous l’action de multiples traitements, qui ne sont généralement pas tous identifiés non plus.

Par essence, le travail du DPO nécessite également une collaboration soutenue avec l’ensemble des métiers de l’entreprise. « Or, les DPO exercent souvent de façon isolée, dans une sorte de tour d’ivoire », remarque Paul-Emmanuel Bidault. Un manque de gouvernance et de processus autour de la donnée qui complique encore plus la tâche des responsables.

Une épée de Damoclès sur les entreprises

Pourtant, un défaut de conformité au RGPD peut avoir de lourdes conséquences. Tout d’abord d’un point de vue financier, avec des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires annuel ou 20 millions d’euros. Cela peut aussi entraîner un déficit d’image pour l’organisation, qui risque de perdre la confiance de ses utilisateurs.

Quatre ans après l’entrée en vigueur du RGPD, le risque encouru est-il élevé ? « Nous assistons à la fin d’une période de tolérance de la part des autorités européennes », avertit le CEO de Dastra. « Par exemple, en un an, les sanctions ont été multipliées par cinq à l’échelle de l’Europe. » Autre signal d’alerte : l’organisme de contrôle français, la CNIL, a récemment décidé d’externaliser la gestion des plaintes relatives aux traitements des données, afin d’augmenter sa surface d’intervention.

Une accélération rendue nécessaire par le nombre insuffisant d’organisations réussissant à se maintenir en conformité avec le RGPD. « Aujourd’hui, seules 30 % des entreprises possèdent un registre des traitements à jour, alors qu’il s’agit d’une étape de base de la conformité », note Paul-Emmanuel Bidault. Et la tendance ne semble pas prête à s’inverser, avec les réglementations européennes à venir, telles que le Data Governance Act (DGA).

Simplifier le métier de DPO

Dans ce contexte, la fonction de DPO devient donc stratégique pour les organisations. Mais afin de répondre efficacement aux exigences du RPGD, ces responsables des données ont besoin d’être outillés. C’est ce que propose Dastra : un logiciel SaaS, à destination des DPO, visant à simplifier et à automatiser la mise en œuvre et le suivi de la conformité RGPD des entreprises.

La plateforme regroupe toutes les fonctionnalités indispensables pour respecter la loi, parmi lesquelles :

• Cartographie des données et registre des traitements
• Gestion des risques, audits et analyses d’impact sur la vie privée
• Mise en place de processus pour les demandes d’exercice de droits, le recueil du consentement ou le registre de violations des données
• Suivi et pilotage, notamment via des tableaux de bord et des systèmes de workflows

Le logiciel inclut également des éléments juridiques, ainsi que des questionnaires permettant de découvrir progressivement des sujets autour de la confidentialité. Un éventail exhaustif, complété par une offre d’accompagnement réalisé par la jeune entreprise, pour une solution « clé en main ».

Une conformité RGPD efficace et pérenne

Dastra permet premièrement aux organisations de respecter la loi, ce qui est évidemment indispensable. En cas de contrôle de la CNIL, elles peuvent ainsi témoigner de leur engagement en faveur d’une mise en conformité RGPD et échapper aux sanctions.

Mais ce n’est pas le seul bénéfice de la solution. « Notre valeur ajoutée réside aussi dans la possibilité de se conformer à la loi de façon efficace », complète le cofondateur de Dastra. « Car en simplifiant le métier de DPO, nous permettons aux entreprises de profiter d’un meilleur rapport conformité/coût. Un avantage essentiel, puisque les sommes en jeu peuvent être énormes. Par exemple, on estime que la seule gestion des demandes d’exercice de droits coûte en moyenne 200 000 dollars par an aux entreprises. » Pour parvenir à réduire les coûts, la start-up automatise au maximum les processus entrant en jeu.

Il est toutefois impossible d’automatiser l’ensemble de la démarche, en particulier les parties collaboratives. Pour ces tâches, Dastra aide le DPO à se positionner comme un orchestrateur, notamment via un outil de planification, afin de faciliter l’implication des différentes parties prenantes.

À cet effet, la start-up a également développé de multiples connecteurs, qui permettent de s’interconnecter parfaitement avec le SI des organisations. Le but : intégrer la gestion de la vie privée des utilisateurs au sein des processus internes de l’entreprise, pour maintenir plus facilement la conformité RGPD dans le temps et pérenniser la démarche.

Changer le regard sur le RGPD

Si Dastra se concentre aujourd’hui sur les pays européens, à commencer par la France, l’entreprise ambitionne ensuite de partir à la conquête d’autres territoires sensibles aux questions de vie privée. Et ils sont nombreux : aujourd’hui, environ 150 pays possèdent un règlement sur la confidentialité des données, à l’instar du Canada, dont la loi n° 64 s’inspire du RGPD européen.

Néanmoins, l’objectif, pour les organisations, n’est pas uniquement d’éviter les sanctions des autorités. « Respecter une réglementation comme le RGPD s’avère bénéfique à bien des égards », rappelle Paul-Emmanuel Bidault. « Cela aide aussi à mieux exploiter ses données, à se protéger de cyberattaques, à éviter les fuites de données, ou encore à établir un rapport de confiance avec les utilisateurs. » En ce sens, Dastra aide à changer le regard porté par les entreprises sur le RGPD et à transformer ce qu’elles perçoivent comme une contrainte en une opportunité.

Bastien Contreras.

Découvrez d’autres start-up de l’IMT présentes à Vivatech 2022 :