Fraude informatique menace securite donnees laboratoires pharmaceutiques

05 juillet 2006

Les laboratoires pharmaceutiques sont de plus en plus victimes de fraudes et d’atteintes à la sécurité de leurs données informatiques ou de dénigrements par le biais d’Internet ou de leurs propres réseaux informatiques.
Si ces atteintes proviennent parfois de l’extérieur, elles trouvent le plus souvent leur origine en interne parmi les membres du personnel, ce quelle que soit leur fonction.

Ces dernières années, des salariés de laboratoires pharmaceutiques mal intentionnés ont en effet été à l’origine d’envoi de messages électroniques dénigrant ou diffamant et/ou de vols d’informations stratégiques portant à la fois sur les produits de leur propre laboratoire et sur ceux de concurrents.

Ce type de comportement est en constante progression du fait des possibilités techniques offertes par les nouvelles technologiques qui sont de plus en plus accessibles et faciles d’utilisation par les salariés.

Les études les plus récentes confirment que plus de 80% des cas de fraudes informatiques proviennent de l’intérieur des entreprises, qu’il s’agisse des salariés, des stagiaires ou des personnes détachées par un prestataire.

La menace interne représente ainsi le premier risque d’atteinte à la sécurité des données d’une entreprise et se traduit le plus souvent par le vol d’informations confidentielles et stratégiques, des accès non autorisés à des données sensibles, l’envoi massif des messages électroniques ou encore par des négligences dans l’utilisation des outils informatiques.

Cette menace est souvent en lien avec l’absence de règles clairement définies et opposables aux salariés, ou du non respect des règles et des politiques de sécurité existantes.

Du fait de la détention d’informations et de données sensibles et stratégiques, les laboratoires pharmaceutiques sont particulièrement concernés et de plus en plus touchés par les problèmes de fraude informatique interne avec ou sans complicité extérieure.

Cette fraude touche principalement les domaines relatifs aux argumentaires de visite médicale et d’une manière plus générale aux informations, notamment économiques, portant sur les médicaments, les données des essais cliniques et certaines données de recherche et développement.

Parmi les conséquences multiples de ces fraudes, il existe de nombreux risques juridiques liées notamment à l’atteinte à la sécurité des données à caractère personnel que détient l’entreprise, et à la responsabilité civile ou pénale encourue par le dirigeant du fait des éventuelles infractions commises par les membres de son personnel en lien avec leur fonction.

Il convient de rappeler ici que le fait de ne pas mettre en oeuvre les mesures de sécurité adéquates pour préserver la sécurité des données à caractère personnel et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès, est sanctionné pénalement de cinq ans d’emprisonnement et de €300 000 d’amende, par les dispositions de l’article L.226-17 du code pénal sur le fondement de l’article 34 de la loi Informatique et libertés.

Par ailleurs, un dirigeant peut être amené, dans certains cas, à répondre des agissements de l’un de ses salariés, du fait d’une utilisation frauduleuse des outils informatiques mis à sa disposition.

Pour gérer ces risques grandissant, il convient, en complément indispensable à d’éventuelles mesures techniques, de mener une politique d’information et de dissuasion auprès des salariés.

Cette politique implique la mise en œuvre d’une charte d’utilisation et de sécurité des systèmes d’information dont l’objectif premier sera de protéger les intérêts de l’entreprise et la responsabilité pénale de son dirigeant, en définissant des règles précises d’utilisation des outils d’informatiques et d’accès aux informations.

Le second objectif sera de rendre opposable cette charte aux salariés, ce qui nécessitera au préalable la consultation du comité d’entreprise afin de répondre aux exigences du code du travail.

L’opposabilité de cette charte facilitera la sanction de comportements à risque pour l’entreprise et limitera, le cas échéant, les cas de responsabilité du dirigeant par une recherche d’atténuation et/ou d’exonération de sa responsabilité pour les agissements commis par l’un de ses salariés.

Cette charte devra être accompagnée de moyens de contrôle et de protection répondant aux objectifs d’identification des personnes accédant à certaines informations ou à certains programmes informatiques sensibles.

De manière à renforcer l’impact de la charte et son effet dissuasif, des sessions de formation et de sensibilisation pourront être organisées afin que chaque salarié prenne la mesure des risques encourus par lui et le dirigeant du fait d’éventuelles négligences ou du non respect des règles d’utilisation et de sécurité des systèmes d’information.