Sergey Nivens - Fotolia

Données personnelles et GDPR : Datagrail veut industrialiser la mise en conformité

La société californienne développe un service Saas, qui permet aux entreprises d’être conformes aux différentes régulations portant sur la vie privée, en automatisant les actions à effectuer sur les emails à l’ensemble des applications présentes dans l’entreprise.

Outiller la gestion des données personnelles pour répondre aux nouvelles régulations : c’est la mission que s’est fixée la start-up californienne Datagrail, alors que justement les régulations comme la GDPR en Europe ou la CCPA (Californie Consumer Privacy Act – passée en 2018) se multiplient. Son principe : proposer un framework de services, accessibles en mode Saas, qui permettent aux entreprises d’industrialiser les modalités nécessaires à la mise en conformité, et ce de façon continue et automatisée. Car pour Daniel Barber, fondateur et CEO de Datagrail, ces mesures sont encore l’objet de procédures manuelles, peu outillées, et dont l’efficacité est difficilement tenable dans le temps.

Cette start-up propose donc un service Saas, par lequel les entreprises administrent les demandes entrantes de leurs utilisateurs visant à agir sur leur profil enregistré et leurs données personnelles. Mais si cela reste simple lorsque l’entreprise dispose d’une unique application, la difficulté réside dans le fait qu’elles disposent de nombre d’applications pour effectuer leurs opérations d’envoi d’email (par exemple). Il est ainsi difficile de répercuter ces modifications sur l’ensemble du parc applicatif, cloud ou pas. Surtout si l’on dispose de plusieurs milliers d’adresses emails.

Aujourd’hui, soutient Daniel Barber, « il existe une prolifération des applications Saas, dû notamment à leur facilité de mise en place, et les données personnelles des utilisateurs vivent dans de nombreuses applications ». Cela est notamment vrai pour les applications marketing ou celles en contact avec les utilisateurs, chacune automatisant l’envoi d’email.

L’autre point soulevé par le CEO : si une demande de modification ou de suppression de données est effectuée, elle est réalisée, à la main, par le groupe de personnes en charge de l’application – et pas de façon unifiée. Du coup, des informations contenues dans Marketo peuvent être supprimées alors que d’autres peuvent subsister dans Mailchimp ou dans Salesforce.

Centraliser et répercuter les demandes de suppression

Hébergé sur AWS, la solution de Datagrail automatise cette mise en conformité et assure aux utilisateurs une forme de transparence en leur donnant le contrôle de leurs informations personnelles, lance Daniel Barber qui parle de sa société comme d’un tiers de confiance dans le Saas. Une garantie GDPR en somme.

Concrètement, le service de Datagrail réceptionne les requêtes des utilisateurs ou celles centralisées par le département juridique d’une entreprise. Datagrail vérifie et certifie cette requête en contrôlant les emails puis sollicite l’intervention des équipes juridiques dans l’entreprise qui détient les données des utilisateurs – les clients de Datagrail en somme, les DPO (Data Protection Officer) ou les départements juridiques par exemple.

Interviennent ensuite les opérations concrètes et automatisées d’accès, de suppression, de modification voire de portage des données personnelles, le tout centralisée depuis Datagrail, mais appliquées à toutes les applications où sont détenues ces informations. Une confirmation est ensuite envoyée à l’utilisateur.

Plus de 100 connecteurs

Mais là où Datagrail fait la différence : la variété de ses connecteurs pré-définis – plus de 100 ont aujourd’hui été développés – qui assure une forme d’industrialisation du dispositif de conformité. Si l’entreprise dote son parc applicatif d’une nouvelle application Saas, Datagrail donne la possibilité de l’intégrer rapidement à sa mécanique de confiance. Cela prend en général entre 24 et 48 heures, assure le CEO. Pour les applications-maison, Datagrail fournit des API pour permettre la connexion.

Côté tarification, le service Saas est facturé sous la forme d’un abonnement annuel, calculé en fonction du volume d’emails par utilisateur unique à prendre en compte. Ce qui, selon le CEO, débouche sur des signatures de contrats « à six chiffres » en moyenne.

Avec ce service, Datagrail cible certes l’Europe. La société a ouvert un bureau à Dublin et mise sur l’Allemagne pour sa seconde implantation. Mais la protection des données privées étant un phénomène mondial, cette jeune société compte se positionner auprès d’entreprises internationales qui opèrent à l’étranger, où les régulations sont différentes d’un pays à l’autre.

Pour approfondir sur SaaS

Close