Décideurs engagés
18H21 - lundi 25 juin 2018

Yves Garagnon, PDG de DiliTrust : « le RGPD responsabilise les entreprises sur la gouvernance des données et renforce ainsi la confiance des citoyens. »

 

 

Leader dans la gestion et la protection des données sensibles dans la gouvernance des entreprises, le PDG de DiliTrust a répondu à Opinion Internationale sur les enjeux du RGPD, le nouveau règlement européen sur la protection des données personnelles.

Yves Garagnon, avait repris la société Equity il y a dix ans qu’il a transformée en DiliTrust. Fournisseur de technologies, l’entreprise propose des solutions pour les directions juridiques et les dirigeants autour des problématiques de gouvernance d’entreprise et de protection des données sensibles. Parmi les « legal-techs », elle est une entreprise innovante, en forte croissance, qui vient de réussir une levée de fonds, la société d’investissement Calcium Capital ayant souscrit à hauteur de 7 millions d’euros, ce qui est une belle marque de confiance pour une entreprise dont le chiffre d’affaires est de 10 millions d’euros.

Yves Garagnon revient sur un enjeu en apparence mineur de l’entrée en vigueur du RGPD : celui qui concerne les acteurs du B2B.

Entretien réalisé par Raymond Taube, chef de rubrique « droits pratiques » d’Opinion Internationale et directeur de l’IDP, Institut de Droit Pratique.

 

Opinion Internationale : Dans quel contexte évolue DiliTrust au regard de la protection des données sensibles que gèrent les entreprises ?

Yves Garagnon : DiliTrust propose des solutions de gouvernance sécurisées et externalisées, à l’origine pour de grandes entreprises et plus récemment également à l’attention des ETI. C’est un marché à fort potentiel de développement parce que les directeurs juridiques de ces sociétés font face à une obligation permanente d’intégrer un environnement réglementaire de plus en plus contraignant les obligeant à déclarer et communiquer moult informations vers l’extérieur. Deuxièmement, la dématérialisation complète des données génère une quasi-paranoïa face à la possible perte ou fuite d’informations confidentielles. Nous les aidons à gérer cette possible paranoïa.

De nombreuses informations sensibles doivent être assemblées, collectées, organisées, structurées, entreposées et restituées de manière sécurisée. La conjonction de la gouvernance d’entreprise et de la sécurité des données crée un besoin en forte croissance, auquel nous savons répondre avec une légitimité que reflète la qualité de nos références.                                                                             

Nos serveurs sont en France, ce qui garantit un niveau de confidentialité qu’aucun serveur ni acteur américain ne peut apporter, du fait de motifs juridiques internes, en particulier le Patriot Act.

Enfin, DiliTrust est certifiée ISO 27001, une norme dédiée à la sécurité informatique en termes techniques et en termes de process, chaque collaborateur suivant une formation à la sécurité. C’est véritablement un souci de chaque instant.

 

N’est-il pas paradoxal de confier à un tiers la sécurisation de ses données internes ?

Non bien au contraire et vous mettez le doigt sur la révolution qui est à l’œuvre aujourd’hui et qui explique que des entreprises comme DiliTrust s’imposent.

Je ne prendrai qu’un exemple : comment assurer la confidentialité des échanges tenus dans un conseil d’administration qui prend des décisions sensibles qui ne devront être divulguées que dans dix-huit mois ?

La réalité est qu’il est préférable que les échanges du conseil d’administration, notamment par messagerie, se tiennent sur un système externe. Le cloisonnement et donc la totale confidentialité ne peuvent être garantis s’ils se déroulent sur un système interne, qui est notamment accessible aux équipes SI en interne. Cela peut sembler paradoxal, mais nos clients le comprennent et apprécient, car nul n’est à l’abri de fuites accidentelles ou malveillantes au sein de l’entreprise.

Autre raison, dans une grande entreprise plus que dans une petite, il est difficile de maîtriser toutes les vulnérabilités. Par exemple, il est plus facile d’interdire les clés USB dans une structure de 80 personnes, comme DiliTrust, que dans une entreprise de 100.000 collaborateurs.

DiliTrust propose une solution dédiée à l’organisation du conseil d’administration, guidant le secrétaire du conseil ou le directeur juridique dans toutes les étapes du processus, ce qui est sans équivalent, en particulier si l’on se réfère aux services proposés par les grands opérateurs américains.

Nes solutions en mode SaaS* apportent au client une garantie de sécurité optimale en termes de confidentialité. Les données des clients sont cartographiées, chiffrées, accessibles uniquement par lui (nous n’y avons pas accès). Elles bénéficient d’un véritable arsenal de dispositifs garantissant au client la sécurité, la disponibilité et la totale confidentialité de ses données, lesquelles ne quittent jamais le territoire français. La sécurité de l’information, préoccupation centrale, est donc garantie à l’entreprise et aux salariés.

 

Le RGPD n’est pas une entrave à l’activité économique.

 

Concernant le RGPD, votre activité est exclusivement B2B, mais votre expérience et votre coopération constante avec les services juridiques vous confèrent une expertise en termes d’analyse de la portée de ce nouveau texte. Le consentement de l’utilisateur en est un socle. N’avez-vous pas le sentiment que l’utilisateur – personne physique est incité à donner son consentement pour bénéficier d’un service de qualité, et qu’à défaut, il se contentera d’une prestation de base ?

Tout d’abord, même si DiliTrust ne propose pas de logiciel grand public, nous sommes tout de même concernés par le RGPD à différents niveaux : certaines informations que nos clients mettent sur nos plateformes concernent nécessairement des individus et pas uniquement l’entreprise, ne serait-ce qu’un nom et un prénom qui sont des données à caractère personnel au sens du RGPD. Nos clients entreprises veulent s’assurer que nous garantissons la confidentialité de toutes leurs données, professionnelles comme personnelles. S’agissant de ces dernières, nous sommes considérés comme un sous-traitant au sens du RGPD, ce qui oblige à respecter des process, compilés par la CNIL dans son guide du sous-traitant, que nous appliquons strictement et auquel nous faisons référence dans nos conditions générales. En termes d’organisation interne et de mode de fonctionnement, nous sommes en totale conformité avec ce guide et par voie de conséquence, avec le RGPD. Cela concerne par exemple la durée de conservation des données, la faculté d’exiger leur modification, leur restitution, le fait que toutes les données restent en France… En réalité, nous n’avons pas attendu le RGPD pour sécuriser les données de nos clients. Personnelles ou non, elles sont sensibles et font l’objet de la plus grande attention en termes de confidentialité et de sécurité. Comme je vous l’ai dit, c’est un souci de chaque instant, au cœur de notre activité. Notre expertise, c’est la gestion de la donnée sensible dans le cadre des contraintes et de la conformité aux obligations de bonne gouvernance d’entreprise.

Ensuite, sur le fond, grâce au RGPD, les masques tombent. Conditionner un service performant à la transmission des données personnelles signifie qu’elles ont une valeur. Les termes du marché se clarifient. Jusqu’alors, l’utilisateur n’avait pas conscience que les formidables fonctionnalités qui lui étaient prétendument offertes étaient en réalité payées avec ses données, qu’elles étaient ensuite monnayées à son insu ou du moins sans qu’il en ait conscience et sans qu’il y ait consenti.

 

Ne pensez-vous pas que deux des exceptions à l’obligation de consentement prévues par le règlement restreignent sa dimension protectrice pour le consommateur : le consentement n’est pas nécessaire si le contrat ne peut être exécuté sans le traitement des données ou s’il en va de l’intérêt légitime du responsable du traitement ?                                                                                                                         

Le RGPD n’est pas une entrave à l’activité économique. C’est un encadrement indispensable dans un système libéral, qui crée un climat de confiance chez les consommateurs. Ce n’est pas le premier texte en la matière. Il fait suite à la loi Informatique et liberté et à celle sur la confiance en l’économie numérique. Les utilisateurs n’ont pas d’hostilité de principe à communiquer leurs données, mais ils sont en droit d’exiger une transparence quant à la manière dont elles sont utilisées et, dans la plupart des cas, d’y consentir ou de refuser leur consentement. Un échange se traduit par une contrepartie. Les données partagées par l’utilisateur lui donnent accès à des fonctionnalités, si tel est son choix. Il est aussi possible d’envisager l’accès aux dites fonctionnalités sans partage de données, mais en payant un prix, comme l’illustre le débat sur un éventuel Facebook payant. Les termes de l’échange doivent être posés clairement, ce en quoi le RGPD est un vrai progrès.

 

Propos recueillis par Raymond Taube

chef de rubrique « droits pratiques » d’Opinion Internationale et directeur de l’IDP, Institut de Droit Pratique.

 

* : solutions en mode « logiciel en tant que service » ou software as a service (SaaS), ce qui correspond à un mode évolué de virtualisation qui, à l’inverse du simple cloud, n’est pas limité aux données, mais vise également à l’externalisation des logiciels de gouvernance utilisés par l’entreprise cliente, la déchargeant ainsi de toutes les contraintes d’installation, de mise en œuvre, de maintenance ou de mise à jour, autant d’éléments qui conditionnent par ailleurs la sécurité des données.

 

 

 

Directeur de l'IDP - Institut de Droit Pratique