Archives pour la catégorie approche socio-cognitive: rex, apprentissage

RGPD. BEST-PRACTICES ET PLANS D’ACTIONS

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Après le rappel du contexte réglementaire, les 1eréléments de bilan 2020 et les sanctions (Carrefour et Carrefour Banque, Google, H&M) je vous propose, à partir d’éléments communiqués par l’entreprise toulousaine I-Trust (Editeur de solutions de Cybersécurité), une synthèse de best practices issues des règles de l’ANSSI et des recommandations de la CNIL. Autant de best pratices à suivre et de plans d’actions à mettre en œuvre.

Les règles de conformité RGPD imposent aux entreprises de se sécuriser selon les meilleures pratiques issues des :

Les règles d’hygiènes et bonnes pratiques de l’ANSSI

# 4 : Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau.

Maintenir la cartographie du SI et des informations sensibles via les tags RGPD.

# 5 : Disposer d’un inventaire des comptes privilégiés et les maintenir à jour.

Identifier les comptes privilégiés et de vérifier en continu leur mise à jour. 

# 7 : Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés.

Détecter la connexion d’appareils étrangers au SI.

#8 : Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur. Journalisation activée.

Détecter les comportements malveillants sur les opérations de comptes et les partages réseaux. 

Détecter les bruits de force de compte. 

# 10 : Définir et vérifier des règles de choix et de dimensionnement des mots de passe.

Détecter des mots de passe triviaux actifs sur le réseau.

# 12 : Changer les éléments d’authentification par défaut sur les équipements et services.

Détecter les mots de passe par défaut sur les équipements et services.

# 14 : Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique. Cette règle concerne essentiellement des points de configuration (chiffrement disque, désactivation autorun, etc.).

# 18 : Chiffrer les données sensibles transmises par voie Internet.

Détecter la présence de services d’échange ou d’interface de connexion non sécurisés.

# 20 : S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages.

Scanner la sécurité des équipements impliqués dans le WiFi (bornes, routeur, etc.)

#21 : Utiliser des protocoles réseaux sécurisés dès qu’ils existent.

Détecter les services en écoute qui ne garantissent pas la sécurité des transmissions.

# 22 : Mettre en place une passerelle d’accès sécurisé à Internet.

Scanner la sécurité de cette passerelle.

#34 : Définir une politique de mise à jour des composants du système d’information.

Détecter les problèmes d’obsolescence des composants.

#36 : Activer et configurer les journaux des composants les plus importants.

Effectuer une étude contextuelle du SI. Journaliser les éléments suivants : > pare-feu : paquets bloqués ; > systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ; > services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relai HTTP, en-têtes des messages sur un relai SMTP, etc.). Pour se faire un centre opérationnel de sécurité doit être installé. 

#38 : Procéder à des contrôles et audits de sécurité régulier puis appliquer les actions correctives associées.

Auditer le réseau en continu et éliminer les vulnérabilités évidentes pour que les auditeurs puissent se concentrer sur les failles cachées.

Procéder à des contrôles et audits de sécurité réguliers pour appliquer les actions correctives associées. 

# 40 : Définir une procédure de gestion des incidents.

Surveiller en continu toute intrusion ou malveillance présente sur le SI.

# 42 : Privilégier l’usage de produits et de services qualifiés par l’ANSSI.

Obtenir la certification CSPN.

Les règles de la CNIL. Les fiches CNIL sur la sécurité des données personnelles. 

#Fiche 1 : Sensibiliser les utilisateurs

Formation au RGPD pour faire le point sur les nouvelles règles et connaître les outils qui sont obligatoires depuis mai 2018, afin de lancer la mise en conformité au plus tôt dans votre organisme.

Cette formation est adressée aux CIL/DPO/DSI/RSSI/Responsable qualité et conformité.

#Fiche 2 : Authentifier les utilisateurs.

Cartographie de l’ensemble du SI permettant de détecter la connexion d’appareils étrangers au SI. Il permet de détecter les protocoles d’accès et d’authentification (ssh/smtp/FTP/…)

#Fiche 3 : Gérer les habilitations.

#Fiche 4 : Tracer les accès et gérer les incidents.

#Fiche 5 : Sécuriser les postes de travail. 

#Fiche 6 : Sécuriser l’informatique mobile. 

#Fiche 7 : Protéger le réseau informatique interne.

#Fiche 8 : Sécuriser les serveurs.

#Fiche 9 : Sécuriser les sites web.

Cartographie de l’ensemble du réseau. Note de criticité et correctifs associés. Identification des vulnérabilités et logiciels non mis à jour de la plupart des périphériques et applications, y compris les firewalls, les serveurs, les systèmes d’exploitation de bureau, les imprimantes, les appareils sans fil, ainsi que de nombreux autres éléments.

RGPD. SANCTIONS. CARREFOUR. GOOGLE. H&m.

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Au programme :

  • article / sanctions Carrefour France (2,25 millions euros) et Carrefour Banque (800 000 euros) / avec les délibérations et pour approfondir les références aux articles de la CNIL
  • article / sanctions Google LLC (60 millions d’euros) et Google Ireland Limited (40 millions d’euros)
  • article sanctions H&M (35 millions d’euros)

Sanctions de 2 250 000 euros et de 800 000 euros pour les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE

26 novembre 2020


Saisie de plusieurs plaintes, la CNIL a sanctionné deux sociétés du groupe CARREFOUR pour des manquements au RGPD concernant notamment l’information délivrée aux personnes et le respect de leurs droits.

Saisie de plusieurs plaintes à l’encontre du groupe CARREFOUR, la CNIL a effectué des contrôles entre mai et juillet 2019 auprès des sociétés CARREFOUR FRANCE (secteur de la grande distribution) et CARREFOUR BANQUE (secteur bancaire). À cette occasion, la CNIL a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’encontre de ces sociétés.

À l’issue de cette procédure, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a effectivement considéré que les sociétés avaient manqué à plusieurs obligations prévues par le RGPD.

Elle a ainsi sanctionné la société CARREFOUR FRANCE d’une amende de 2 250 000 euros et la société CARREFOUR BANQUE d’une amende de 800 000 euros. En revanche, elle n’a pas prononcé d’injonction dès lors qu’elle a constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés.

Des manquements à l’obligation d’informer les personnes (article 13 du RGPD)

L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). De plus, elle était incomplète en ce qui concerne la durée de conservation des données.

Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers).

Sur ce point, les sociétés ont modifié leurs mentions d’information et sites web durant la procédure pour se mettre en conformité.

Des manquements relatifs aux cookies (article 82 de la loi Informatique et Libertés)

La CNIL a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt.

Les sociétés ont modifié, durant la procédure, le fonctionnement de leurs sites web. Plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.

Un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)

La société CARREFOUR FRANCE ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.

Par ailleurs, en l’espèce, la formation restreinte considère qu’une durée de conservation de 4 ans des données clients après leur dernier achat est excessive. En effet, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers. 

Pendant la procédure, la société CARREFOUR FRANCE a engagé d’importants moyens pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD. Toutes les données trop anciennes ont notamment été supprimées.

Un manquement à l’obligation de faciliter l’exercice des droits (article 12 du RGPD)

La société CARREFOUR FRANCE exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit. Cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits. Par ailleurs, la société n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.

Sur ces deux points, la société a modifié ses pratiques durant la procédure. Elle a notamment déployé d’importants moyens humains et organisationnels pour répondre à l’ensemble des demandes reçues dans un délai inférieur à un mois.

Un manquement au respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques)

Tout d’abord, la société CARREFOUR FRANCE n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. La société s’est rapprochée de toutes les personnes concernées durant la procédure.

Ensuite, dans plusieurs cas, la société n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Sur ce point également, la société a fait droit à toutes les demandes durant la procédure.

Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles. La société s’est mise en conformité durant la procédure sur ce point également.

Un manquement à l’obligation de traiter les données de manière loyale (article 5 du RGPD)

Lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que CARREFOUR BANQUE communique à « Carrefour fidélité » son nom, son prénom et son adresse de courrier électronique. CARREFOUR BANQUE indiquait explicitement qu’aucune autre donnée n’était transmise. La CNIL a pourtant constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants, bien que la société se fût engagée à ne transmettre aucune autre donnée.

Sur ce point, la société a modifié ses pratiques durant la procédure. Elle a entièrement refondu son parcours de souscription en ligne à la carte Pass et les personnes sont désormais informées de l’ensemble des données transmises à la société CARREFOUR FRANCE.

Les délibérations

> Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE 

> Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR BANQUE 

Pour approfondir

> La procédure de sanction

Les textes de référence

> Article 5 du règlement général sur la protection des données (principes relatifs au traitement des données personnelles) 

> Article 5.1.e du RGPD (conservation des données) 

> Article 12 du RGPD (transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée) 

> Article 13 du RGPD (informations à fournir lorsque des données personnelles sont collectées auprès de la personne concernée) 

> Article 15 du RGPD (droits de la personne concernée) 

> Article 17 du RGPD (droit à l’effacement ou droit à l’oubli) 

> Article 21 du RGPD (droit d’opposition) 

> Article 82 de la loi Informatique et Libertés (droits et obligations propres aux traitements dans le secteur des communications électroniques) 

> Article L34-5 du Code des postes et des communications électroniques 

Cookies : sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED

10 décembre 2020

Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’un montant total de 100 millions d’euros d’amende, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.

Le 16 mars 2020, la CNIL a effectué un contrôle en ligne sur le site web google.fr qui a permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.

Les manquements à la loi Informatique et Libertés

La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé trois violations à l’article 82 de la loi Informatique et Libertés :

Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur

Lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part.

Ce type de cookies ne pouvant être déposé sans que l’utilisateur ait exprimé son consentement, la formation restreinte a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service.

Un défaut d’information des utilisateurs du moteur de recherche google.fr

Lorsqu’un utilisateur se rendait sur la page google.fr, un bandeau d’information s’affichait en pied de page, portant la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ».

Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site. Cette information ne lui était pas non plus fournie lorsqu’il cliquait sur le bouton « Consulter maintenant ».

La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser.

La défaillance partielle du mécanisme « d’opposition »

Lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

La formation restreinte a donc estimé que le mécanisme « d’opposition » mis en place par les sociétés était partiellement défaillant, en violation de l’article 82 de la loi Informatique et Libertés.

La sanction prononcée par la formation restreinte

La formation restreinte a sanctionné la société GOOGLE LLC d’une amende de 60 millions d’euros et la société GOOGLE IRELAND LIMITED d’une amende de 40 millions d’euros, rendues publiques.

La formation restreinte a justifié ces montants au regard de la gravité du triple manquement précité à l’article 82 de la loi Informatique et Libertés.

Elle a également souligné la portée du moteur de recherche Google Search en France et le fait que les pratiques des sociétés ont affecté près de cinquante millions d’utilisateurs.

Enfin, elle a relevé les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.

La formation restreinte a pris acte que, depuis une mise à jour de septembre 2020, les sociétés cessent de déposer automatiquement les cookies publicitaires dès l’arrivée de l’utilisateur sur la page google.fr.

Elle a néanmoins relevé que le nouveau bandeau d’information mis en œuvre par les sociétés lors de l’arrivée sur la page google.fr ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

Dès lors, en complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.

Une compétence de la CNIL 

Dans sa délibération, la formation restreinte a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Elle a souligné ainsi que le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.

Elle a considéré qu’elle est également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours à des cookies est effectué dans le « cadre des activités » de la société GOOGLE FRANCE qui constitue « l’établissement » sur le territoire français des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED et y assure la promotion de leurs produits et services.

Elle a également estimé que les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED sont conjointement responsables dès lors qu’elles déterminent toutes les deux les finalités et les moyens liés à l’usage des cookies.

L’articulation de la sanction avec les travaux de la CNIL sur les cookies

Dans le cadre de son plan d’action sur le ciblage publicitaire et pour tenir compte de l’entrée en application du RGPD, la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. La CNIL a demandé aux acteurs de se conformer aux règles ainsi clarifiées, en estimant que cette période d’adaptation ne devrait pas dépasser six mois.

À cette occasion, elle a néanmoins précisé qu’elle continuerait notamment à contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes.

Les obligations dont la CNIL sanctionne aujourd’hui le non-respect par les sociétés préexistaient au RGPD et ne font donc pas partie de celles qui ont été clarifiées par les nouvelles lignes directrices et la recommandation du 1er octobre 2020.

Note : La société GOOGLE LLC, établie en Californie, développe le moteur de recherche Google Search. La société GOOGLE IRELAND LIMITED, dont le siège est en Irlande, se présente comme le siège européen du groupe Google. La société GOOGLE FRANCE est l’établissement en France de la société GOOGLE LLC.

Une amende de 35 millions d’euros pour H&M qui a stocké les données personnelles des salariés

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise.     

Une amende de plus de 35 millions d’euros a été prononcée contre l’enseigne H&M en Allemagne jeudi. Le groupe a été condamné pour avoir rassemblé et stocké des informations sur une centaine de salariés.

L’Allemagne a infligé jeudi une amende sans précédent de 35,3 millions d’euros au groupe de prêt-à-porter H&M, pour avoir enregistré des données privées de certains salariés à leur insu, a annoncé le centre de protection des données du pays jeudi.

« Large connaissance » de la vie privée des employés

« Une amende de 35 258 707,95 euros est requise contre H&M (…) pour une affaire de surveillance de plusieurs centaines de ses collaborateurs », a indiqué le Commissariat à la protection des données de Hambourg. Il s’agit du montant le plus important infligé par l’Allemagne à une entreprise au nom de la législation européenne sur la protection des données privées (RGPD), depuis son entrée en vigueur en 2018, a indiqué une porte-parole de l’institution.

Les autorités reprochent au groupe de prêt-à-porter d’avoir laissé des responsables d’un site H&M, à Nuremberg (sud), rassembler et stocker des informations sur leurs salariés, entre 2014 et 2019. « Certains de ces supérieurs ont acquis une large connaissance de la vie privée de leurs employés », a constaté le centre de protection.

Une erreur informatique

Après l’absence d’un collaborateur, les responsables du site organisaient systématiquement un entretien, traitant « des vacances », ou des « symptômes et diagnostics » du salarié, en cas de congés maladie. Ces informations étaient ensuite « enregistrées », stockées numériquement, et servaient à « établir des profils individuels ».

H&M insiste sur l’aspect « local » de ces pratiques

Les supérieurs obtenaient également des éléments de vie privée de leurs collaborateurs lors de discussions informelles, notamment sur des « problèmes familiaux », ou des « croyances religieuses ». Ces données étaient ensuite « disponibles à la lecture pour jusqu’à 50 responsables du groupe ».

Réagissant à la décision des autorités allemandes, la marque de prêt-à-porter a présenté ses excuses pour des faits qu’elle estime « non conformes aux directives et instructions » du groupe. H&M insiste sur l’aspect « local » de ces pratiques, et affirme avoir « signalé immédiatement les faits » aux autorités, après en avoir pris connaissance.

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise. 

L’Europe veut protéger la vie privée

Le Règlement européen de protection des données a renforcé les obligations des entreprises en termes de protection de la vie privée. Il prévoit des amendes pouvant aller jusqu’à 4% de leur chiffre d’affaires.

En 2019, l’Allemagne a déjà condamné le groupe immobilier Deutsche Wohnen à une amende de 14,5 millions d’euros pour avoir archivé des données sensibles de ses locataires. La France a de son côté infligé une sanction de 50 millions d’euros au géant de l’informatique Google, pour défaut d’information de ses utilisateurs de leurs données personnelles. L’amende la plus élevée a été infligée par le Royaume-Uni à la compagnie aérienne British Airways, qui a écopé en 2019 d’une sanction de 183 millions de livres (200 millions d’euros), pour un vol des données financières de centaines de milliers de ses clients.

TOUT SAVOIR SUR LA GESTION DES RISQUES ET LE RISK MANAGER EN FRANCE. UNE LECTURE DE Noel : « LA FONCTION RISK MANAGER : ORGANISATION, MÉTHODES ET POSITIONNEMENT » !  

Merci d’avoir suivi mon blog.

A la rentrée : retour sur le rôle du législateur-régulateur comme amplificateur de risques avec les premières sanctions pour infraction au RGPD, point sur le marché des assurances, le rôle des captives…

Je terminerai l’année civile sur ce conseil de lecture. Ce sera le dernier post avant 2021.

Lien vers l’ouvrage : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

ORGANISATION APPRENANTE : l’ ActeuR au coeur de la demarche de gestion des riSques

Continuons nos investigations sur les outils « hors contrôle » qui pourraient permettre aux RM français de mettre en place le « risk management intelligent» préconisé par Power (2004, 2007, 2009, 2016).

Je les développe dans l’ouvrage coécrit avec Nicolas Dufour. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Vous pouvez lire ou relire l’article du blog « Yves Rocher et les NeuroSciences » – Archives du blog Mai 2020 – ; l’article posté le 18 novembre relatif à L’ Organisation Apprenante, l’article posté le 24 novembre sur la nécessité elle aussi déjà proposé par Power d’émanciper les managers du déploiement d’informations sous la forme « d’outils formalisés, normés… » qu’il décrit comme une « addition de couches de pseudo confort donnant une illusion de confort. » (p.66 Aubry C., Dufour N., La Fonction Risk Manager)

Je vous propose aujourd’hui deux articles parus dans Harvard Business Review, écrits par deux chercheurs qui proposent de mettre l’acteur au cœur de la démarche : responsabilisation, confiance plutôt que contrôle, sanctions et méfiance de la DG.

Savoir augmenter la responsabilité sans susciter la méfiance

Il n’est jamais facile d’introduire un niveau accru de responsabilité dans une entreprise et bien trop souvent les personnes que vous souhaiteriez ainsi responsabiliser interprètent votre initiative comme une indication de votre manque de confiance en elles. C’est un problème que j’ai rencontré fréquemment après l’effondrement du bloc soviétique au sein des entreprises dans lesquelles le fonds de capital-investissement que je conseillais effectuait des placements.

Ceci me rappelle un exemple typique particulièrement frappant auquel j’ai été confronté avec l’équipe managériale d’un moulin de grande taille dont nous avions fait l’acquisition en Roumanie lors d’appels d’offres de privatisations. L’équipe s’était montrée méfiante dès le départ ; dans les anciens pays communistes les investisseurs occidentaux avaient la réputation de se débarrasser des managers en poste pour y installer les leurs.

Donc, bien que nous ayons laissé l’ancienne équipe managériale intacte, les responsables s’interrogeaient quant aux motifs sous-tendant tous les changements organisationnels que nous tentions de mettre en place. Ce fut cependant l’introduction du système des normes internationales d’audit employé par notre co-investisseur, le plus grand moulin grec, qui mis réellement le feu aux poudres.

Nous nous efforçâmes de convaincre le responsable du service comptabilité du moulin roumain que le marché boursier grec exigeait des entreprises membres qu’elles utilisent ce système, mais rien n’y fit. Il continua à soutenir que nous ne leur faisions pas confiance, à lui et à son équipe, et que ce système était juste notre manière de nous assurer que les gens du cru n’allaient pas nous escroquer.

L’ensemble de l’équipe managériale se sentait ainsi humiliée et blessée, ce qui commençait à avoir un sérieux impact sur le moral de tous. Quoi que nous fassions, il nous était tout simplement impossible de les convaincre que le système d’audit que nous souhaitions instaurer était identique à celui utilisé par le moulin grec et que cela n’avait donc rien à voir avec le fait que nous leur accordions notre confiance, ou non. Et comme m’avait alors dit un ami originaire du pays : « Plus tu essaieras de les convaincre avec des paroles, plus ils vont se méfier ».

Alors nous avons cessé les pourparlers et commencé à réfléchir et à agir. J’ai lancé le mouvement en partageant avec eux mon propre reporting mensuel concernant les performances du moulin, document destiné à l’équipe managériale du fonds de capital-investissement, en Grèce. Ils purent alors lire par eux-mêmes mon évaluation des perspectives et des problèmes ainsi que ce que je proposais pour avancer au mieux. Rien de ce qu’ils lurent n’était particulièrement surprenant mais ils étaient flattés que je partage un document aussi important avec eux. Plus important encore, cela leur donna le sentiment qu’on leur faisait confiance. Partant de cela, je me mis à leur demander conseil quant à la teneur du rapport, ce qu’ils interprétèrent, comme je l’espérais, comme un signe de respect de leur expérience.

Au bout de quatre mois, j’emmenai les trois plus hauts responsables du service comptabilité et finance au siège de notre partenaire, au Pirée, pour une visite d’une semaine. Sur place, ils purent constater par eux-mêmes que l’entreprise utilisait effectivement ce système pour ses propres moulins et que les auditeurs désignés par l’autorité grecque des marchés boursiers passaient en revue les résultats de tous les moulins. Nous avions en outre demandé aux managers du service financier du moulin grec de leur expliquer que la mise en œuvre d’un tel système comptable ne signifiait pas un manque de confiance à leur égard mais bien le contraire.

Cette visite permit non seulement à nos managers roumains de mieux comprendre la relation entre confiance et responsabilité, mais elle le convainquit également de notre sincérité. Ils apprécièrent l’accueil de leurs confrères grecs et la manière ouverte dont ils furent traités – sur un pied d’égalité. En outre, ils partirent emplis d’un nouveau respect pour le moulin de leur actionnaire principal, grand, moderne et bien géré, et commencèrent à se sentir fiers d’appartenir au même groupe. Ils étaient dorénavant convaincus que nous étions déterminés à maintenir l’équipe locale pour l’aider à devenir une partie intégrante d’un groupe plus conséquent.

Après notre retour, j’ai demandé à l’équipe locale de commencer à me soumettre des rapports similaires à ceux que j’établissais moi-même. Il leur fut un peu difficile, dans un premier temps, d’admettre ouvertement, à l’écrit, leurs omissions et leurs échecs ! Pour autant, ils se lancèrent et, avec le temps, commencèrent à reconnaître les avantages considérables qu’ils pouvaient tirer d’un tel suivi de leur propre productivité, à travers ces rapports. Ils apprirent en fait simplement qu’en se regardant dans le miroir afin de se voir tels qu’ils étaient réellement, ils comprendraient mieux ce dont ils avaient besoin afin de continuer à progresser.

Charalambos Vlachoutsicos

Les neurosciences de la confiance 

Les façons de manager qui encouragent l’engagement des salariés.

Les entreprises s’efforcent par tous les moyens de responsabiliser et de stimuler leurs employés. Elles sont angoissées par l’état déplorable de l’engagement et ce à juste titre, au vu de la valeur qu’elles perdent. En étudiant la méta-analyse de Gallup, basée sur des données accumulées pendant des décennies, on s’aperçoit qu’un engagement fort – c’est-à- dire avoir une bonne relation avec son travail et ses collègues, sentir que l’on apporte une véritable contribution et bénéficier de nombreuses opportunités d’apprentissage – mène constamment à des résultats positifs, à la fois pour les personnes et pour les organisations. Avec pour bénéfices une plus grande productivité, des produits de meilleure qualité et une rentabilité accrue.

Il est donc évident que cultiver un système axé sur les employés peut être bénéfique aux affaires. Mais comment faire cela efficacement ? Cette culture est généralement conçue autour d’opportunités comme des repas gastronomiques ou des soirées karaoké, souvent par soumission à une marotte de psychologue, de manière à répondre à des besoins spécifiques. Et malgré les preuves de l’impossibilité d’acheter une plus grande satisfaction liée à l’emploi, les entreprises passent tout de même des « menottes dorées » aux mains de leurs bons employés pour qu’ils restent. Alors que de tels efforts sont susceptibles de booster le bonheur sur le lieu de travail à court terme, ils ne parviennent pas à avoir un quelconque effet durable sur la performance ou sur la conservation des talents.

Dans mes recherches, j’ai découvert que c’est le développement d’une culture de la confiance qui fait la différence. Les employés des sociétés où le taux de confiance est élevé sont plus productifs, plus dynamiques au travail, collaborent mieux avec leurs collègues et restent plus longtemps avec leurs employeurs que les gens travaillant dans des sociétés dans lesquelles le niveau de confiance est bas. Ils souffrent moins de stress chronique et sont plus heureux dans leur vie. Ces facteurs alimentent une performance plus solide.

Les leaders comprennent les enjeux – du moins en principe. Dans son enquête mondiale réalisée auprès des P-DG en 2016, PwC a rendu compte du fait que 55% des P-DG pensent qu’un manque de confiance est une menace pour la croissance de leur entreprise. Mais la plupart font peu de choses pour accroître la confiance, principalement parce qu’ils ne savent pas vraiment par où commencer. Dans cet article, je fournis un cadre scientifique qui les aidera.

Il y a à peu près une décennie, dans un effort pour comprendre comment la culture organisationnelle affecte la performance, j’ai commencé à mesurer l’activité cérébrale des gens pendant qu’ils travaillaient. Les expériences en neurosciences que j’ai dirigées révèlent huit méthodes que les leaders peuvent mettre en place pour gérer efficacement une culture de la confiance. Je décrirai ces stratégies et expliquerai comment certaines organisations les utilisent à bon escient. Mais penchons-nous d’abord sur la recherche scientifique qui sous-tend le cadre général.

Ce qui se passe dans le cerveau

En 2001, j’ai trouvé une relation mathématique entre la confiance et la performance économique. Bien que mon article à propos de cette recherche décrivît les environnements sociaux, juridiques et économiques qui sont à l’origine des différences dans la confiance, je ne pouvais pas répondre à la question la plus élémentaire : pourquoi deux personnes se font-elles confiance de prime abord ? Des expériences menées dans le monde entier ont montré que les humains sont naturellement enclins à faire confiance aux autres – mais ne le font pas toujours. J’ai émis l’hypothèse qu’il devait y avoir un signal neurologique qui indiquait quand nous devions avoir confiance en quelqu’un. J’ai donc entamé un programme de recherche sur le long terme pour vérifier si cela était vrai.

Je savais que l’on avait mis en évidence chez les rongeurs une substance chimique appelée ocytocine qui leur signalait qu’ils pouvaient approcher un autre animal en toute sécurité. Je me suis demandé si c’était aussi le cas chez les humains. Personne n’avait fait de recherches à ce sujet, aussi ai-je décidé d’enquêter. Afin de mesurer objectivement la confiance et sa réciprocité (la fiabilité), mon équipe a utilisé une épreuve de décision stratégique développée par des chercheurs dans le laboratoire de Vernon Smith, lauréat du prix Nobel d’économie. Dans notre expérience, un participant choisit une somme d’argent à envoyer à un étranger via un ordinateur, sachant que le montant triplera et que le destinataire peut choisir de ne pas partager le butin. Là repose le conflit : le destinataire peut soit garder l’argent, soit se montrer fiable et le partager avec l’expéditeur.

Pour mesurer les niveaux d’ocytocine durant l’échange, mes collègues et moi avons mis au point un protocole pour faire une prise de sang aux participants avant et immédiatement après qu’ils aient pris la décision de se fier aux autres (s’ils étaient expéditeurs) ou de se montrer dignes de confiance (s’ils étaient destinataires). Parce que nous ne voulions pas influencer leur comportement, nous n’avons pas parlé du sujet de l’étude aux participants, même s’il n’y avait aucun moyen qu’ils puissent consciemment contrôler l’ocytocine qu’ils produisaient. Nous avons constaté que plus les gens recevaient d’argent (signifiant une plus grande confiance de la part des expéditeurs), plus leur cerveau produisait d’ocytocine. Et la quantité d’ocytocine que les destinataires produisaient prédisait à quel point ils seraient fiables – c’est-à-dire à quel point ils seraient enclins à partager l’argent.

Puisque le cerveau génère des messagers chimiques en permanence, il était possible que nous ayons simplement observé des changements aléatoires de taux d’ocytocine. Pour prouver que l’ocytocine était la cause de la confiance, nous en avons prudemment administré des doses synthétiques dans des cerveaux humains vivants (au moyen d’un spray nasal). En comparant les participants qui avaient reçu une vraie dose avec ceux qui avaient reçu un placebo, nous avons découvert que donner aux gens 24 UI d’ocytocine synthétique faisait plus que doubler la somme d’argent qu’ils envoyaient à un inconnu. En utilisant une variété de tests psychologiques, nous avons montré que ceux qui recevaient de l’ocytocine restaient cognitivement intacts. Nous avons également constaté qu’ils ne prenaient pas de risques excessifs dans des jeux d’argent (Iowa Gambling Task), donc l’augmentation de confiance n’était pas due à une désinhibition neurale. L’ocytocine ne paraissait faire qu’une seule chose – réduire la peur de se fier à un inconnu.

Paul J. Zak

Gestion des Riques et Outils de l’organisation Apprenante

Quelles en sont les grandes lignes et les outils pour que les RM français mettent en place le « risk management intelligent» préconisé par Power (2004, 2007, 2009, 2016) ?

Je les développe dans l’ouvrage coécrit avec Nicolas Dufour. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Je vous propose dans les articles suivants des pistes de réflexion pouvant s’appliquer à la gestion des risques. Vous pouvez lire ou relire l’article du blog « Yves Rocher et les NeuroSciences ». Archives du blog Mai 2020.

Vous pouvez lire ou relire l’article posté le 18 novembre relatif à L’Organisation Apprenante.

Je vous propose aujourd’hui un article sur la nécessité elle aussi déjà proposée par Power d’émanciper les managers du déploiement d’informations sous la forme « d’outils formalisés, normés… » qu’il décrit comme une « addition de couches de pseudo confort donnant une illusion de confort. » (p.66 Aubry C., Dufour N., La Fonction Risk Manager)

Emancipons les managers de la machine à reporting !

Tout change – sauf la manière de manager ?

Le monde change…  L’entreprise change… Les expressions « innovation permanente», « agilité organisationnelle» ou « adaptation à un monde globalisé » sont partout présentes. Mais si on parle volontiers des transformations des structures, de l’environnement ou des technologies, les discours sont moins clairs pour ce qui concerne l’évolution du travail des managers. Pourtant, n’est-il pas en train de changer radicalement lui aussi et même plus radicalement que tout le reste ? Car on ne pourra gérer l’entreprise de demain avec des outils supposés innovants, en s’appuyant sur la même façon de définir le rôle et le fonctionnement du management. Selon l’expression des théoriciens de l’Ecole de Palo Alto, on ferait alors « plus de la même chose » : plus de leadership, plus de contrôle, plus de performance, plus de normes ou plus de système d’information… et on compliquerait la gestion sans vraiment la transformer. Comme le notait Paul Watzlawick, le problème serait justement accru par la solution (P. Watzlawick, J. Weakland et R. Fish, Changements : paradoxes et psychothérapie, le Seuil, 1981). Or le problème aujourd’hui, c’est l’immobilisme dans la façon de manager dans un monde qui bouge. Et la solution, c’est le nouveau management qui la trouvera.

Bouleversements dans la création de valeur

Une telle situation n’est pas nouvelle. Déjà, lors des grandes crises économiques précédentes dans les années 1930 ou 1970, c’est le travail des managers qui, en se transformant, a permis la mutation des entreprises. Dans l’entre-deux-guerres, on a assisté à l’émergence du fordisme grâce à l’apparition d’un management qui savait gérer la production de masse. A partir des années 1970, sont apparues des organisations globales permises par un management à partir d’outils de gestion normalisés et, notamment, par la montée en puissance des financiers. Avec la crise des années 2010, nous sommes entrés dans une nouvelle période de transformation des entreprises due à leur définanciarisation : le contrôle systématique et la régulation centralisée des structures matricielles à partir de normes financières sont devenus beaucoup trop coûteux et trop imprécis pour être soutenables. Les systèmes de gestion informatisés représentaient 25% de l’investissement productif français à la fin des années 2000,  ce qui signifie que le quart de l’investissement ne créait pas d’autre valeur que de… contrôler la création de valeur. Les organisations doivent inventer des outils adaptées à des formes organisationnelles plus légères, plus souples.

Le travail humain, quelle que soit la fonction exercée, doit être considéré, non plus comme une ressource parmi d’autres, mais comme la clé de la création de valeur à partir de laquelle se détermine l’investissement. Parallèlement, des technologies issues du web et, bientôt de l’impression 3D obligent à reconcevoir l’organisation des chaînes de valeur d’industries entières, notamment en faveur de productions décentralisées, en très petites séries mais à forte valeur ajoutée locale. Enfin, dans un monde à la fois globalisé et fractionné, on demande à l’entreprise d’être non plus un simple producteur de biens et services, mais aussi une institution qui assure davantage de fonctions sociales et politiques qu’elle seule peut désormais fournir à la société, comme, par exemple, des services de formation voire d’éducation, de gestion des ressources, de sécurisation de l’information ou de régulation de la vie sociale, familiale et personnelle. Continuer de gérer de manière anonyme ou globale par écrans et ratios de gestion interposés, c’est un peu comme regarder la vie à la télé… Le manager doit sortir de son bureau, aller sur le terrain et organiser les activités en proximité avec les équipes. Sans quoi il risque d’apparaître rapidement aussi obsolète qu’un Minitel. Ce nouveau management nécessitera évidemment de vaincre des routines, des résistances… et aussi des impatiences.

Des managers concernés

Car je constate que ces transformations sont aussi attendues par beaucoup de managers, et à tous les niveaux hiérarchiques. D’abord parce que leur travail s’est particulièrement dégradé ces dernières années, qu’il atteint parfois une sorte de limite dans l’absurde. François-Régis Puyo, aujourd’hui chercheur à Audencia, a montré dans sa thèse que plus du tiers du temps de travail d’un cadre consiste à remplir ou discuter des reportings. Or, seules 10% des informations transmises sont utilisées. La crise du sens frappe, sans doute plus que les autres salariés, les managers qui sont à la fois les acteurs et les victimes d’un vaste système de contrôle aussi coûteux que vain. Si on parle de « souffrance au travail », il ne faut pas négliger qu’elle concerne nombre de gestionnaires, y compris au plus haut niveau, qui ont l’impression de travailler dans une absence grandissante d’intérêt pour ce qu’ils font. Pas étonnant que l’on constate une aspiration à s’émanciper de la machine à reporting, pour retrouver la valeur du travail d’encadrement, le développement des compétences et l’encouragement des hommes qui est, pour beaucoup, au cœur de leur vocation de manager.

Ensuite, l’Histoire avance et les entreprises les plus performantes se transforment déjà. Elles remettent en question la lourdeur des matrices organisationnelles et des systèmes de contrôle devenus aveugles à la « vraie vie » des entreprises. Elles introduisent davantage de décentralisation, de souplesse hiérarchique, et de subsidiarité dans leur fonctionnement. PME dynamiques ou grandes entreprises globales, ces entreprises, prennent au sérieux la création de valeur à partir du travail réel de leurs salariés et parfois d’autres parties prenantes comme les clients. Elles innovent vraiment en définissant le management comme un service au plus près de ce travail. En régénérant leur modèle, elles deviennent redoutablement performantes.

par Pierre-Yves Gomez

Economiste, docteur en gestion, directeur de l’Institut français de gouvernement des entreprises à l’EM Lyon. Il a été professeur et chercheur invité à la London Business School. Spécialiste des questions de gouvernance, il  a été à l’origine du code gouvernance des entreprises françaises cotées et directeur de la Société française de management.


Pour une approche globale technique et socio-cognitive de la demarche de gestion des risques. les outils de l’organisation Apprenante

Dans l’article de recherche sur lequel je travaille actuellement j’écris :

« Préférer une logique de soutien à la logique de contrôle qui prévaut à la mise en place de la gestion des risques transformerait la Fonction Risk Manager en instrument de légitimité cognitive. L’accès des RM au terrain serait facilité ; les obstacles associés à la logique de contrôle (manque de communication interne en direction des opérationnels, méfiance vis-à-vis des opérationnels, manque de motivation, de disponibilité et inertie des opérationnels, poids de la sanction venant de la direction) seraient allégés. Cette première dynamique passe par la mise en place d’une approche globale technique et socio-cognitive (Chautru, 2008 ; Aubry et Montalan, 2007). »

Cette idée m’est chère. Elle ressort des entretiens que j’ai pu mener avec des RM. Elle rejoint la mise en place du « risk management intelligent» préconisés par Power (2004, 2007, 2009, 2016) pour que le CRO passe d’un profil de contrôleur à celui de « champion du risque », trajectoire qui constitue un bon indicateur pour la FRM française[1]

Je les développe dans l’ouvrage coécrit avec Nicolas Dufour. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Quelles en sont les grandes lignes et les outils ?

  • Orientation de la démarche vers les acteurs de l’entreprise et participation des opérationnels à l’analyse des risques (à l’élaboration des cartographies) via une implication active, l’adoption d’un mode de gestion top-down, le développement d’une communication et d’une information sur les risques.
  • Déploiement d’outils de gestion des connaissances, tels que l’apprentissage, l’analyse rétrospective d’accidents et d’erreurs, le retour d’expérience.
  • Traitement de la question de la sanction.
  • Un prochain travail de recherche proposera un cadre théorique d’analyse de cette approche technique et socio-cognitive et de ses outils, nous permettant d’interroger les RM sur les outils qu’ils ont mis en place ou pourraient mettre en place.

En attendant je vais vous proposer dans les semaines à venir quelques lectures en lien avec cette problématique.

  • Vous pouvez relire l’article du blog « Yves Rocher et les NeuroSciences ». Archives du blog Mai 2020
  • Vous pouvez lire ci-dessous un article relatif à L’Organisation Apprenante. Il propose des pistes de réflexion pouvant s’appliquer à la gestion des risques.

Comment devenir une organisation apprenante

Le 08/07/2020

C’est bénéfique pour le collaborateur et pour l’entreprise.

Dans un monde où le rythme des changements et l’obsolescence des compétences s’accélèrent, où la révolution technologique fait émerger des enjeux inédits de « upskilling-reskilling », où l’évolution des marchés – et des évènements comme la crise sanitaire – imposent une adaptation permanente, progresser en tant que « learning company » est plus que jamais un avantage distinctif. A partir de pratiques recueillies auprès de plus de 50 grands groupes et startups à forte croissance, ainsi que de travaux de recherche, voici un cadre de réflexion et d’action pour ancrer des dynamiques apprenantes dans sept moments clés de l’expérience collaborateur.

1- Intégration

C’est une étape décisive pour accroître la rétention des salariés, en impulsant un rythme d’apprentissage sur plusieurs mois (débutant même avant le premier jour). L’objectif est de :

– faciliter une appropriation de la vision et du métier : « welcome pack » apprenant (livres ou objets suscitant une réflexion en lien avec les valeurs de l’entreprise, par exemple) ou atelier pour s’entraîner à présenter en quelques mots son entreprise. C’est le cas dans la startup ContentSquare, où chaque salarié reçoit une certification liée à l’utilisation de la solution de l’entreprise, à l’issue de ses deux jours d’onboarding.

– susciter, dès le début, une culture du partage et du mentoring, grâce à un accompagnement par un ou plusieurs parrains/marraines, comme chez Buffer (spécialisé dans la publication et l’analyse des campagnes sur les réseaux sociaux), qui abordent avec les nouveaux venus des sujets tels que la culture d’entreprise, l’expertise métier et le management.

– inciter à réfléchir sur soi et son développement professionnel, en intégrant un test de personnalité, un « livret de développement » ou encore des questions réflexives sur sa capacité à apprendre, à partager et à grandir dans l’organisation, comme le fait dès l’entretien de recrutement l’organisme de formation Numa.

2- Les formations internes

Au-delà des programmes formels et des ressources digitales mises à disposition, il est important de créer les conditions pour autoriser, voire sanctuariser, des « espaces-temps » d’apprentissage. Pour cela, il faut instaurer des :

– rituels courts et périodiques, du type « breakfast/lunch & learn », y compris virtuels : des moments d’inspiration avec des intervenants internes ou externes qui partagent leurs « bonnes » pratiques, ou encore des « ateliers philosophiques » sur des thèmes comme l’intelligence collective, comme chez L’Oréal, à destination de la communauté RH ;

– « learning days », organisés dans différents pays et ouverts à tous, combinant des moments d’inspiration en lien avec la stratégie business ou RH, des formations souvent animées en interne, des échanges entre les participants, le tout autour d’une thématique spécifique – comme « we love learning » chez Natixis ;

– événements combinant apprentissage et intelligence collective, comme un hackathon biannuel où les collaborateurs sont invités à imaginer, en équipes pluridisciplinaires et internationales, des réponses à des problématiques business ou sociétales, comme le fait la licorne irlandaise Stripe, la nouvelle plateforme de paiements en ligne.

3- L’auto-apprentissage

L’enjeu est aussi de créer les conditions de responsabilisation des collaborateurs dans leur développement, en écho avec la notion de « maîtrise personnelle », proposée par Peter Senge (directeur du « Center for Organizational Learning », au MIT, et auteur du livre de référence sur l’organisation apprenante « The Fifth Discipline »), pour engager les salariés dans une dynamique permanente d’auto-apprentissage. Cela nécessite en particulier de :

– favoriser la connaissance de soi par des outils et des exercices d’introspection, et proposer des formations pour « apprendre à apprendre » ;

– diffuser régulièrement des offres de formation qui soient personnalisées, en fonction du profil et des intérêts de chacun, en utilisant comme le fait Google des « people analytics » ;

– offrir des « journées de développement », sous forme de « menu » (participation à des conférences ou à des salons, mécénat de compétences), ou encore des « cool days », comme le propose une fois par mois à ses collaborateurs la startup Comet.

– multiplier les approches d’accompagnement individuel : « coaching bar » le vendredi matin, « speed-coaching » avec des coachs externes disponibles par visioconférence, ou encore mise à disposition de coachs internes, comme chez le nouvel assureur santé Alan.

4- L’apprentissage social

L’apprentissage est social par nature : chacun peut être apprenant et formateur auprès de pairs, et cette forme d’apprentissage contribue, deux fois plus que la formation traditionnelle en salle, à l’acquisition de nouvelles compétences et expertises. Comment l’encourager encore davantage ? Il faut pour cela :

– déployer des dispositifs de formation de « peer to peer » et de mentoring à grande échelle pour accélérer le partage de compétences métiers et/ou comportementales entre pairs, comme le fait Air France sur sa communauté de managers ; ou mettre en place des réseaux d’échanges métiers permettant de trouver rapidement la solution à un problème rencontré, comme chez Generali ;

– mettre en place des groupes de co-développement, en présentiel ou à distance, internalisés mais aussi inter-entreprises sur des thématiques ou populations ciblées du type business developers ou responsables marketing, comme le fait la startup iAdvize.

– susciter le partage post formation, comme le propose le « Gandalf Scholarship » de DBSBank, grâce auquel tout collaborateur peut recevoir 1000 dollars pour une formation professionnelle de son choix, à condition de partager ses enseignements à minimum dix personnes.

5- Les modes de travail

Selon une étude récente de France Stratégie (« Les organisations du travail apprenantes : enjeux et défis pour la France », avril 2020), les organisations du travail qui sont réellement apprenantes, notamment en milieu industriel, se caractérisent par trois critères : l’autonomie des collaborateurs, la polyvalence et la résolution de problèmes en équipes. Les départements formation peuvent équiper les managers et leurs équipes pour favoriser de telles pratiques, en mettant en place notamment :

– des rituels d’apprentissages en équipe : temps d’inclusion au début des réunions (comme la « météo personnelle », particulièrement utile en situation de crise), valorisation des efforts (« qu’est-ce qui vous a rendu fiers ce mois-ci ? »), points réguliers sur le fonctionnement d’équipe (présence, place aux questions et émotions,…), sans oublier les « retours d’experience » pour apprendre des succès et des échecs, comme le rituel « Fail, learn, succeed » de Blablacar ;

– des modes de travail propices à l’intelligence collective et à l’innovation, des outils de collaboration, des environnements propices tels que les « creativity rooms », dédiées à l’innovation, ou les murs en « velleda » pour les brainstormings et le management visuel, comme le fait Qonto, la néobanque des entreprises et des indépendants.

6- Le rôle du management

Le rôle du manager d’équipe est clé en matière d’apprentissage individuel et collectif. A condition que ce rôle soit clair, et soutenu par des formations et des outils pour :

– accompagner le développement des collaborateurs : se mettre dans la posture de « manager coach », développée notamment chez Criteo, et intégrer des « boucles d’apprentissage » dans les points réguliers avec les équipes en utilisant, par exemple, la règle du « 5/0/5 » (de Charles Jennings, co-fondateur du « 70 :20 :10 Institute ») : prendre cinq minutes avant une formation d’un collaborateur pour échanger sur son besoin, zéro minute pendant sa formation, et à nouveau cinq minutes après pour décider de la mise en oeuvre des apprentissages reçus ;

– aider à se projeter sur le moyen terme : « conversations de développement », comme chez Danone, pour amener chaque collaborateur à révéler ses talents – avec un guide introspectif -, réfléchir à son projet professionnel et bâtir un plan de développement ;

– instaurer des « moments d’apprentissage » réguliers : au sein d’une équipe (tous les trimestres, par exemple, chez Leroy Merlin), afin d’apprendre ensemble sur une nouvelle thématique ou de réaliser un partage d’expérience ; ou plus largement, des rituels d’entreprise, comme « DEAL – Drop Everything And Learn » chez le spécialiste de la formation en ligne Udemy.

 7- La mobilité interne et externe

L’évolution de carrière et l’expérience opérationnelle sont parmi les plus importantes sources d’apprentissage. Comment multiplier les occasions ? Grâce notamment à :

– des programmes d’immersion en externe (startups, associations…) ou en interne, comme « l’Open Talent Market » mis en place par Schneider Electric, qui vise à créer des liens entre les souhaits de développement des collaborateurs et les opportunités de vivre une nouvelle expérience, au sein de l’entreprise : missions à temps partiel ou à temps complet, contribution à un projet, rôle de formateur ;

– des entretiens approfondis lors des départs, afin de clôturer positivement la collaboration et améliorer, grâce aux feedbacks, l’expérience collaborateur – et ainsi la marque employeur – comme chez ManoMano, le leader du bricolage en ligne, où tous les départs sont célébrés ;

– l’animation d’un réseau d’anciens, permettant aux alumni de continuer à se développer en s’appuyant sur cette communauté, et à l’entreprise de bénéficier d’un réseau d’ambassadeurs, voire de formateurs expérimentés, à l’image de McKinsey qui fédère un réseau de 34 000 alumni à travers le monde.

Si la question « pourquoi devenir une organisation apprenante ? » est du ressort de chaque entreprise, celle du « comment » fait appel à plusieurs dimensions, qui sont, elles récurrentes : la vision (source de motivation intrinsèque pour les individus et les équipes), la culture (pour instaurer un « growth mindset »), les politiques de formation bien sûr, et enfin l’organisation et le management, une dimension bien souvent trop peu exploitée et pourtant clé dans les dynamiques d’apprentissage.

Par Thierry BonettoMorgan Baivier de Fortis


[1] La fonction est ancienne et les acteurs sont déjà structurés ; créée par General Electric en 1993, elle est présente dans la majorité des grandes entreprises (dans tous les secteurs) ; elle est promue par trois associations professionnelles (International Federation of Risk and Insurance Management Association (IFRIMA), Public Risk Management Association (PRIMA), Risk and Insurance Management Society (RIMS)) qui assurent sa diffusion en déployant leurs actions dans trente pays, proposant des formations qualifiantes et assurant des certifications de compétences identifiées et reconnues par les entreprises. Elle fait l’objet d’une littérature abondante.

Cloture du CYBERMOIS : L’apprentissage par le jeu comme outil de sensibilisation des equipes à la Cybersecurité

La mise en place par certains Risk Managers d’outils hors contrôle tels que le retours d’expérience, les réunions, la responsabilité des opérationnels, l’appropriation des outils permettraient aux Risk Managers d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable ; elle est le « graal » de la légitimité.) Nous évoquons ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96).

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

L’apprentissage par le jeu fait notamment son apparition pour sensibiliser les équipes à l’enjeu de la cybersécurité.

Je vous propose ci-dessous pour clôturer le Cybermois :

  1. Un jeu proposé par l’ANSII pour vous tester
  2. Un article sur l’apprentissage de la cybersécurité par les serious games

Pour clôturer le Cybermois, l’ANSSI propose cet apprentissage par le jeu.

ILLUSTRATION

C’est à vous de jouer !
Pour la dernière semaine du #Cybermois, Léa, alias Dark Sissi, cherche de nouvelles victimes sur #Internet … Qui va-t-elle cibler aujourd’hui ? #cybersécurité #rançongiciel
Et vous, que feriez-vous ?
➡️ https://lnkd.in/dDh_eNr

Et vous, que feriez-vous ?

cybermois.fr • Lecture de 1 min

Pour clôture le Cybermois, je vous propose de découvrir l’univers des serious games :

Sensibilisation à la cybersécurité : les serious game tirent leur épingle du jeu

Vous souhaitez familiariser vos collaborateurs aux enjeux de cybersécurité de votre entreprise ? En les sensibilisant par le jeu plutôt que par des sessions de formation classiques, il devient possible de susciter leur intérêt et d’améliorer leur apprentissage. Bonnes pratiques.

Pour sensibiliser leurs équipes à ces épineuses questions, les entreprises recourent traditionnellement à des sessions de formation. Le décor : une salle de réunion peuplée de collaborateurs plus ou moins attentifs. Sur scène : un formateur faisant défiler les slides d’une présentation avec le rythme d’un métronome. Ce format comporte de nombreuses limites, notamment celle de devoir assimiler un très grand volume d’informations en un temps restreint. La session présentielle étant peu interactive, les participants se sentent moins impliqués, ce qui influe sur la quantité d’informations retenues

e-Learning, la panacée ?

Avec la démocratisation du e-learning dans les années 2000, les entreprises ont pu affiner leur stratégie de formation, avec la possibilité d’inclure des cas pratiques concrets, et proposer ces modules à un grand nombre de salariés, permettant à chacun de se former au moment qui l’arrange. Cependant, l’e-learning à lui seul reste insuffisant. Rapidement lassés par un format redondant, les apprenants finissent par faire défiler les modules de manière automatique, sans assimiler les contenus. Tout miser sur l’e-learning serait donc une erreur.

Pour impliquer les collaborateurs, les méthodes d’apprentissage les plus ludiques tirent aujourd’hui leur épingle du jeu. Celles-ci permettent de mémoriser des informations sans s’en rendre compte. Il est ainsi conseillé de miser sur une approche plus informelle, en imaginant des campagnes de sensibilisation marquantes, fondées sur le jeu, renforçant la cohésion d’équipe.

Pour marquer les esprits, le mieux est de simuler par le jeu les conséquences d’une attaque informatique. Il peut s’agir par exemple de démonstrations de piratage d’outils bureautiques, via de fausses campagnes de phishing ou des prises de contrôle de PC à distance. Pour un public évoluant au sein d’environnements industriels, le piratage de maquettes SCADA est aussi très visuel et montre très bien l’impact d’une cyberattaque sur une chaîne de production.

Questions pour un cyber-champion

Parce que le sel du jeu, c’est la compétition, organiser un challenge entre les collaborateurs au cours d’une session de formation permet de dynamiser l’apprentissage et de faciliter l’appropriation des messages-clés. Plusieurs formats peuvent inspirer les entreprises. Ainsi, le code de la cybersécurité reproduit les sessions du code de la route, en mettant à disposition des participants une télécommande pour répondre à une question parmi quatre propositions. Ces séances sont l’occasion d’aborder les bonnes pratiques du quotidien comme le verrouillage des sessions, la politique de mots de passe ou les bons réflexes en cas d’impression d’un document.

Les collaborateurs peuvent également s’affronter autour de Questions pour un cyber-champion : 200 questions traitent des bases de la cybersécurité, des simples bonnes pratiques pour protéger ses données personnelles, en passant par des thèmes plus difficiles abordant les protocoles sécurisés, les attaques informatiques, ou les équipements de sécurité, etc.

Jeu de cartes, escape game : les vertus de l’apprentissage en équipe

L’apprentissage collaboratif compte parmi les solutions les plus efficaces. La discussion permet en effet de reformuler les notions, facilitant ainsi leur appropriation. Ce travail d’équipe va également participer au renforcement des liens entre les salariés. Orange Cyberdefense a par exemple conçu un jeu de cartes pour découvrir les menaces liées à la navigation sur Internet. Chaque joueur doit déjouer les attaques informatiques de ses adversaires en mettant en œuvre les bonnes pratiques de sécurité.

Pour aller plus loin, un escape game au cours duquel les participants se mettent dans la peau d’un espion offre une expérience encore plus réaliste. Par équipe de cinq, ils doivent voler une formule secrète en moins d’une heure, en tirant parti des mauvaises pratiques de sécurité (mots de passe, mauvaise manipulation de documents, etc.).

Ces vecteurs de sensibilisation ludiques et innovants viennent ainsi compléter les approches plus traditionnelles utilisées en entreprise. Ce type de démarche suscite un intérêt particulier auprès des équipes qui enrichissent leur culture en cybersécurité et adoptent des comportements plus vertueux.

Notes : *Intermedia, 2017, Data Vulnerability Report

Risque perçu versus Risque objectif. De l’importance des biais cognitifs

Merci à Emmanuelle Hervé de mettre l’accent sur la subjectivité du risque. Le risque perçu (trop souvient oublié au profit du risque objectif) dépend en effet de la position de l’agent dans son exposition au risque et/ou sa psychologie. La question de la subjectivité montre le rôle des biais cognitifs et des représentations dans l’appréhension des dangers par les acteurs économiques. Elle intervient notamment dans la relation entreprise/acteurs de la société civile ; dans la perception par l’entreprise des risques qu’elle encoure. Cette prise en compte est compliquée mais indispensable pour le Risk Manager. C’est une voie que nous explorons avec N.Dufour dans notre ouvrage « La Fonction Risk Manager. organisation, Méthodes et Positionnement ». Celui-ci est Disposible ici : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Voir également les travaux d’Olivier Sibony, professeur à l’HEC, spécialiste en résolution de problèmes, en prise de décision et expert en stratégie, dans une conférence virtuelle intitulée : comprendre les biais cognitifs en pleine crise du coronavirus. Celle-ci est disponible ici : https://www.youtube.com/watch?v=wDD4h-_TgQs.

COVID-19 : COMMENT LES BIAIS COGNITIFS ONT PERTURBÉ LA GESTION DE LA CRISE

Emmanuelle Hervé

 « Les biais cognitifs, parfois aussi appelés “illusions cognitives”, sont un ensemble d’erreurs de raisonnement qui diffèrent du simple oubli ou de l’erreur de calcul. Les biais cognitifs sont observables lorsque, dans une certaine situation, un sujet commet une erreur de raisonnement en recourant à une heuristique plutôt qu’à une loi logique et forme ainsi une croyance injustifiée, voire fausse ».

Source : https://encyclo-philo.fr/a-propos-le-vrai/

Pourquoi prenons-nous des mauvaises décisions ? Pourquoi des personnes compétentes, pleines de bonnes intentions entreprennent des actions qui nous semblent bonnes mais qui se révéleront désastreuses pour l’avenir d’une entreprise par exemple ? Pourquoi nous sous-estimons ou au contraire surestimons une crise ?

Ce sont les travers des biais cognitifs. Ces erreurs, déclinées en plusieurs catégories, sont particulièrement notables en temps de crise. 

Nous sommes tous de potentielles victimes de nos biais cognitifs. Nous avons tendance à sous-estimer les risques qui ont certes une probabilité d’occurrence relativement faible, mais qui ont pourtant un impact, humain, financier, ou encore réputationnel très important. On pourrait citer ici les accidents nucléaires, les crashs d’avions, etc. Nous nous y préparons donc, et à tort, trop peu. C’est ce que Thaleb conceptualise autour du « cygne noir ».

Aujourd’hui, nous retrouvons sur toutes les plateformes que nous scrutons, des extraits vidéo, où des scientifiques, des spécialistes, des politiques, minimisaient le risque d’une épidémie dans notre pays. En effet, il y a trois mois, une épidémie semblait impensable sur notre sol.

« On sait que ce virus est peu mortel »

Christophe Prudhomme, porte-parole des médecins urgentistes.

Comment pouvons-nous expliquer ces prises de parole, où la peur et le déni, semblaient déformer notre perception de la dangerosité du virus. Regardons de plus près les différents biais décrits par Olivier Sibony, dont nous avons tous été victimes pendant cette crise :

  • Le modèle mental :

Nous avons tous vu, si ce n’est ressenti, cet irrépressible besoin de comparer ce virus à un modèle que nous connaissions, ou qui s’en rapprochait. Instinctivement, en France, nous nous sommes rappelés de la grippe A/H1N1 en 2009, rapidement maitrisée. À l’époque, nous avions agi vite et fort, avec les campagnes de vaccinations et les réserves de masques. Nous nous sommes souvenus qu’il ne fallait pas surréagir, la population, les médecins et les spécialistes, ont ce même souvenir. En Chine, le souvenir était celui du SRAS, d’où une réaction beaucoup plus forte et appropriée.

  • Le biais de croissance exponentielle :

Comment appréhender une croissance exponentielle ? Nous voyons une courbe de cas, de décès ; on sait qu’elle va augmenter, mais on la sous-estime.

Dans cette crise, la courbe des décès est exponentielle dès le début. Prenons un exemple simple, au début de la crise, le Pr. Jérôme Salomon annonce dans ses points quotidiens un doublement du nombre de cas tous les trois jours. On sous-réagit à l’exponentielle, car au début, on parle de chiffres de 3 ; 5 ; 8 individus… On s’éloigne encore de la prise de conscience en se persuadant que la situation, au vu de ces premiers chiffres, n’est après tout pas si grave.

  • L’endo-groupe, apprendre de l’expérience des autres ?

Nous avons tous un jour pensé et cru que « cela n’arrivait qu’aux autres », « ça ne peut pas arriver chez nous ». Nous sommes convaincus que notre endo-groupe est différent de l’exo-groupe.

Les Italiens par exemple, ont jugé irréaliste le comportement de leur voisin français lorsque le premier tour des municipales a été maintenu. Chaque pays ne peut pourtant pas gérer cette crise de la même façon, et nous trouvons des explications pour nous éloigner encore de la prise de conscience de la gravité de la situation. Selon Bolsonaro, les Brésiliens sont plus solides que les autres ; pour les Américains, il est bien entendu impossible d’attraper un virus chinois, probablement d’ailleurs une nouvelle machination orchestrée par les démocrates…

Toutefois, il est fondamental de se garder d’émettre des jugements hâtifs. Nous sommes tous concernés, de manière universelle, bien qu’il existe des différences sur certaines questions selon les cultures et les genres, elles n’influent que très peu sur les biais.

  • Le biais d’excès de confiance

Nous avons tendance à faire confiance aux estimations et à les suivre, surtout en temps de crise. Pourtant, nous les surestimons ou nous les sous estimons… L’exemple étasunien est ici notable. Lorsque de grands scientifiques ont été amenés à devoir donner une estimation du nombre de cas dans les 12 jours, ils ont répondu collectivement qu’il s’élèverait à environ 19 000.

Seulement, 12 jours plus tard, le chiffre s’élevait à 120 000 cas. Les meilleurs experts dont le pays disposait se sont donc tous trompés. De plus, il faut noter que ces professionnels ont vu d’autres épidémies, et des réactions qui ont pu s’avérer disproportionnées. Ils ont ainsi une responsabilité de prévenir mais aussi de ne pas semer de panique devant tant d’incertitudes.

  • Le biais social ou le biais d’imitation

Des parcs bondés, des plages occupées, des réunions entre amis, ces gens qui font comme si tout allait bien, ne peuvent tout de même pas se tromper ? Si ? La situation ne doit pas être aussi grave en fin de compte… Le 15 mars, le confinement que nous vivons actuellement nous semblait impensable. Aujourd’hui, c’est la norme, nous l’acceptons et nous nous y conformons (du moins la plupart d’entre nous s’y conforment et heureusement), d’ailleurs nous assistons même aujourd’hui à des dénonciations de ceux qui ne semblent pas le respecter. Ce modelage des habitudes montre que nous faisons comme les autres, nous sommes influencés et nous imitons le comportement des uns et des autres.

Mais sachant tout cela, comment fait-on pour éviter les biais qui altèrent notre jugement ?

Les biais cognitifs sont des erreurs dont nous n’avons par principe pas conscience sur le moment. Ce sont des réalités qu’on ne peut pas éviter tout seul.

C’est une leçon d’humilité, nous ne sommes pas à l’abri d’en être victime. Cette fatalité est amplifiée par les médias, que nous consommons particulièrement régulièrement pendant cette période. Ils ont un rôle non négligeable dans ces biais. Ils nous poussent à nous retrancher dans le « système 1 », une pensée rapide, permanente, qui ne nous aide certainement pas à prendre du recul. M. Sibony nous rappelle d’ailleurs que 80 % du temps d’antenne des médias sont centrés sur le Covid-19, mais à nous de nous gendarmer sur cette activité.

On prend conscience aujourd’hui qu’il aurait fallu agir dès les premiers cas de décès déclarés.

À cause du mécanisme des biais, la prise de conscience se fait malheureusement par palier, nous avons donc tous un temps de retard. Aujourd’hui on ne comprend pas pourquoi les municipales en France ont été maintenues, on conçoit qu’il s’agissait, même avec des précautions, d’un facteur supplémentaire de propagation de l’épidémie.

Pourtant, avant le confinement, les réactions sur une possible annulation des élections étaient vives… On a pu entendre notamment la comparaison d’une annulation avec un « coup d’État ». Ce sont pourtant ces mêmes personnes qui aujourd’hui sont révoltées et qui jugent l’action gouvernementale tardive. C’est un véritable paradoxe, mais l’acceptabilité, se fait par palier.

Après avoir sous-réagit, on sur-réagit, tout s’emballe ! Il est difficile dans une situation de crise de revenir à un raisonnement patient et rationnel.

Nous allons également devoir penser à l’après, ce qui nous semble difficile car le bilan s’alourdit. De nombreuses personnes vont mourir, et sont en train de mourir, cela se passe maintenant, c’est tangible. Au-delà de La Peste de Camus il faut aussi anticiper Les Raisins de la colère de Steinbeck, même si cela peut sembler indécent. Car la crise économique qui se profile représentera également de nombreuses cassures et causera de multiples blessures dans la société. Le désespoir est déjà très important, on peut le voir aux États-Unis par exemple, où une partie de la population préfère prendre le risque d’un déconfinement immédiat, plutôt que de subir par la suite une violente crise économique, qui engendrera indubitablement une autre crise sanitaire. Finalement, cette crise est plus abstraite, moins tangible, moins urgente, mais on doit y réfléchir.

Malgré la pression médiatique il ne faut pas avoir le sentiment de choisir entre une crise sanitaire ou une crise économique, mais devoir réfléchir aux impacts sur le bien-être global des choix que nous devrons faire à la sortie de cette crise. En d’autres termes, « il faut prendre de la distance pour sauver des vies après. »

Sortir de la crise

Pour sortir de cette crise, nous allons devoir faire des choix, mais aucun ne permet de garantir une sécurité totale. Aucun schéma ne nous garantira de mettre tout le monde à l’abri.

En fait, M. Sibony décrit quatre niveaux d’incertitudes dans lesquels nous nous retrouvons :

  1. Combien de gens sont infectés, combien l’ont été ? etc.
  2. À quelle vitesse le virus se transmet, comment exactement ? Dans quelle mesure il sera saisonnier ? L’immunité est-elle définitive ?
  3. Combien de temps va durer le confinement, quel impact sur la paix et sur le tissu social aurait-il ?
  4. Est-ce que les gouvernements ont fait assez ? Notre consommation va-t-elle changer après ?

Personne ne sait aujourd’hui comment nous sortirons de cette crise, et quelle image aura la société après celle-ci. On peut formuler de multiples scénarios tant le niveau d’incertitude est grand. Pourquoi ne pourrait-on pas envisager une récession comme en 1929 ? Il faut ici repenser à Socrate après tout « Tout ce que je sais c’est que je sais que je ne sais rien ».

Pour la sortie du confinement, les mêmes interrogations se posent, et encore une fois plusieurs scénarios sont envisageables. Il y aura probablement des confinements successifs, mais dans ce cas-là ils pourront être difficiles à faire respecter ? Un déconfinement par catégories, qui pose des problèmes éthiques ? Un déconfinement progressif à commencer par les personnes qui sont supposément immunisées après avoir été guéries du virus ?

Chaque système a ses failles, la seule solution reste un remède, un vaccin. Il est ici temps de revenir sur un autre biais, dont nous serons forcément victimes à la fin de cette crise.

  • Le biais rétrospectif

Il n’y a rien de plus facile que de regarder le présent à la lumière du passé, on reprochera de toute manière au gouvernement la gestion de cette crise. Quel que soit le bilan. S’il y a 30 000 morts, nous conclurons que nous avons surréagi. Si le bilan s’élève à 300 000, nous conclurons que ce qui a été mis en place n’aura servi à rien, et qu’on peut qualifier de criminel, ce qui a été mis en place.

Dans l’après, nous aurons du mal à imaginer l’incertitude dans laquelle nous nous trouvons aujourd’hui. Et nous serons alors, forcément victimes du biais rétrospectif.

C’est ce que nous enseigne Olivier Sibony, professeur à l’HEC, spécialiste en résolution de problèmes, en prise de décision et expert en stratégie, dans une conférence virtuelle intitulée : comprendre les biais cognitifs en pleine crise du coronavirus. Celle-ci est disponible ici : https://www.youtube.com/watch?v=wDD4h-_TgQs.

Nous vous avons proposé un résumé de cette excellente et très instructive intervention. De celle-ci, nous avons dégagé cinq leçons pour tenter de mieux appréhender ces biais, de les connaître, et savoir qu’ils peuvent nous induire en erreur.

  1. Connaître et savoir identifier les biais dont on peut être victime est une bonne chose. Mais le mieux, c’est aussi de regarder les faits plutôt que les raisonnements par analogie. Il faut se munir d’une humilité devant les faits, s’entourer d’une diversité de points de vue.
  2. Paniquer ne vous aidera pas. En France, nous suivons les ordres du pouvoir central. Dans d’autres pays, les universités par exemple ont fermé avant que ce soit obligatoire (c’est le cas des États-Unis), on a pu observer également des initiatives prises par des populations, confinées avant que les mesures gouvernementales de les y obligent (c’est le cas de l’Ukraine).
  3. Personne ne sait rien, tout le monde fait des probabilités. Accepter l’incertitude est fondamental.
  4. Se préparer, apprendre à anticiper est indispensable.
  5. Accepter que le risque zéro n’existe pas ; les biais ont beau être connus, ils ne sont parfois pas pris en compte, parfois oubliés. Nous restons humains, faillibles, c’est pour ça que les meilleurs épidémiologistes peuvent se tromper.

Emmanuelle Hervé. Juin 2020

 

 

 

Initiative intéressante du groupe Y. Rocher : avoir recours aux neurosciences pour gérer les risques.

La mise en place d’outils hors contrôle tels que le e-learning, le retour d’expérience, les formations, la responsabilité des opérationnels, l’appropriation des outils permettent en effet d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable) ; elle est le « graal » de la légitimité. Nous évoquons cette approche technique et socio-cognitive dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96). https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Gestes barrières : le groupe Yves Rocher forme ses salariés grâce aux neurosciences

Pour s’assurer du respect des gestes barrières dans l’entreprise, le groupe Rocher (Yves Rocher, Petit Bateau, Stanhome…) a fait appel aux services d’un spécialiste de « l’ancrage mémoriel« , la société Woonoz.

Par Sylvaine Salliou. Publié le 12/05/2020

Depuis ce lundi 11 mai, les 2.000 salariés bretons du groupe Rocher sont à nouveau accueillis progressivement sur les sites de production, dans le Morbihan et au siège à Rennes. « On compte quelques dizaines de salariés sur chaque site de production, car le recours au télétravail reste massif« , selon Régis Rougevin-Bâville, directeur qualité du groupe Rocher.

Formation accélérée aux gestes barrières

Depuis le 7 mai, ils sont formés aux gestes barrières, grâce à une formation accélérée en e-learning, mise en place en partenariat avec la société Woonoz. L’objectif pour le groupe breton est de s’assurer du respect des gestes barrières au retour dans l’entreprise.

La formation, basée sur le protocole national de déconfinement et co-construite avec les médecins du travail du groupe Rocher, passe en revue plus de cent situations, dont l’hygiène des mains, les distanciations physiques, le port du masque ou encore le nettoyage du matériel se trouvant dans des zones partagées. Ce sont surtout des « situations imagées » avec des photos prises sur les différents lieux de travail du groupe Rocher, selon Régis Rougevin-Bâville.

Une formation basée sur l’ancrage mémoriel

Pour Fabrice Cohen, cofondateur de Woonoz, 80 % des informations délivrées au cours d’une formation sont oubliées dans les sept jours. Or, selon lui, sa société atteint des taux de mémorisation de 93 %, car elle s’appuie sur les dernières connaissances en neurosciences et sur la méthodologie d’ancrage mémoriel, comme le Projet Voltaire, utilisé par six millions de personnes pour se remettre à niveau en orthographe, selon Siegried de Préville, manager des opérations du groupe Rocher. L’ancrage mémoriel consiste à prendre en compte que chacun mémorise d’une façon qui lui est propre.

Il explique que certaines règles et certaines situations mises en image dans la formation, sont connues ou évidentes, mais « l’objectif est de les faire passer à l’état de réflexe« .

Une formation adaptée à chaque apprenant

Le parcours alterne entre tests et révisions où il faut chercher et corriger l’erreur. Il commence par un diagnostic initial des connaissances et se poursuit par deux ou trois sessions de 15 minutes d’ancrage mémoriel. A la fin du parcours de formation, l’apprenant est évalué et il reçoit une attestation qui indique qu’il maîtrise le parcours.
Régis Rougevin-Bâville explique que le moteur d’intelligence artificielle s’adapte aux réponses de l’apprenant : il revient sur les situations non acquises et repère les configurations où sa mémoration est meilleure.

Cette formation sera étendue à l’ensemble des salariés du groupe Rocher en France, c’est-à-dire 6 500 personnes. Selon nos interlocuteurs, ce module peut également servir à d’autres secteurs économiques : « cette formation est transposable à beaucoup de secteurs« . Plusieurs entreprises auraient déjà demandé à tester la formation.

 

Dans le même esprit que le retour d’expérience…la mise en place de pratiques communes, de coordination des actions, de partage de la connaissance.

« Les actions de gestion des risques doivent en effet faire l’objet d’une analyse, d’un suivi et d’un apprentissage.

Les résultats font ensuite l’objet d’une communication à la hiérarchie. La Direction Générale est informée de la qualité de la maîtrise des risques dans l’entreprise. Les enjeux de cette dernière étape sont la transparence vis-à-vis du management et des actionnaires – le climat de confiance – et la diffusion d’une culture du risque dans l’entreprise avec l’introduction d’une boucle d’apprentissage collectif.

L’analyse des résultats peut enfin donner lieu à la mise en place de retours d’expérience (mises à jour régulières du site de l’entreprise au fur et à mesure de la réalisation des plans d’actions, d’échanges d’informations entre le terrain et les équipes de management via les bases de données ou encore de diffusion des meilleurs pratiques accessibles à tous).

Ces outils donnent à la démarche de gestion des risques son caractère opérationnel.

Leur mise en place confère également à la gestion des risques une approche globale qui la rapproche de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel.

Une gestion des risques qui met en place ce type d’outils relève de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. Elle est globale au sens de Louisot (2010)[1]. Elle est « intégrée, car la gestion des risques doit effectivement l’être à tous les niveaux de décisions et dans tous les process (Louisot J.P., « ERM à l’épreuve de la crise », Risk management n°1, avril 2010.)

Elle est par essence transversale puisqu’elle est là pour servir les projets, les différentes entités et les processus opérationnels et managériaux de l’entreprise et qu’elle se positionne en accompagnement du processus de décision. Elle suppose l’implication du personnel opérationnel indispensable à une bonne identification des risques. La démarche de gestion des risques se doit d’intervenir en amont de la survenance des évènements, les anticiper et non pas seulement valider les expériences survenues. En cela elle n’est pas seulement une activité de contrôle : on ne cherche pas seulement la qualité de chacune des opérations mais la bonne articulation des activités entre elles. »

[1] Modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. La notion de globalité introduit tous les éléments d’incertitude liés au futur de l’organisation, ce que Louisot (2010) englobe sous l’expression « toutes causes, toutes conséquences, toutes opportunités et menaces.»

Christine Grassi.