Dans le secteur pharmaceutique, l’information est vitale. Des données expérimentales brutes aux formules chimiques complexes, des essais réglementés de médicaments aux brevets de propriété intellectuelle… sans l’information, cette industrie ne pourrait pas survivre. Elle ne pourrait pas lancer de nouveaux traitements sur le marché en toute confiance vis-à-vis de leur innocuité, se conformer aux obligations réglementaires de plus en plus strictes, ni même se défendre sereinement en cas de poursuites en justice. Le cycle de développement de médicaments prend des années et coûte de plus en plus cher. Par conséquent, tout cas de perte d’information ou de divulgation de données, extrêmement sensibles et confidentielles par nature, risque d’entraver le processus et de porter préjudice à la société concernée. Il est donc vital pour le secteur pharmaceutique en Europe de bien comprendre et gérer le risque lié à l’information.
Alors que les volumes de données explosent et que les conditions de marché n’ont jamais été aussi rudes, il est inquiétant d’apprendre [i] que l’industrie pharmaceutique européenne ne prend pas le risque lié à l’information suffisamment au sérieux.
Les compromissions de données coûtent cher. Selon les dernières estimations [ii], une telle violation coûterait même plus cher aux entreprises des secteurs les plus réglementés, comme les laboratoires pharmaceutiques et les institutions financières, qu’aux autres secteurs de l’industrie ; 103 livres sterling par habitant en moyenne pour le secteur pharmaceutique au Royaume-Uni, contre 53 livres sterling pour les médias et 69 livres sterling pour la vente au détail. Sachant que les cas de violations de données augmentent de 50 % par an tous secteurs confondus [iii], on serait en droit de penser que l’impact financier devrait suffire à sensibiliser, auquel viennent s’ajouter les préjudices au positionnement de la marque et à sa réputation et la perte de clients consécutive.
90 % des représentants du secteur pharmaceutique ont adopté une stratégie de gestion des risques pour l’information, mais seuls 47 % d’entre eux contrôlent son efficacité
Commencer par mettre en place une stratégie de suivi des risques pour l’information est une bonne chose, même si ça ne suffit pas. En effet, s’il est rassurant de constater que 90 % des représentants du secteur pharmaceutique sondés ont bien adopté une stratégie de gestion des risques pour l’information, seuls 47 % d’entre eux contrôlent son efficacité ou vérifient qu’elle est suivie.
Le rapport de PwC révèle des incohérences et un manque de vigilance certain vis-à-vis de la gestion des risques pour l’information ; une tendance commune aux autres secteurs. Certes les professionnels sont conscients du risque. Dans le secteur pharmaceutique, ils sont trois sur quatre à reconnaître qu’une approche responsable de la protection de l’information est essentielle pour la réussite de leur entreprise, 44 % pensent que les risques de violation de données vont augmenter et plus des trois quarts (77 %) estiment que, le cas échéant, leur entreprise en subirait des préjudices. Etonnamment, on ne retrouve pas ces préoccupations au niveau de la direction : plus de la moitié des sondés (52 %) pensent que le conseil d’administration sous-estime l’importance de la sécurité et de la protection des données. Beaucoup pensent qu’il sera difficile de justifier une hausse des investissements dans la gestion de la sécurité de l’information et, pour 62 % des sociétés du secteur pharmaceutique, la réduction des coûts passe devant la diminution des risques pour l’information.
Certains sont résignés et pensent qu’il n’y a rien à faire. Pour plus de la moitié (59 %), le rythme d’évolution des risques pour l’information est tel qu’ils pensent ne jamais pouvoir le suivre.
Le plus inquiétant est qu’alors que plus de la moitié des sociétés du secteur pharmaceutique (54 %) indiquent qu’elles ne travailleraient pas avec une entreprise ayant été victime d’une violation de données, elles sont plus d’un tiers (35 %) à considérer la perte de données comme une conséquence inévitable du commerce.
Dans le secteur pharmaceutique, les récentes fusions et les tendances à la rationalisation et à l’externalisation placent l’obligation d’une bonne gestion de l’information sur le devant de la scène. Le strict respect des meilleures pratiques en amont d’une fusion annoncée et l’intégration transparente des données après coup peuvent aider à identifier des risques liés à des règles de rétention des archives inadaptées, une gestion documentaire inefficace, voire des systèmes de stockage incompatibles.
Les accords d’externalisation supposent que les parties puissent échanger l’information au moyen de systèmes informatiques sécurisés et correctement administrés, tandis que les efforts de rationalisation obligent à reconsidérer la légitimité des énormes volumes d’archives papier. Aucune société n’aimerait devoir rendre des comptes parce que des cartons de données confidentielles ont été découverts sans protection dans un centre de recherche abandonné.
La menace que représente l’information est un risque d’importance stratégique pour les entreprises, qu’elles ont intérêt à traiter calmement dès maintenant et non à la hâte, quand une nouvelle proposition de réglementation de la protection des données sera devenue loi. C’est une question que le secteur pharmaceutique ultra réglementé, complexe et basé sur la connaissance doit traiter pour se préparer aux exigences et aux opportunités que lui réserve la prochaine décennie. Vous devez savoir quelle information vous possédez, où elle se trouve et qui est responsable de sa protection, sans quoi vous risquez de perdre des données et de ne vous en apercevoir qu’une fois qu’il sera trop tard.