Sylvain Staub, fondateur de Data Legal Drive : « Les entreprises européennes défendent désormais une réelle culture éthique de la gestion des données »

Dans un contexte où 1 entreprise sur 2 craint un contrôle de la CNIL, l’avocat au barreau de Paris et associé chez DS Avocats Sylvain Staub a décidé de lancer en 2018 Data Legal Drive. L’objectif de cette Legaltech : aider les organisations à se conformer aux règles européennes de plus en plus complexes en matière de données.

D’où venez-vous et comment vous est venue l’idée de lancer une startup ?

Sylvain Staub : Je suis devenu avocat au barreau de Paris en 1997 après un master 2 en droit des nouvelles technologies. J’ai travaillé pour plusieurs cabinets français et anglo-saxons spécialisés en propriété intellectuelle et en droit de l’informatique. Puis j’ai créé en 2004 le cabinet Staub & Associés, qui a ensuite intégré DS Avocats en 2019.

Ce qui m’a motivé à créer Data Legal Drive, c’est l’envie de digitaliser une partie de mon activité d’avocat, et de proposer à nos clients une autre approche de la mise en conformité juridique, plus efficace, plus fiable et plus pérenne.

Etait-ce votre premier projet d’entrepreneur ?

En fait, j’ai toujours cherché à créer des activités professionnelles ou associatives en parallèle de mon métier d’avocat. En 2004 par exemple, j’avais avec un ami créé la société Do Not Squat (en référence à DNS) pour détecter à l’aide d’un algorithme les similitudes entre différents noms de domaine. Cela permettait à nos clients de recevoir une alerte et d’envisager une action judiciaire lorsqu’un nom de domaine proche du leur était enregistré et pouvait créer un risque de détournement commercial ou de sécurité des systèmes. J’ai finalement fait le choix de stopper cette activité pourtant passionnante et en plein développement car je n’arrivais plus à me partager entre ma vie de famille, mes loisirs, mon cabinet et cette start-up naissante.

En 2014, j’ai envisagé une activité permettant de gérer grâce à la blockchain l’exécution des contrats IT des grands groupes. Il s’agissait de faire le lien entre les engagements pris dans les annexes techniques de ces contrats et l’exécution progressive de chaque phase du projet informatique, depuis le cahier des charges jusqu’à la vérification de service régulier en passant par les spécifications, les tests unitaires ou les recettes partielles. Mais là encore j’ai été rattrapé par la réalité du manque de temps et le risque de trop de dispersion.

J’imagine que c’est l’adoption du RGPD en 2016 qui vous a motivé à lancer Data Legal Drive ?

Ce n’est évidemment pas un hasard… En 2016, avec l’entrée en vigueur du RGPD, beaucoup de nos clients nous ont demandé de les accompagner dans la mise en conformité de leurs traitements de données. Or, le RGPD est une gouvernance de la donnée totalement nouvelle, et un changement presque complet de la charge de la preuve.

Ce sont les entreprises qui doivent désormais prouver qu’elles sont en conformité et donc qu’elles ont cartographié les traitements, géré leurs registres, effectué les analyses d’impact nécessaires, répondu aux demandes de droit, notifié les incidents auprès de la CNIL, formé les équipes aux enjeux de la protection des données. C’est à ce moment qu’est apparu le nouveau métier de Délégué à la protection des données (DPO). Pourtant, à l’époque ou naissait ce nouveau métier et cette nouvelle charge pour les entreprises, je n’ai trouvé aucun logiciel qui puisse sérieusement aider les entreprises à se mettre en conformité.

Pendant les deux ans entre l’adoption et l’entrée en application du RGPD, j’ai donc travaillé au développement d’un logiciel qui reprenne chacun des processus imposés par le nouveau règlement, en décortiquant les 99 articles, les 173 considérant et la doctrine de la CNIL et du G29, aujourd’hui CEPD.

L’objectif était de les traduire en arbres de décisions afin que chaque personne en charge des data dans l’entreprise puisse prendre sa part du travail et que tout soit centralisé, validé, géré et mis à jour par le DPO. Résultat : Data Legal Drive a vu le jour en mai 2018, en s’appuyant sur les équipes techniques de Pocket Result, l’entreprise de BI créée en 2013 par ma femme Maÿlis Staub.

Comment les organisations se sont-elles adaptées ? Comment évaluez-vous leur niveau de maturité sur ces enjeux ?

Nous avons constaté un grand changement d’état d’esprit depuis le RGPD : que ce soit les PME, les ETI, les grands comptes, les collectivités ou les administrations, plus personne n’ignore ce que signifie la protection des données personnelles. Et la problématique de gestion de la donnée résonne désormais au-delà des fonctions de DPO et de DSI, et concerne aussi très largement les métiers du marketing, de la vente, des RH ou des achats.

Depuis un an également, le RGPD n’est plus uniquement considéré comme de la matière juridique et technique. Ce dernier est pris comme un sujet éthique à part entière, des valeurs que les organisations ont adoptées dans leur positionnement. Au-delà de l’obligation de se conformer, les entreprises européennes défendent désormais une réelle culture éthique de la gestion de la donnée.

Et force est de constater que les autres pays à travers le monde s’en inspirent, à l’image par exemple du CCPA puis du CRPA californien, de la LGDP brésilienne ou du récent projet de loi indonésien. Plus généralement, les Nations Unis ont indiqué en décembre 2021 que 137 pays sur 194 avaient mis en place une législation visant à garantir la protection des données personnelles et de la vie privée.

Le RGPD dispose d’une application extra-territoriale non négligeable et est ainsi devenu un référentiel dans le monde.

Les nouveaux textes européens Digital Services Act et Digital Market Act attirent-ils aussi votre attention ?

Oui bien sûr. Dans le cadre de la stratégie européenne visant à permettre à l’UE de devenir un acteur de premier plan dans une société axée sur les données, les plateformes numériques feront prochainement l’objet d’une régulation renforcée au niveau européen.

Il s’agit effectivement du DMA et du DSA, mais aussi du Règlement sur la gouvernance des données (Data Gouvernance Act ou DGA).

Le législateur cherche à encadrer les pratiques des géants du web et à renforcer en quelque sorte le pouvoir des utilisateurs pour d’aboutir à un espace numérique de confiance. Mais quel poids, quelle force de frappe pour l’Union Européenne ? Ce qui est sur, c’est que bien que non directement visée, la protection des données devrait être encore renforcée par l’introduction de ces nouvelles règles.

Que pensez-vous du débat actuel sur l’hébergement souverain de la donnée en Europe ?

Le débat en cours sur le cloud souverain est bien plus large que celui sur la vie privée et l’enjeu de faire émerger des offres dites souveraines est peut-être encore assez éloigné des préoccupations des individus.

Il y a, à mon sens, 4 notions à prendre en compte : ce débat touche d’une part les sujets liés à la vie privée et tout le monde peut comprendre leur intérêt. Mais il est aussi d’autre part lié aux problématiques étatiques, relevant de ce que l’on souhaite définir comme partie intégrante de notre autonomie régalienne. Je pense que tout le monde peut comprendre ce point depuis la crise sanitaire et plus récemment depuis la crise énergétique. C’est le même enjeu pour l’hébergement souverain de nos données et l’importance de définir ce que l’on souhaite partager à l’extérieur ou bien conserver pour maintenir notre autonomie.

Il y a ensuite une dimension économique à considérer : si nous ne soutenons pas massivement l’industrie digitale française et européenne, il est certain qu’elle ne fera pas le poids face aux champions d’outre-atlantique ou de l’Empire du milieu.

Et enfin, sur l’industrie de la donnée en particulier : si nous souhaitons ériger des licornes – voire des décacornes – il faudra accepter d’alimenter nos algorithmes. Autrement dit, une entreprise aura beau développer un algorithme puissant, il ne vaudra rien s’il n’est pas suffisamment alimenté. Il faut donc accepter de favoriser notre industrie de la donnée, notamment par des commandes publiques.

Nous sommes dans une guerre économique, dans l’industrie digitale comme dans d’autres industries, et ce ne devrait pas être inconvenant que de le dire. Il faut donc privilégier notre écosystème et donner des perspectives à nos cerveaux et à nos investissements. En effet, nous disposons de formations d’ingénieurs remarquables mais que deviennent ces talents, ces algorithmes et ces logiciels une fois attirés par les sirènes américaines ?

Vous avez réussi l’année dernière à boucler votre deuxième tour de table de 2 millions d’euros… À quoi ont servi les fonds ?

Lefebvre Dalloz, n°1 européen de la connaissance juridique et fiscale, a effectivement investi une première fois 1,5 million d’euros en 2019 puis à 2 millions d’euros en 2021. Cela nous a permis d’accélérer et de recruter : nous sommes désormais 60 collaborateurs chez Data Legal Drive – dont la moitié sur la partie technique – et notre logiciel est utilisé au sein de plus de 3.000 clients, de la PME au CAC40, dans plus de 50 pays.

Ces fonds nous ont aussi permis de développer un deuxième logiciel, pour la mise en conformité avec la réglementation anti-corruption. Il existe d’ailleurs beaucoup de points communs dans les processus de protection des données et de lutte contre la corruption, notamment avec la gestion de référentiels de tiers ou les cartographies des risques. Dès à présent, nous réfléchissons à de nouveaux logiciels répondant à d’autres risques – comme le devoir de vigilance et la RSE des entreprises – tout en veillant à ne pas nous disperser et à toujours rester dans une approche experte des sujets.