Protection des données, sécurité informatique et cybercriminalité
En tant que prestataire dans le domaine de la santé, Galenica accorde la priorité absolue à la protection des données des patients. Galenica s’assure que ces informations sont protégées contre les accès et les modifications non autorisés ou les pertes.
GRI 418: Confidentialité des données des clients
Protection des données
GRI 3-3
Gestion des thèmes pertinents
Au vu de la numérisation croissante du système de santé suisse, la protection des données et les exigences légales concernant le traitement des données gagnent en importance. La protection des données comprend le traitement des données des patients et des clients, et poursuit l’objectif de protéger la vie privée des patients lors du traitement de leurs données. Les données relatives à la santé sont sensibles et doivent être particulièrement protégées par la loi contre toute utilisation abusive. Au sein de la Service Unit Pharmacies et de HCI Solutions en particulier, l’enjeu de la protection des données est central. Galenica veille à ce que les données des patients soient protégées contre tout accès et toute modification non autorisés ou une perte. La protection des données est essentielle pour une société paisible et inclusive ainsi que des institutions fortes.
Objectifs
Galenica a défini les objectifs suivants:
- Deux fois par an, nous menons des mesures de sensibilisation pour nos collaborateurs dans le domaine de la protection des données.
Vous trouverez un aperçu de tous les objectifs de développement durable et de leur progression ici.
Politique de protection des données et formations des collaborateurs
Dans ce domaine important, Galenica a l’appui d’un préposé à la protection des données indépendant externe. La politique de protection des données constitue le cadre général et est complétée par des règlements et instructions spécifiques pour les sociétés du Groupe. Tous les contrats de travail des collaborateurs ayant accès à des données personnelles contiennent en outre une clause de protection des données. Tous les collaborateurs sont régulièrement formés et sensibilisés à la protection des données. Au cours de l’année sous revue, le service juridique a élaboré une nouvelle formation en ligne sur le thème de la protection des données, qui sera lancée en 2023.
Gros plan sur la révision de la protection des données
Fin septembre 2020, le Parlement a adopté la révision totale de la loi fédérale sur la protection des données (nLPD). La nLPD et la nouvelle ordonnance relative à la loi fédérale sur la protection des données (nOLPD) entreront en vigueur le 1er septembre 2023. Cette révision permet d’adapter la loi sur la protection des données aux nouvelles conditions technologiques et sociales. Elle implique en particulier, l’amélioration de la transparence du traitement des données et le renforcement de l’autodétermination des personnes concernées par rapport à leurs données. La loi révisée sur la protection des données conduit à de nombreuses adaptations au règlement général de l’UE sur la protection des données (RGPD), et implique de nouvelles obligations pour les entreprises. Galenica travaille à la mise en œuvre de ces nouvelles exigences. Le devoir d’information est l’une de ces nouvelles exigences. Dans ce contexte, Galenica a publié en 2022 une déclaration de protection des données pour les collaborateurs et élaboré un nouveau processus pour l’exercice du droit d’accès, qui permet aux personnes concernées d’avoir le contrôle sur leurs propres données personnelles. En outre, le service juridique du Groupe continue de suivre la pratique du RGPD-UE.
Cercle de protection des données
Le cercle de protection des données propose une plateforme aux membres du Service juridique, du département informatique et des domaines opérationnels pour traiter et coordonner les thèmes et questions relevant de la protection des données à l’échelle du Groupe, et de mettre en œuvre des mesures préventives suffisamment tôt. L’organe contribue ainsi de manière significative au respect de la loi sur la protection des données. Le cercle de protection des données est dirigé par la secrétaire générale. Le Comité est rattaché au service juridique.
Evaluation de l’approche et des mesures de gestion
- Contrôles: pour respecter les dispositions légales et garantir un traitement des données personnelles de haut niveau, Galenica suit les changements légaux du droit de la protection des données et réalise des contrôles réguliers.
GRI 418-1
Plaintes fondées relatives à l’atteinte à la confidentialité des données des clients et aux pertes des données des clients
Au cours de l’année de référence, il n’y a eu aucune plainte fondée relative à l’atteinte à la confidentialité des données des clients, et aucune enquête légale n’a été menée sur des cas de vol ou de perte de données.
Thème pertinent propre
Sécurité informatique et cybercriminalité
GRI 3-3
Gestion des thèmes pertinents
Avec la numérisation croissante du système de santé, le risque de cyberattaques augmente. C’est pourquoi la sécurité informatique est très importante chez Galenica. En tant que prestataire dans le domaine de la santé, Galenica traite des informations et données sensibles. Galenica s’assure qu’elles sont protégées contre tout accès injustifié et toute modification ou perte non autorisée. Pour les entreprises logistiques et les pharmacies, la protection des systèmes informatiques est décisive pour garantir en fin de compte la sécurité d’approvisionnement de la population. L’être humain est l’un des principaux facteurs de risque en matière de cyberattaques, car de nombreuses cyberattaques ciblent les collaborateurs, par exemple au moyen d’e-mails frauduleux (phishing).
Objectifs
Galenica a en outre défini l’objectif suivant:
- Nous sensibilisons notre personnel à la sécurité informatique et à la cybercriminalité.
Par ailleurs, Galenica a défini des objectifs internes dans le domaine de la sécurité informatique et de la cybercriminalité.
Vous trouverez un aperçu de tous les objectifs de développement durable et de leur progression ici.
Responsabilités
Au niveau du Groupe, l’enjeu de la sécurité informatique est coordonné par le Responsable Information Security & Quality Assurance. En 2022, Galenica a réorganisé les responsabilités et l’organisation de la sécurité informatique. Le nouvel IT Security Board est responsable de l’harmonisation des intérêts entre l’informatique et les différentes Business Units et coordonne les thèmes et mesures relatifs à la sécurité informatique. Ces mesures sont mises en œuvre par les membres dans leurs domaines respectifs. Le comité est responsable de la stratégie de sécurité informatique et veille à sa mise en œuvre. L’objectif est d’atteindre une sécurité informatique fiable et efficace à l’échelle du Groupe. Le comité se réunit tous les trimestres ou selon les besoins et commencera ses travaux en 2023.
Des directives claires régissent l’exploitation
La politique de sécurité informatique définit les objectifs de la sécurité de l’information et de la sécurité informatique, les compétences et les responsabilités ainsi que les principes de sécurité informatique du Groupe Galenica. Cette Politique s’applique à toutes les sociétés du Groupe Galenica et constitue la base de toutes les consignes écrites de sécurité informatique. En outre, le règlement d’utilisation informatique définit les règles de comportement relatives à la sécurité dans l’utilisation des outils de travail informatiques, comme l’utilisation d’appareils privés, le travail en déplacement ou en home office. Enfin, le manuel de sécurité informatique s’adresse aux collaborateurs des services informatiques et réglemente la sécurité de l’exploitation informatique.
Collaborateurs sensibilisés
La participation de tous les collaborateurs est nécessaire pour garantir la sécurité de l’information et de l’informatique. Outre les mesures techniques, Galenica les encourage par conséquent à prendre conscience de la sécurité par le biais de modules d’e-learning spécifiques et de news intranet. Dès la journée d’introduction, les collaborateurs récemment arrivés sont sensibilisés aux éléments essentiels du règlement d’utilisation informatique. Galenica organise régulièrement des e-learnings sur la sécurité des données et sur le comportement à adopter en cas de phishing et de cyberattaques. Par ailleurs, des informations sur la cybercriminalité sont régulièrement publiées sur l’intranet pour les membres du personnel.
Evaluation de l’approche de gestion et des mesures
- Audit de sécurité: l’actualité et l’efficacité de la politique de sécurité informatique et de sa mise en œuvre sont régulièrement vérifiées par des services internes ou des spécialistes externes.
- Monitoring: le système de surveillance de la sécurité surveille l’ensemble des systèmes informatiques et déclenche l’alarme en cas d’anomalies. Cela est assuré par un centre opérationnel de sécurité (Security Operation Center – SOC) externe.
- E-learning: les taux de participation aux modules d’e-learning sur la sécurité des données et la cybersécurité sont régulièrement relevés et évalués.
Indicateur propre
Participation à des e-learnings
Au cours de l’exercice sous revue, deux e-learnings ont été proposés dans le domaine de la sécurité informatique et de la cybercriminalité. Le taux de participation a été en moyenne de 88%.