Avec My Data-Trust, Gautier Sobczak (Sup’Biotech promo 2014) favorise la protection des données personnelles
Créée en 2017 et basée en Belgique, la start-up My Data-Trust accompagne ses clients dans la gestion de la collecte et du traitement des données à caractère personnel. Une problématique plus que d’actualité, notamment dans le secteur Life Science, comme l’explique Gautier Sobczak (Sup’Biotech promo 2014), cofondateur et Business Development Executive de cette jeune entreprise prometteuse.
Gautier, lors de la céremonie de remise des titres de la promotion 2014
Quel a été votre parcours à la suite de Sup’Biotech ?
Mon cursus était celui de la filière Recherche & Développement, avec l’option entrepreneuriat en 5e année. Pour le valider, j’ai effectué mon stage de fin d’études en business development au sein d’une Contract research organization (CRO) clinique, c’est-à-dire une société fournissant des services cliniques essentiellement pour les acteurs du secteur pharmaceutique. Une fois mon stage terminé, une autre CRO ayant des activités similaires en Belgique m’a proposé de la rejoindre, chose que j’ai acceptée. J’y suis resté trois ans, jusqu’à ce que je décide de créer MyData-Trust avec un associé.
Le choix de l’option entrepreneuriat montrait déjà votre attirance pour la création d’entreprise, non ?
Je suis très attaché à l’esprit d’entreprendre et j’ai toujours eu en moi cette envie de créer une structure de mes propres mains, d’être indépendant… Bien sûr, je comprends ceux chez qui ce sentiment n’est pas réciproque. Mais dans mon cas, j’ai choisi la voie de la start-up et ne le regrette pas !
Quand a germé chez vous l’idée de MyData-Trust ?
Vers l’automne 2016, quand mon actuel associé a souhaité s’orienter vers d’autres horizons, avec l’envie de se former au Data Science. Durant l’une de ses formations, il a entendu parler des nouvelles réglementations liées à la protection des données à caractère personnel votées en mai 2016 et destinées à être mises en application en mai 2018. Il m’en a parlé et l’idée de développer une société pour faire face à ces changements nous est tout de suite venue à l’esprit.
Quels changements implique cette nouvelle règlementation ?
Cette réglementation est très vaste, touche énormément de secteurs, du milieu bancaire à l’industrie pharmaceutique, et concerne plusieurs types de de données, des emails aux numéros de téléphone, en passant par les cartes de fidélité, etc. Avec mon associé, nous avons très vite constaté un besoin important sur le marché Life Science, dans la mesure où les données de santé ont été répertoriées comme des données sensibles par la General Data Protection Regulation (GDPR), ce qui impose aux entités collectant et traitant ces données un certain nombre de mesures auxquelles elles ne parviennent pas toujours à faire face seules. Ces mesures concernent notamment la cybersécurité, la portabilité des données, la mise en place de processus en cas de violation ou d’intrusion, la notification, l’impact sur le consentement des « data subjects », le transfert des données en dehors de l’UE, etc. Ces mesures sont destinées à protéger les citoyens européens et à leur rendre la possession de leurs données personnelles. La GDPR définit donc un certain nombre de droits que les citoyens pourront exercer, comme le droit à l’accès, à l’information, à la modification ou à la suppression. En cas de violation de ces droits ou du non-respect des mesures qui doivent être mises en place, la société à l’origine du traitement (le « data controller ») et même ses sous-contractants (le « data processor ») peut se voir infliger des pénalités financières extrêmement lourdes : de 10 à 20 millions d’euros d’amendes ou de 2 à 4 % de leur chiffre d’affaires global annuel. Outre la sanction financière, nous pensons que les conséquences de l’impact sur l’image de marque de la société est bien plus contraignante…
Il y avait donc un terreau propice à l’existence d’une société telle que la nôtre. D’ailleurs, nous avons réellement pris conscience de l’importance de notre démarche lors d’une conférence au siège d’une big pharma française, devant un auditoire regroupant des professionnels des secteurs pharma, biotech, medtech, CROs et académiques. Durant l’événement, nous avons posé deux simples questions aux personnes présentes : êtes-vous informé de la future mise en application de la GDPR en 2018 et pensez-vous être impacté ? Sur les 200 personnes présentes, près de 65 % d’entre elles ont avoué ne pas être au courant et 98 % ont admis craindre d’être grandement impactées. Il fallait donc faire quelque-chose pour combler ce besoin : c’est comme ça qu’est véritablement née notre start-up.
En juillet 2017, MyData-Trust voit officiellement le jour. La définiriez-vous comme une société de services autour de la Data Privacy ?
C’est ça, mais orientée de manière spécifique vers l’industrie Life Science. Nos clients viennent vers nous pour des besoins relatifs à ces questions et y voient une double expertise (Life science et data protection) unique en Europe.
Justement, qui sont vos clients ?
À ce stade, nos clients sont essentiellement européens et américains, issus de divers horizons. Le marché est très large au sein du secteur Life Science : nos clients peuvent appartenir au secteur pharmaceutique, biotechnologie, dispositifs médicaux, cosmétique, diagnostique, technologique et numérique, santé, CROs, etc…
Quels services proposez-vous ?
Notre offre de service repose sur quatre « piliers » : le premier concerne la formation : nous proposons à nos clients des workshops organisés sur deux journées sur site afin de sensibiliser les participants aux enjeux liés à la protection des données personnelles dans le secteur de la santé.
Le deuxième consiste en un service d’évaluation. La première étape est d’effectuer un « gap analysis ». Nous nous rendons sur site pour analyser l’ensemble des processus à l’origine de la collecte de données à caractère personnel. Cela concerne aussi bien les départements cliniques et production que le département des ressources humaines – qui récolte des données sur les employés. Cette première étape d’évaluation nous permet de faire l’état des lieux et d’identifier les éventuels processus sensibles. Lorsqu’un processus sensible est identifié, cela nous permet ensuite de réaliser le(s) Data Protection Impact Assessment(s) (DPIA), pour aller vraiment dans le détail du processus. En parallèle, nous nous rendons aussi régulièrement chez les sous-contractants de nos clients afin de réaliser un Vendor Assessment. Cela nous permet d’identifier leur mise en conformité avec la GDPR. En effet, comme mentionné précédemment, à partir de mai 2018 le « data controller » ne sera plus le seul re
sponsable aux yeux de la réglementation : les « data processors » le seront aussi. Ceci est un changement majeur ! Pour finir, le dernier type d’évaluation est l’Information Security Assessment (ISA) : il s’agit d’une évaluation de la cybersécurité réalisée sur les systèmes informatiques de l’entité. C’est une question très sensible, d’autant plus que les cas de cyberattaques reviennent souvent dans l’actualité, y compris chez les grands acteurs pharmaceutiques.
Le troisième pilier est associé à une plateforme de Data Protection Officers (DPO) : nous avons des profils de DPO en interne qui sont capables de suivre nos clients au quotidien afin de veiller à la bonne mise en place de la GDPR et à la conformité de l’ensemble des processus. En plus de cette veille quotidienne, le DPO est aussi la personne de contact pour les autorités en cas de contrôle ainsi que pour les « data subjects » afin qu’ils puissent exercer leurs nouveaux droits.
Enfin, le dernier pilier est un service juridique qui offre à nos clients un support légal : la rédaction des contrats, la rédaction de clauses liées à la data protection, du conseil juridique, la mise en place de Binding Corporate Rules, etc.
En plus de cela, nous avons aussi développé des outils à destination de nos clients, comme une application web leur permettant de tenir à jour un registre de l’ensemble des processus collectant des données à caractère personnel. Si l’autorité de protection de la vie privée vient frapper à la porte de l’entreprise, celle-ci peut ainsi facilement générer un rapport automatique « GDPR compliant ».
Retrouvez My Data-Trust sur son site Internet et LinkedIn