MyData-Trust étend ses ambitions en consultance data/réglementation pour le life tech

Portrait
Par · 26/04/2021

MyData-Trust, société montoise créée en 2017, s’est dès le départ positionnée – et continue de le faire – sur le terrain du conseil en matière de protection de données et de conformité RGPD (Règlement général européen sur la protection des données), en s’adressant spécifiquement au secteur du pharma et de la recherche clinique.

Une spécialisation sciemment choisie pour deux raisons. D’une part, le parcours antérieur des deux fondateurs – Xavier Gobert et Gautier Sobczak. D’autre part, le fait que les données de santé, sensibles par définition, doivent être plus particulièrement protégées contre les violations, erreurs de manipulation, opérations de gestion peu rigoureuses – et font par ailleurs l’objet d’une vorace appétence de la part des hackers de tous poils.

Les activités de la société prennent différentes formes:  formation et sensibilisation, lors de missions sur site (visites-éclair ou interventions pouvant prendre plusieurs jours) ; audit et exercice d’évaluation des risques (mesures d’impact et formulation de mesures correctrices) ; sécurisation des procédures de collectes de données ; apport d’un soutien juridique (par l’équipe de juristes) ; mise à disposition (à distance) des compétences d’un DPO (Data Protection Officer).

“Nos clients étant essentiellement des sociétés pharmaceutiques ou actives dans la recherche clinique, elles se caractérisent par la nécessité de mettre en oeuvre des procédures organisationnelles et opérationnelles spécifiques et rigoureuses. Elles cherchent donc à être bien informées et rassurées sur leurs pratiques par rapport à l’implémentation du RGPD”, explique Xavier Gobert, cofondateur et directeur général de MyData-Trust.

La clientèle de MyData-Trust se compose encore majoritairement de petites et moyennes structures (de 10 à 200 personnes), celles qui, lors du lancement de la société, furent les premières low hanging fruit, là où les grosses sociétés pharma, voire les établissements hospitaliers, auraient été synonyme de longs processus de décision.
La clientèle se répartit entre sociétés de biotech (55% du chiffre d’affaires), prestataires de services (CRO, CDMO – autrement dit des sociétés de recherche contractuelle et des développeurs contractuels) (20%), medtech et développeurs d’applis e-santé (15%), et quelques clients plus importants (académiques ou hospitaliers) décrochés par bouche-à-oreille ou à l’occasion du rachat d’un petit acteur.
La clientèle a par ailleurs pris des dimensions internationales. La société annonce 250 clients, en Belgique et en Europe mais aussi dans des pays parfois lointains (Chine, Corée du Sud, Etats-Unis).
MyData-Trust dispose désormais de bureaux à Paris (4 personnes), à Londres (un collaborateur ; l’effet “Brexit”…), en Roumanie, mais aussi à San Francisco (effectif visé cette année: 5 personnes).

“Nous les aidons par conséquent à former leur personnel, à mettre en place des procédures, à vérifier ensuite la sécurité des données – même si, en la matière, elles sont déjà généralement bien outillées. La majorité de nos interventions visent donc l’aspect opérationnel.”

Côté services, MyData-Trust opère en mode projet, mettant ses compétences à disposition, via consultation et résolution à distance.

Pour des missions de type DPO ou DPR (Data Protection Représentative, pour les clients non-européens ayant besoin d’une représentation légale sur le territoire de l’UE), la société propose un service sur “abonnement”, le client réservant par exemple l’expertise voulue à raison de quelques jours par mois…

Extension du portefeuille

Depuis le début de l’année, MyData-Trust propose des modules de formation en-ligne aux problématiques et pratiques RGPD. Dix modules , d’une durée variant entre 20 minutes et 1 h 30, sont proposés, couvrant une série de sujets – “depuis une simple introduction aux implications du RGPD jusqu’aux procédures à appliquer lors de transferts de données en dehors du territoire européen”.

Trois programmes de formation spécialisés sont en outre proposés, visant des profils bien spécifiques: RH, R&D et marketing.

Le contenu de ces modules d’e-learning a été imaginé de telle sorte à pouvoir intéresser un panel de profils plus large que celui auquel la société s’adressait jusqu’ici. “Les formations en-ligne s’adressent à toute personne en lien avec la collecte des données personnelles d’une organisation – RH, IT, R&D, marketing, qualité, légal, DPO…”, explique Xavier Gobert. “Cette cible de profils est élargie par rapport à celle ciblée par nos services actuels. Aujourd’hui, en effet, nous ciblons plus particulièrement les départements R&D, Qualité et Affaires réglementaires.”

Ambitions de croissance

La société s’apprête à franchir un cap qu’elle estime important pour ses ambitions futures. Fin mai, le fond d’investissement français TechLife Capital, spécialisé notamment en investissements dans les soins de santé, fera son entrée au capital (à hauteur de 20%).

La société y voit “la possibilité d’actionner des leviers de financements plus importants”, pour reprendre l’expression de Xavier Gobert. Ce qui laisse supposer d’autres tours de table dans un avenir plus ou moins proche. “A horizon de 4 ou 5 ans, nous solliciterons certainement d’autres investissements – belges ou étrangers”.

L’ambition, d’ici 2025, est en effet d’asseoir le positionnement de la société comme “leader, à l’échelle internationale, en matière de solutions à valeur ajoutée pour la protection des données au service des life tech”. Aux yeux du duo de fondateurs, les besoins en traitement – et protection – de données à caractère personnel explosent et touchent un nombre accru de profils – non seulement dans le coeur de métier de la recherche clinique mais aussi du côté marketing, des contacts entre opérateurs ou sociétés pharmaceutiques et médecins, ou dans des scénarios d’autorisation temporaire d’utilisation de médicaments dans un contexte d’“usage compulsionnel”…

Nouveaux services, nouvelles réglementations

“Nous désirons également élargir nos compétences pour couvrir les différentes législations internationales, au-delà du RGPD”, précise Xavier Gobert. “La réglementation européenne est considérée comme une référence. L’expertise que nous avons développée nous positionne donc idéalement pour l’appliquer et l’adapter aux autres législations, en réutilisant nos méthodologies.

On a pu constater que la crise du Covid avait eu pour effet un renforcement des réglementations, partout dans le monde – en Corée du Sud, au Japon, en Californie – le California Consumer Privacy Act (CCPA), avec possibilité d’une extension au niveau fédéral sous l’Administration Biden -, et même en Chine. C’est là une tendance mondiale dont nous voulons nous saisir…”

Un nombre croissant de pays et de régions dans le monde adoptent des réglementations encadrant davantage l’usage qui est fait des données à caract!re personnel…

Priorités géographiques déjà épinglées: les Etats-Unis, la Chine, Israël. Outre-Atlantique, la société a d’ores et déjà ouvert un bureau, à San Francisco. Le but, à l’origine, a été de procurer, au plus près du client, une assistance à des sociétés biotech concernées par le RGPD dès l’instant où elles désirent effectuer des études cliniques en Europe. Mais MyData-Trust espère donc élargir l’exercice, à l’avenir, aux nouvelles législations de protection des données locales.

Les moyens financiers nouveaux, apportés par TechLife Capital (et les suivants auxquels la société pourrait faire appel), permettront de développer et de déployer de nouveaux services.

La société compte par exemple doter certains de ses outils d’une dose d’intelligence artificielle. Ce sera par exemple le cas du PrivaReg (registre de traitement de données). “L’IA permettra notamment d’optimiser la gestion des violations de données”. Idem pour l’audit GDP2 (Good Data Protection Practices), un exercice qui permet d’accord aux clients un label de conformité RGPD. 

L’IA, toujours elle, pourrait faciliter, automatiser une partie non négligeable du processus d’évaluation et de recommandations, “en ce compris dans un contexte d’internationalisation” et de présence de multiples réglementations. “Même si le texte du RGPD ne définit pas toujours clairement le cadre de mise en pratique, depuis sa mise en place, le European Data Protection Board et les autorités de contrôle nationales ont multiplié les recommandations. Un important exercice de veille réglementaire s’est installé. C’est de tout cela que nous allons nourrir notre IA”. Avec de la matière qui mêlera théorie et expériences. Signalons au passage que pour ses développements, la société fera appel au mécanisme d’accompagnement Tremplin IA (dans le cadre du programme wallon DigitalWallonia4.ai).

D’autres services supplémentaires, potentiellement à plus haute valeur ajoutée, viendront s’ajouter à la liste mais en sont encore au stade de la réflexion.