Adequacy : une solution souveraine
/Nous avons rencontré Christian des Lauriers - CEO - et Alessandro Fiorentino - Product Owner - qui nous ont parlé de l’aventure Adequacy.
SDBR News : Adequacy* est-il le nom de l’entreprise ou le nom du logiciel ?
Christian des Lauriers : Adequacy est avant tout l’aventure entrepreneuriale d’une équipe qui a démarré en 2003, avec un noyau dur de consultants. Cette activité de « conseil en architecture technique logicielle et en sécurité » portée sous la marque Infhotep s’adressait aux directions informatiques des grands comptes et aux éditeurs de logiciels. En 2007, une activité complémentaire a été lancée dans le domaine du « conseil en organisation ». En 2015, Infhotep est sollicité par ses clients pour les aider à débuter leur mise en conformité avec le Règlement Général sur la Protection des Données (RGPD). C’est à ce moment-là qu’Alessandro Fiorentino nous rejoint et nous convainc de travailler aussi sur la protection des données et sur les enjeux de sécurité. Accompagné de deux consultants également passionnés par ces sujets, ils développent ensemble des boites à outils pour optimiser leurs missions. Et en 2017 ce travail commun aboutit au développement d’un logiciel de mise en conformité, baptisé « Adequacy ».
SDBR News : Comment êtes-vous passés d’Infhotep à Adequacy ?
Christian des Lauriers : Comme Infhotep avait une très belle image de Conseil auprès de grands comptes et de collectivités territoriales, nous avons pu placer le logiciel d’aide à la mise en conformité Adequacy chez plusieurs de nos grands clients. Nos premiers succès nous ont convaincus de développer cette activité générant des revenus récurrents et, en 2021, Infhotep a réalisé une levée de fonds de 1,2 million, avec pour objectif de construire et financer le développement commercial et technologique d’Adequacy. En 2024 Infhotep a donc finalisé sa mutation complète sur le métier d’éditeur de logiciels, après avoir vendu son activité de conseil, hors RGPD, à TNP Consultants (qui est par ailleurs un partenaire d’Adequacy). Et le nom du logiciel de mise en conformité est devenu celui de l’entreprise : Adequacy.
SDBR News : Adequacy est-il un logiciel à tiroir ?
Alessandro Fiorentino : Il faudrait plutôt parler de « poupées russes », car Adequacy est une plate-forme qui a 3 offres principales : Start, Essentiel et Expert. Ensuite, avec les « Add-On » nous pouvons répondre à des enjeux plus spécifiques à certaines organisations qui ne sont pas communs à tous nos clients. Contrairement à certains concurrents, qui ont des offres avec beaucoup d’intégration, nous avons eu une démarche méthodologique différente pour construire Adequacy. Nous nous attachons à ne jamais façonner la manière de faire de nos clients, tout en leur proposant une démarche structurée : chaque DPO peut donc intégrer sa propre culture dans notre logiciel. Nous pouvons déployer Adequacy en 72 heures, en format standard plug and play. Pour un grand compte, qui nécessitera de la gouvernance et des adaptations, nous pouvons bien sûr nous intégrer dans une gestion de projet qui entrainera un déploiement sur 3 ou 4 mois afin de répondre aux besoins de « change » et de paramétrages spécifiques. Notre offre évolue en fonction des enjeux auxquels nos clients sont confrontés ; nous refusons d’élargir la couverture fonctionnelle par opportunisme et nous restons centrés sur notre cœur de métier, le management et la protection des données. C’est là que nous sommes attendus. Et c’est déjà un terrain de jeu assez large.
SDBR News: Adequacy intègre-t-il de l’IA?
Alessandro Fiorentino : Nous allons bientôt faire évoluer la couverture fonctionnelle d’Adequacy pour accompagner la mise en conformité à l’AI Act, pour nos clients qui intègrent de l’IA dans leurs activités. En plus d’accompagner nos clients sur ce sujet, nous préparons également l’intégration de l’IA dans la plateforme Adequacy. Néanmoins nous sommes une solution souveraine et nous tenons à le rester. Nous travaillons donc sur le déploiement d’une IA open source dont nous pourrons garantir la confidentialité, afin de ne jamais exposer les activités de nos clients. Adequacy est hébergé chez OVH qui est aussi un de nos clients pour sa conformité RGPD. L’objectif d’Adequacy reste d’accompagner les entreprises et notamment l’évolution du métier de DPO.
SDBR News : Comment voyez-vous l’évolution du métier de DPO ?
Alessandro Fiorentino : Le métier de DPO nécessite une expertise juridique et technique en matière de protection des données ainsi qu’une connaissance de la réglementation sectorielle de l’organisation pour laquelle il est désigné. Considéré comme un nouveau métier depuis l’entrée en application du RGPD, il convient de rappeler néanmoins que le « Datenschutzbeauftragter » était, dès 1977 en Allemagne, une fonction obligatoire pour les organismes de plus de dix salariés.
La directive 95/46/CE du 24 octobre 1995 a ensuite permis que cette fonction se généralise au sein de l’Union européenne, ouvrant la possibilité aux organisations publiques et privées de désigner une personne chargée de la protection des données à caractère personnel (DCP). Transposant cette directive en 2004 dans la loi Informatique et Libertés, la France avait créé la fonction de Correspondant informatique et libertés (CIL). Sept ans après, les DPO sont aujourd’hui dans un contexte d’inflation réglementaire européenne : DMA (Digital Markets Act), DSA (Digital Services Act), NIS2 (Network & Information Security), CRA ((European Cyber Resilience Act), etc. Nous avons le sentiment que le DPO sera demain le « compliance officer » de la data. Sous la pression de l’arrivée de l’IA, il devra réussir à travailler avec l’ensemble des grandes directions de l’entreprise comme il a réussi à travailler avec les RSSI pour se mettre en conformité au RGPD depuis 2018.
SDBR News : Quelles sont les évolutions à venir pour le logiciel Adequacy ?
Alessandro Fiorentino : Compte tenu des évolutions à venir, nous pensons par exemple que le RSSI aura bientôt besoin du DPO pour NIS2. Le RSSI a été un partenaire privilégié du DPO pour recenser les mesures organisationnelles et techniques pour le RGPD ; il est fort possible qu’il puisse à son tour accompagner le RSSI à assurer le principe d’« accountability » au service de la cybersécurité. En termes de roadmap, Adequacy veut accompagner l’évolution du métier du DPO, avec une bonne couverture de tout ce qui touche à la « Privacy** ». Adequacy fait de la sécurité depuis longtemps, mais la différence aujourd’hui c’est que nous le disons. Nous allons prochainement sortir un Add-On qui va permettre de faire de la multi-réglementation. Ce dernier permettra, notamment, de décliner une fiche de traitement répondant à l'article 30 du RGPD pour répondre à son équivalent dans la «Personal Information Protection Law » (PIPL) de la République populaire de Chine ou dans le Digital Personal Data Protection (DPDP) Act pour l’Inde. Il existe 110 réglementations dans le monde et nous avons déjà finalisé le droit comparé sur 52 règlementations, ce qui permettra de faciliter le travail des entreprises implantées à l’international.
SDBR News : Adequacy n’est-il pas un outil pour les grandes entreprises capables de se doter d’un DPO?
Christian des Lauriers : De plus en plus d’entreprises font de l’externalisation de DPO, ne pouvant pas ou ne voulant pas internaliser cette fonction. Adequacy dans ce cadre est parfaitement utilisable en mode SaaS, pour de petites entités du secteur privé ou public qui désignent des DPO externes (par exemple : des petites communes qui désignent des centres de gestion départementaux pour les accompagner dans leur conformité). Nous avons à ce jour plus de 10.000 entités utilisatrices d’Adequacy, réparties dans plus de 80 pays : entre autres, Le Groupe Figaro, Generali, Total Energies, Naval Group, Dassault Aviation, le Groupe Bouygues, Sopra Steria, des écoles, des communes, des hôpitaux, etc.
SDBR News : Quelle est la stratégie pour la suite?
Christian des Lauriers : Pour passer à la vitesse supérieure nous avons décidé de renforcer la gouvernance et de renforcer le management de l’entreprise : nous avons accueilli au Board fin 2024 Bernard Fort (Fondateur de Tennaxia) et Bernard Kirsch (Business Angel, Head of Data Privacy dans un grand compte international). Nous devrions, à l’horizon 2026, préparer une levée de fonds importante pour franchir une nouvelle étape dans le développement d’Adequacy.
La société Adequacy sera présente au Forum InCyber - qui se tiendra à Lille du 1er au 03 avril 2025 - sur le stand G 41.
** privacy : fait référence au droit des individus de garder certaines informations personnelles confidentielles et de contrôler comment ces informations sont utilisées et partagées.
