Archives pour la catégorie dispositifs de contrôle et plans d’actions

Télétravail, risques et plans d’actions ou quels plans d’actions pour gérer les risques liés au télétravail et selon quelle approche ? (2)

✴ Une gestion des risques technique et socio-cognitive.

Je reviens avec l’extrait ci-dessous d’une chronique d’Olivier Cimelière sur l’idée que les risques psycho-sociaux liés au télétravail comme tous les risques ne sont pas seulement un « problème » technique mais également un « problème » de facteur humain.

Le deuxième article ciblé sur la cyber-malveillance (surexposition au risque) présenté par Caroline Diard –  enseignant-chercheur en management des RH et Droit, ESC Amiens – comme l’un des risques liés au télétravail propose 12 recommandations de sécurité pour prévenir ce risque. Dix sont techniques. Deux sont socio-cognitives.

Une approche à la fois technique et socio-cognitive pour passer d’une logique de contrôle à une logique de soutien rejoint la mise en place du « risk management intelligent » préconisés par Power (2004, 2007, 2009, 2016). Cette approche permet d’émanciper les managers du déploiement d’informations sous la forme « d’outils formalisés, normés… » qu’il décrit comme une « addition de couches de pseudo confort donnant une illusion de confort. » (p.66 Aubry C., Dufour N., La Fonction Risk Manager).

✴ Quelles sont les grandes lignes et les outils pour que les risk-managers français mettent en place le « risk management intelligent » préconisé par Power ?

La mise en place d’outils hors contrôle tels que le e-learning, le retour d’expérience, les formations, la responsabilité des opérationnels, l’appropriation des outils…permettent d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable) ; elle est le « graal » de la légitimité.

✴ Nous évoquons cette approche technique et socio-cognitive et ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage « La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96) »

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

✴ Sur le blog, vous pouvez lire ou relire sur cette approche :
  • l’article « Yves Rocher et les NeuroSciences ». Archives du blog mai 2020
  • l’article relatif à L’Organisation Apprenante. Archives du blog décembre 2020.

Télétravail et déconfinement : l’humain reste le pivot essentiel

Télétravail n’est pas martingale managériale

C’est un fait que le coronavirus aura contribué à plus nettement matérialiser le recours au télétravail. Les mentalités à l’égard de celui-ci évoluent. Du côté des dirigeants, il n’est plus forcément perçu comme une subtile excuse pour tirer au flanc, d’autant que le présentéisme au bureau engendre aussi bien des excès. Du côté des collaborateurs, il est synonyme d’un équilibre de vie plus flexible, entre obligations professionnelles et tâches domestiques, tout en ayant un cadre de travail délibérément choisi plutôt qu’un flex office impersonnel ou un open space plein de vacarme. Pour autant, le travail à distance n’est pas une martingale managériale. Si le dirigeant y consent, il doit aussi impulser les conditions de son efficience collective.

La première étape, basique mais incontournable (et déjà source de bougonneries), est le matériel du collaborateur. Autant au bureau, il est relativement simple de disposer d’infrastructures et de terminaux performants, autant la distance implique des obligations très concrètes à traiter. L’enquête de Deskeo le rappelle. 78% des personnes interrogées ne possèdent pas les équipements adéquats comme l’imprimante ou l’écran ergonomique. 66% doivent aussi se débattre avec un débit Internet parfois capricieux.

Collaboration et sécurité avant tout

Deux autres dimensions sont absolument cruciales : le choix d’un outil collaboratif qui conviendra à la majorité des salariés en télétravail et la garantie de la cybersécurité des échanges . Travailler à distance ne signifie pas travailler en silo, mais être au contraire capable de se synchroniser avec ses collègues et suivre les avancées d’un projet. Sur le marché, il existe quantité de solutions éprouvées mais attention à tenir compte de la maturité digitale des personnes. Un outil trop complexe à manier peut dérouter.

Enfin, la sécurisation est indispensable. A cet égard, l’engouement pour Zoom, la solution de visioconférence, a mis en exergue les failles de sécurité qui allaient de pair avec des intrusions ou des vols de données. Conséquence : tout le monde dans l’entreprise doit être extrêmement au clair et au carré avec ces points fondamentaux. Sans oublier évidemment le respect de la loi applicable en la matière.

La com’ interne comme lien essentiel

L’autre challenge induit par le télétravail, quelquefois largement sous-estimé par les adeptes fraîchement convertis, est la préservation du lien humain et de la culture d’entreprise. C’est là où la communication interne a un rôle clé à jouer pour éviter qu’au fil du temps, les interactions ne se réduisent qu’à des chats sur la messagerie interne et quelques séances collectives en visio pour entretenir a minima l’esprit d’équipe et le sentiment d’appartenance à la communauté qu’est l’entreprise.

Plus que jamais, des espaces fédérateurs doivent être mis en place et animés régulièrement comme l’Intranet – mais pas que – qui peut ainsi distiller des témoignages terrain, partager des bonnes pratiques, présenter des métiers et même offrir des canaux de détente comme des mini-compétitions de jeux en ligne ou des forums de discussion thématiques.

Avec le travail à distance, il ne faut pas perdre de vue que la précieuse machine à café n’est plus totalement en mesure d’être cet indispensable lieu de brassage du corps social de l’entreprise. La virtualisation des discussions peut aider à décloisonner mais elle peut aussi dématérialiser l’essence même d’une organisation humaine. C’est sans doute un paradoxe mais le télétravail requiert aussi de la proximité physique régulière. Là aussi, les possibilités sont variées : réunions sur un lieu unique, séminaires, team building, repas en commun, etc. Sinon, trop de distance tue la quintessence de l’entreprise.

Olivier Cimelière est directeur adjoint ESJ Pro Entreprise. Mai 2021

Recommandations de sécurité informatique pour le télétravail en situation de crise

En complément des mesures générales de vigilance cybersécurité publiées sur la crise du CORONAVIRUS – COVID-19, cet article décrit les conseils de Cybermalveillance.gouv.fr pour les employeurs afin de limiter les risques de sécurité informatique liés au télétravail.

12 recommandations de sécurité liées au télétravail pour les employeurs

Pour faire face à la crise et au confinement imposé par l’épidémie du CORONAVIRUS – COVID-19 les employeurs, entreprises, associations, administrations, collectivités se sont vues devoir mettre en place ou développer dans l’urgence le télétravail pour maintenir, au moins a minima,  leurs activités essentielles. L’ouverture vers l’extérieur du système d’information de l’entreprise peut engendrer des risques sérieux de sécurité qui pourraient mettre à mal l’entreprise, voire engager sa survie en cas de cyberattaque.
Voici 12 recommandations à mettre en œuvre pour limiter au mieux les risques :

  1. Définissez et mettez en œuvre une politique d’équipement des télétravailleurs : Privilégiez autant que possible pour le télétravail l’utilisation de moyens mis à disposition, sécurisés et maîtrisés par l’entreprise. Lorsque ce n’est pas possible, donnez des directives d’utilisation et de sécurisation claires aux employés en ayant conscience que leurs équipements personnels ne pourront jamais avoir un niveau de sécurité vérifiable (voire sont peut-être déjà compromis par leur usage personnel).

  2. Maîtrisez vos accès extérieurs : Limitez l’ouverture de vos accès extérieurs ou distants (RDP) aux seules personnes et services indispensables, et filtrer strictement ces accès sur votre pare-feu. Cloisonnez les systèmes pour lesquels un accès à distance n’est pas nécessaire pour les préserver, surtout s’ils revêtent un caractère sensible pour l’activité de l’entreprise.

  3. Sécurisez vos accès extérieurs : Systématisez les connexions sécurisées à vos infrastructures par l’emploi d’un « VPN » (Virtual Private Network ou « réseau privé virtuel » en français). Outre le chiffrement de vos connexions extérieures, ces dispositifs permettent également de renforcer la sécurité de vos accès distants en les limitant aux seuls équipements authentifiés. La mise en place sur ces connexions VPN d’une double authentification sera également à privilégier pour se prémunir de toute usurpation.

  4. Renforcez votre politique de gestion des mots de passe : Qu’il s’agisse des mots de passe des utilisateurs en télétravail, mais aussi de ceux en charge du support informatique, les mots de passe doivent être suffisamment longs, complexes et uniques sur chaque équipement ou service utilisé. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible. En savoir plus.

  5. Ayez une politique stricte de déploiement des mises à jour de sécurité : Et ce, dès qu’elles sont disponibles et sur tous les équipements accessibles de votre système d’information (postes nomades, de bureau, tablettes, smartphones, serveurs, équipements réseaux ou de sécurité…) car les cybercriminels mettent peu de temps à exploiter les failles lorsqu’ils en ont connaissance. Un défaut de mise à jour d’un équipement est souvent la cause d’une intrusion dans le réseau des entreprises. En savoir plus.

  6. Durcissez la sauvegarde de vos données et activités : Les sauvegardes seront parfois le seul moyen pour l’entreprise de recouvrer ses données suite à une cyberattaque. Les sauvegardes doivent être réalisées et testées régulièrement pour s’assurer qu’elles fonctionnent. Des sauvegardes déconnectées sont souvent indispensables pour faire face à une attaque destructrice par rançongiciel (ransomware). En outre, il convient également de s’assurer du niveau de sauvegarde de ses hébergements externes (cloud, site Internet d’entreprise, service de messagerie…) pour s’assurer que le service souscrit est bien en adéquation avec les risques encourus par l’entreprise. En savoir plus.

  7. Utilisez des solutions antivirales professionnelles : Les solutions antivirales professionnelles permettent de protéger les entreprises de la plupart des attaques virales connues, mais également parfois des messages d’hameçonnage (phishing), voire de certains rançongiciels (ransomware). Utiliser des solutions différentes pour la protection des infrastructures et pour les terminaux peut s’avérer très complémentaire et donc démultiplier l’efficacité de la protection dans un principe de défense en profondeur.

  8. Mettez en place une journalisation de l’activité de tous vos équipements d’infrastructure : Ayez une journalisation systématique et d’une durée de rétention suffisamment longue de tous les accès et activités de vos équipements d’infrastructure (serveurs, pare-feu, proxy…), voire des postes de travail. Cette journalisation sera souvent le seul moyen de pouvoir comprendre comment a pu se produire une cyberattaque et donc de pouvoir y remédier, ainsi que d’évaluer l’étendue de l’attaque.

  9. Supervisez l’activité de vos accès externes et systèmes sensibles : Cette supervision doit vous permettre de pouvoir détecter toute activité anormale qui pourrait être le signe d’une cyberattaque, tels une connexion suspecte d’un utilisateur inconnu, ou d’un utilisateur connu en dehors de ses horaires habituels, ou encore un volume inhabituel de téléchargement d’informations…

  10. Sensibilisez et apportez un soutien réactif à vos collaborateurs en télétravail : Donnez aux télétravailleurs des consignes claires sur ce qu’ils peuvent faire ou ne pas faire et sensibilisez les aux risques de sécurité liés au télétravail. Cela doit se faire avec pédagogie pour vous assurer de leur adhésion et donc de l’efficacité des consignes. Les utilisateurs sont souvent le premier rempart pour éviter, voire détecter les cyberattaques. Utilisez au besoin nos supports et notre kit de sensibilisation ou encore les recommandations aux télétravailleurs décrites supra. Ces utilisateurs coupés de leur entreprise ont également besoin d’un soutien de qualité et réactif pour éviter toute dérive.

  11. Préparez-vous à affronter une cyberattaque : L’actualité démontre qu’aucune organisation, quelle que soit sa taille, n’est à l’abri d’une cyberattaque. Il faut donc admettre que cela n’arrive pas qu’aux autres. La question n’est donc plus de savoir si on va être victime d’une cyberattaque, mais quand on le sera. Il faut donc s’y préparer. L’évaluation des scénarios d’attaques possibles (cf. menaces supra) permet d’anticiper les mesures à prendre pour s’en protéger et de définir également la conduite à tenir pour réagir quand elle surviendra : plans de crise et de communication, contractualisation avec des prestataires spécialisés pour recourir à leur assistance…

  12. Dirigeants : impliquez-vous et montrez l’exemple ! La sécurité est toujours une contrainte qu’il faut accepter à la mesure des enjeux qui peuvent s’avérer vitaux pour les entreprises. L’implication et l’adhésion des dirigeants aux mesures de sécurité est indispensable, tout comme leur comportement qui doit se vouloir exemplaire afin de s’assurer de l’adhésion des collaborateurs.

Cybermalveillance.gouv.fr

QUELS PLANS D’ACTIONS POUR GERER LES RISQUES LIES AU TELETRAVAIL ET SELON QUELLE APPROCHE ?

L’identification des risques liés au télétravail (étape 2 de la démarche de gestion des risques que je présente dans mes travaux) et leur mesure (probabilité/impact) (étape 3) permettent aux RM de les placer dans la cartographie des risques.

Voyons maintenant comment les gérer ?

Une grille de lecture / un article

👉 La mise en place de plans d’actions relève de l’étape 4 de la démarche de la gestion des risques.

En résumé, à quoi correspond-elle ?

Elle consiste à analyser les systèmes de contrôle interne : existe-t-il des dispositifs de contrôle ? De quels types sont-ils (procédures, chartes, formations, responsabilisation, assurances) ? Sont-ils efficaces, pertinents, fiables ?

Les conclusions quant à ces dispositifs de contrôle du risque permettent à l’entreprise de définir un ou des plans d’actions (bénéfice/ressources à investir) destinés à améliorer la couverture des risques majeurs (action sur l’impact et/ou la probabilité).

Les plans d’actions sont diffusés via la responsabilisation et la mise en réseau. En face de chaque risque majeur est positionné un responsable chargé d’un plan d’actions (également appelé le « propriétaire » du risque) : un réseau  de responsabilité est ainsi mis en place. Pour chaque famille de risques, des experts sont choisis pour aider ces « propriétaires » de risque : un réseau de soutien est mis en place. Un comité de risques central chapeaute ces deux réseaux.

Ces outils donnent à la démarche de gestion des risques son caractère dynamique.

👉 Des accords d’entreprise sont un plan d’actions pour prévenir les risques liés au télétravail.

Dans le cadre de leurs recherches, Caroline Diard et Nicolas Dufour (mon co-auteur pour l’ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html) ont mesuré l’efficacité d’accords d’entreprise dans cinq grandes banques contre trois types de risques liés au télétravail : la surconnexion, la surcharge de travail, et une mauvaise articulation entre le contrôle et l’autonomie du télétravailleur.

👉 Une gestion des risques technique et socio-cognitive. D’une logique de contrôle à une logique de soutien.

A côté de la formalisation comme moyen de prévenir les risques, ils évoquent d’autres moyens tels que l’évolution des modes managériaux, l’autonomie, la co-construction de nouvelles normes, l’autodiscipline, les bonnes pratiques.

Les risques psycho-sociaux liés au télétravail comme tous les risques ne sont pas seulement un « problème » technique mais également un « problème » de facteur humain.

C’est une idée qui m’est chère et qui ressort des entretiens que j’ai pu mener avec des RM : la gestion des risques doit être à la fois technique et socio-cognitive, passer d’une logique de contrôle à une logique de soutien.

Elle rejoint la mise en place du « risk management intelligent» préconisés par Power (2004, 2007, 2009, 2016). Dans un article, j’écris : « Préférer une logique de soutien à la logique de contrôle qui prévaut à la mise en place de la gestion des risques transformerait la Fonction Risk Manager en instrument de légitimité cognitive. L’accès des RM au terrain serait facilité ; les obstacles associés à la logique de contrôle (manque de communication interne en direction des opérationnels, méfiance vis-à-vis des opérationnels, manque de motivation, de disponibilité et inertie des opérationnels, poids de la sanction venant de la direction) seraient allégés. Cette première dynamique passe par la mise en place d’une approche globale technique et socio-cognitive (Chautru, 2008 ; Aubry et Montalan, 2007). »

👉 A lire

Dans les banques, les accords d’entreprise limitent en partie les risques liés au télétravail

« En 2019, une étude de l’Association nationale des directeurs des ressources humaines (ANDRH) montrait que, dans la majorité des cas, le recours au télétravail était formalisé soit par un accord de groupe ou d’entreprise, soit par une charte d’employeur. Parmi ces sociétés, on retrouve de nombreuses banques, l’un des secteurs où cette pratique se concentre particulièrement.

Dans le cadre de nos recherches (menées fin 2019), nous avons évalué l’efficacité de tels accords dans 5 grandes banques contre trois types de risques liés au télétravail : la surconnexion, la surcharge de travail, et une mauvaise articulation entre le contrôle et l’autonomie du télétravailleur. Il ressort de notre étude, publiée dans la Revue de l’organisation responsable, que les accords d’entreprise permettent effectivement de réduire les deux premiers types de risques, mais leur portée reste limitée pour gérer le troisième enjeu.

Une surcharge de travail limitée

En ce qui concerne le droit à la déconnexion, les accords d’entreprise reprennent les dispositifs introduits dans le Code du travail en 2017. La possibilité d’être connecté 24 heures sur 24 rend en effet le télétravailleur disponible et induit parfois une situation de connexion subie. L’organisation doit donc anticiper la perméabilité de la frontière entre vie privée et professionnelle.

Dans l’une des banques étudiées, l’accord prévoit explicitement que :

« Aucun courriel ne sera adressé avant 8 h le matin et après 19 h 30 le soir ; aucun courriel ne sera adressé durant les week-ends et jours fériés sauf en cas de manifestations commerciales de type foires et salons auxquelles participerait le salarié nomade ».

Même si certains salariés reconnaissent des « difficultés à déconnecter » ou encore « consulter souvent les messages via le smartphone », ils déclarent globalement respecter la séparation vie privée – vie professionnelle, évoquant notamment l’efficacité en ce sens d’un cadrage lié à une connexion à distance qui s’interrompt par module de 4 heures.

Pour ce qui est de la charge du travail du salarié, en pratique, la mise en place du télétravail ne devrait pas avoir d’effet. Dans le cas des banques étudiées, le respect des horaires semble être prévu par les accords et les directions s’attachent à respecter la loi.

Or, nos observations terrain, comme d’autres travaux de recherche, révèlent une tendance à l’augmentation de la charge de travail lorsque celui-ci est réalisé à distance. Il semble s’agir d’initiatives des salariés qui témoignent avoir des difficultés à « poser des limites », comme l’un d’entre eux nous l’a confié.

Les accords permettent toutefois de contenir le phénomène. Dans une caisse régionale étudiée, la règle selon laquelle le télétravailleur doit rester joignable aux horaires habituels de l’équipe, ou encore la définition stricte des horaires « 8h30 – 12h30/13h30 – 18 h », constituent par exemple des mesures appréciées de certains, qui se disent même « plus performants ». La limitation à un jour de télétravail par semaine permet en outre de laisser la charge de travail quasi inchangée.

Du contrôle à l’« autocontrôle »

Lorsqu’on l’interroge sur une éventuelle surcharge de travail, un répondant reconnaît l’apparition d’une plus grande amplitude horaire, mais aussi d’« une souplesse appréciable ». Ce témoignage illustre bien la nécessité d’un management différent du travail à distance, qui doit prendre en compte les bouleversements en termes de contrôle, d’autonomie et de confiance dans l’organisation. D’autant plus que l’autonomie gagnée rend le collaborateur redevable, parfois tenté de prouver son engagement et sa loyauté.

Dans une situation de télétravail, le collaborateur doit en effet s’adapter à des situations inédites, en l’absence de manager, définissant alors par lui-même un mode de fonctionnement. De son côté, le manager peut être tenté de recourir au contrôle technologique du travail effectué, ce qui peut donner lieu à certaines dérives.

Dans tous les accords étudiés, signés au sein de 5 banques, l’accès au télétravail est fondé sur la capacité du salarié à travailler en autonomie et à distance, et concerne les collaborateurs ne nécessitant pas de soutien managérial physique rapproché. L’accord d’une banque précise par exemple que :

« Une autonomie d’organisation du temps de travail est reconnue aux salariés nomades ».

D’autres accords prévoient une commission de suivi ou définissent encore le cadre hebdomadaire, par exemple « à raison d’un jour par semaine, fixé en concertation avec le manager ».

En revanche, la notion de contrôle n’apparaît pas systématiquement. Aucun des collaborateurs ou managers interrogés dans l’étude n’a évoqué de mise en place de logiciel spécifique de surveillance. Tous les managers disent accorder toute leur confiance aux collaborateurs. Ils n’ont pas la sensation de suivre de façon particulièrement étroite les télétravailleurs.

Cependant, le reporting est systématiquement évoqué, à l’image du témoignage de cet interviewé :

« Je contrôle au moins une fois par mois qu’elle réponde au téléphone le jour du télétravail, je regarde de temps en temps s’il est connecté et je lui demande un reporting le soir ».

L’autonomie et la délégation peuvent donc devenir un moyen de transférer la responsabilité des objectifs sur les collaborateurs. Autrement dit, une forme d’« autocontrôle » succède au contrôle qui repose désormais sur une auto-évaluation davantage que sur un lien hiérarchique entre manager et managé.

Autrement dit, la perception mouvante d’autonomie et de contrôle dépend autant de la relation managériale que de l’application de l’accord d’entreprise. Sur les risques liés à ce bouleversement dans le lien hiérarchique, l’accord d’entreprise – dans les banques mais sans doute également dans d’autres secteurs tertiaires – semble donc une réponse plus incomplète qu’il ne peut l’être concernant la surconnexion ou la surcharge de travail.

Dans un récent article publié dans The Conversation, nous avions d’ailleurs plus largement regretté l’absence de prise en compte de ces risques dans l’Accord national interprofessionnel (ANI) « pour une mise en œuvre réussie du télétravail » conclu par les partenaires sociaux, le 26 novembre 2020. C’est donc probablement sur ce point-là que les négociations, à tous les échelons et dans bon nombre de secteurs, devraient évoluer ces prochaines années. »

Caroline Diard Enseignant-chercheur en management des RH et Droit, ESC Amiens.

Nicolas Dufour Professeur affilié, PSB Paris School of Business – UGEI.

Mai 2021

RGPD. BEST-PRACTICES ET PLANS D’ACTIONS

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Après le rappel du contexte réglementaire, les 1eréléments de bilan 2020 et les sanctions (Carrefour et Carrefour Banque, Google, H&M) je vous propose, à partir d’éléments communiqués par l’entreprise toulousaine I-Trust (Editeur de solutions de Cybersécurité), une synthèse de best practices issues des règles de l’ANSSI et des recommandations de la CNIL. Autant de best pratices à suivre et de plans d’actions à mettre en œuvre.

Les règles de conformité RGPD imposent aux entreprises de se sécuriser selon les meilleures pratiques issues des :

Les règles d’hygiènes et bonnes pratiques de l’ANSSI

# 4 : Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau.

Maintenir la cartographie du SI et des informations sensibles via les tags RGPD.

# 5 : Disposer d’un inventaire des comptes privilégiés et les maintenir à jour.

Identifier les comptes privilégiés et de vérifier en continu leur mise à jour. 

# 7 : Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés.

Détecter la connexion d’appareils étrangers au SI.

#8 : Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur. Journalisation activée.

Détecter les comportements malveillants sur les opérations de comptes et les partages réseaux. 

Détecter les bruits de force de compte. 

# 10 : Définir et vérifier des règles de choix et de dimensionnement des mots de passe.

Détecter des mots de passe triviaux actifs sur le réseau.

# 12 : Changer les éléments d’authentification par défaut sur les équipements et services.

Détecter les mots de passe par défaut sur les équipements et services.

# 14 : Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique. Cette règle concerne essentiellement des points de configuration (chiffrement disque, désactivation autorun, etc.).

# 18 : Chiffrer les données sensibles transmises par voie Internet.

Détecter la présence de services d’échange ou d’interface de connexion non sécurisés.

# 20 : S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages.

Scanner la sécurité des équipements impliqués dans le WiFi (bornes, routeur, etc.)

#21 : Utiliser des protocoles réseaux sécurisés dès qu’ils existent.

Détecter les services en écoute qui ne garantissent pas la sécurité des transmissions.

# 22 : Mettre en place une passerelle d’accès sécurisé à Internet.

Scanner la sécurité de cette passerelle.

#34 : Définir une politique de mise à jour des composants du système d’information.

Détecter les problèmes d’obsolescence des composants.

#36 : Activer et configurer les journaux des composants les plus importants.

Effectuer une étude contextuelle du SI. Journaliser les éléments suivants : > pare-feu : paquets bloqués ; > systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ; > services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relai HTTP, en-têtes des messages sur un relai SMTP, etc.). Pour se faire un centre opérationnel de sécurité doit être installé. 

#38 : Procéder à des contrôles et audits de sécurité régulier puis appliquer les actions correctives associées.

Auditer le réseau en continu et éliminer les vulnérabilités évidentes pour que les auditeurs puissent se concentrer sur les failles cachées.

Procéder à des contrôles et audits de sécurité réguliers pour appliquer les actions correctives associées. 

# 40 : Définir une procédure de gestion des incidents.

Surveiller en continu toute intrusion ou malveillance présente sur le SI.

# 42 : Privilégier l’usage de produits et de services qualifiés par l’ANSSI.

Obtenir la certification CSPN.

Les règles de la CNIL. Les fiches CNIL sur la sécurité des données personnelles. 

#Fiche 1 : Sensibiliser les utilisateurs

Formation au RGPD pour faire le point sur les nouvelles règles et connaître les outils qui sont obligatoires depuis mai 2018, afin de lancer la mise en conformité au plus tôt dans votre organisme.

Cette formation est adressée aux CIL/DPO/DSI/RSSI/Responsable qualité et conformité.

#Fiche 2 : Authentifier les utilisateurs.

Cartographie de l’ensemble du SI permettant de détecter la connexion d’appareils étrangers au SI. Il permet de détecter les protocoles d’accès et d’authentification (ssh/smtp/FTP/…)

#Fiche 3 : Gérer les habilitations.

#Fiche 4 : Tracer les accès et gérer les incidents.

#Fiche 5 : Sécuriser les postes de travail. 

#Fiche 6 : Sécuriser l’informatique mobile. 

#Fiche 7 : Protéger le réseau informatique interne.

#Fiche 8 : Sécuriser les serveurs.

#Fiche 9 : Sécuriser les sites web.

Cartographie de l’ensemble du réseau. Note de criticité et correctifs associés. Identification des vulnérabilités et logiciels non mis à jour de la plupart des périphériques et applications, y compris les firewalls, les serveurs, les systèmes d’exploitation de bureau, les imprimantes, les appareils sans fil, ainsi que de nombreux autres éléments.

RGPD. SANCTIONS. CARREFOUR. GOOGLE. H&m.

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Au programme :

  • article / sanctions Carrefour France (2,25 millions euros) et Carrefour Banque (800 000 euros) / avec les délibérations et pour approfondir les références aux articles de la CNIL
  • article / sanctions Google LLC (60 millions d’euros) et Google Ireland Limited (40 millions d’euros)
  • article sanctions H&M (35 millions d’euros)

Sanctions de 2 250 000 euros et de 800 000 euros pour les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE

26 novembre 2020


Saisie de plusieurs plaintes, la CNIL a sanctionné deux sociétés du groupe CARREFOUR pour des manquements au RGPD concernant notamment l’information délivrée aux personnes et le respect de leurs droits.

Saisie de plusieurs plaintes à l’encontre du groupe CARREFOUR, la CNIL a effectué des contrôles entre mai et juillet 2019 auprès des sociétés CARREFOUR FRANCE (secteur de la grande distribution) et CARREFOUR BANQUE (secteur bancaire). À cette occasion, la CNIL a constaté des manquements concernant le traitement des données des clients et des utilisateurs potentiels. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’encontre de ces sociétés.

À l’issue de cette procédure, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a effectivement considéré que les sociétés avaient manqué à plusieurs obligations prévues par le RGPD.

Elle a ainsi sanctionné la société CARREFOUR FRANCE d’une amende de 2 250 000 euros et la société CARREFOUR BANQUE d’une amende de 800 000 euros. En revanche, elle n’a pas prononcé d’injonction dès lors qu’elle a constaté que des efforts importants avaient permis la mise en conformité sur tous les manquements relevés.

Des manquements à l’obligation d’informer les personnes (article 13 du RGPD)

L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). De plus, elle était incomplète en ce qui concerne la durée de conservation des données.

Concernant le site carrefour.fr, l’information était également insuffisante en ce qui concerne les transferts de données hors de l’Union européenne et la base légale des traitements (fichiers).

Sur ce point, les sociétés ont modifié leurs mentions d’information et sites web durant la procédure pour se mettre en conformité.

Des manquements relatifs aux cookies (article 82 de la loi Informatique et Libertés)

La CNIL a constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies servant à la publicité, le consentement de l’utilisateur aurait pourtant dû être recueilli avant le dépôt.

Les sociétés ont modifié, durant la procédure, le fonctionnement de leurs sites web. Plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.

Un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)

La société CARREFOUR FRANCE ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans.

Par ailleurs, en l’espèce, la formation restreinte considère qu’une durée de conservation de 4 ans des données clients après leur dernier achat est excessive. En effet, cette durée, initialement retenue par la société, excède ce qui apparaît nécessaire dans le domaine de la grande distribution, compte tenu des habitudes de consommation des clients qui font principalement des achats réguliers. 

Pendant la procédure, la société CARREFOUR FRANCE a engagé d’importants moyens pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD. Toutes les données trop anciennes ont notamment été supprimées.

Un manquement à l’obligation de faciliter l’exercice des droits (article 12 du RGPD)

La société CARREFOUR FRANCE exigeait, sauf pour l’opposition à la prospection commerciale, un justificatif d’identité pour toute demande d’exercice de droit. Cette demande systématique n’était pas justifiée dès lors qu’il n’existait pas de doute sur l’identité des personnes exerçant leurs droits. Par ailleurs, la société n’a pas été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits.

Sur ces deux points, la société a modifié ses pratiques durant la procédure. Elle a notamment déployé d’importants moyens humains et organisationnels pour répondre à l’ensemble des demandes reçues dans un délai inférieur à un mois.

Un manquement au respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques)

Tout d’abord, la société CARREFOUR FRANCE n’a pas donné suite à plusieurs demandes de personnes souhaitant accéder à leurs données personnelles. La société s’est rapprochée de toutes les personnes concernées durant la procédure.

Ensuite, dans plusieurs cas, la société n’a pas procédé à l’effacement de données demandé par plusieurs personnes alors qu’elle aurait dû le faire. Sur ce point également, la société a fait droit à toutes les demandes durant la procédure.

Enfin, la société n’a pas pris en compte plusieurs demandes de personnes s’étant opposées à recevoir de la publicité par SMS ou courrier électronique, notamment en raison d’erreurs techniques ponctuelles. La société s’est mise en conformité durant la procédure sur ce point également.

Un manquement à l’obligation de traiter les données de manière loyale (article 5 du RGPD)

Lorsqu’une personne souscrivant à la carte Pass (carte de crédit pouvant être rattachée au compte fidélité) souhaitait également adhérer au programme de fidélité, elle devait cocher une case indiquant qu’elle acceptait que CARREFOUR BANQUE communique à « Carrefour fidélité » son nom, son prénom et son adresse de courrier électronique. CARREFOUR BANQUE indiquait explicitement qu’aucune autre donnée n’était transmise. La CNIL a pourtant constaté que d’autres données étaient transmises, comme l’adresse postale, le numéro de téléphone et le nombre de ses enfants, bien que la société se fût engagée à ne transmettre aucune autre donnée.

Sur ce point, la société a modifié ses pratiques durant la procédure. Elle a entièrement refondu son parcours de souscription en ligne à la carte Pass et les personnes sont désormais informées de l’ensemble des données transmises à la société CARREFOUR FRANCE.

Les délibérations

> Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE 

> Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR BANQUE 

Pour approfondir

> La procédure de sanction

Les textes de référence

> Article 5 du règlement général sur la protection des données (principes relatifs au traitement des données personnelles) 

> Article 5.1.e du RGPD (conservation des données) 

> Article 12 du RGPD (transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée) 

> Article 13 du RGPD (informations à fournir lorsque des données personnelles sont collectées auprès de la personne concernée) 

> Article 15 du RGPD (droits de la personne concernée) 

> Article 17 du RGPD (droit à l’effacement ou droit à l’oubli) 

> Article 21 du RGPD (droit d’opposition) 

> Article 82 de la loi Informatique et Libertés (droits et obligations propres aux traitements dans le secteur des communications électroniques) 

> Article L34-5 du Code des postes et des communications électroniques 

Cookies : sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED

10 décembre 2020

Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’un montant total de 100 millions d’euros d’amende, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.

Le 16 mars 2020, la CNIL a effectué un contrôle en ligne sur le site web google.fr qui a permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.

Les manquements à la loi Informatique et Libertés

La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé trois violations à l’article 82 de la loi Informatique et Libertés :

Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur

Lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part.

Ce type de cookies ne pouvant être déposé sans que l’utilisateur ait exprimé son consentement, la formation restreinte a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service.

Un défaut d’information des utilisateurs du moteur de recherche google.fr

Lorsqu’un utilisateur se rendait sur la page google.fr, un bandeau d’information s’affichait en pied de page, portant la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ».

Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site. Cette information ne lui était pas non plus fournie lorsqu’il cliquait sur le bouton « Consulter maintenant ».

La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser.

La défaillance partielle du mécanisme « d’opposition »

Lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

La formation restreinte a donc estimé que le mécanisme « d’opposition » mis en place par les sociétés était partiellement défaillant, en violation de l’article 82 de la loi Informatique et Libertés.

La sanction prononcée par la formation restreinte

La formation restreinte a sanctionné la société GOOGLE LLC d’une amende de 60 millions d’euros et la société GOOGLE IRELAND LIMITED d’une amende de 40 millions d’euros, rendues publiques.

La formation restreinte a justifié ces montants au regard de la gravité du triple manquement précité à l’article 82 de la loi Informatique et Libertés.

Elle a également souligné la portée du moteur de recherche Google Search en France et le fait que les pratiques des sociétés ont affecté près de cinquante millions d’utilisateurs.

Enfin, elle a relevé les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.

La formation restreinte a pris acte que, depuis une mise à jour de septembre 2020, les sociétés cessent de déposer automatiquement les cookies publicitaires dès l’arrivée de l’utilisateur sur la page google.fr.

Elle a néanmoins relevé que le nouveau bandeau d’information mis en œuvre par les sociétés lors de l’arrivée sur la page google.fr ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

Dès lors, en complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.

Une compétence de la CNIL 

Dans sa délibération, la formation restreinte a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Elle a souligné ainsi que le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.

Elle a considéré qu’elle est également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours à des cookies est effectué dans le « cadre des activités » de la société GOOGLE FRANCE qui constitue « l’établissement » sur le territoire français des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED et y assure la promotion de leurs produits et services.

Elle a également estimé que les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED sont conjointement responsables dès lors qu’elles déterminent toutes les deux les finalités et les moyens liés à l’usage des cookies.

L’articulation de la sanction avec les travaux de la CNIL sur les cookies

Dans le cadre de son plan d’action sur le ciblage publicitaire et pour tenir compte de l’entrée en application du RGPD, la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. La CNIL a demandé aux acteurs de se conformer aux règles ainsi clarifiées, en estimant que cette période d’adaptation ne devrait pas dépasser six mois.

À cette occasion, elle a néanmoins précisé qu’elle continuerait notamment à contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes.

Les obligations dont la CNIL sanctionne aujourd’hui le non-respect par les sociétés préexistaient au RGPD et ne font donc pas partie de celles qui ont été clarifiées par les nouvelles lignes directrices et la recommandation du 1er octobre 2020.

Note : La société GOOGLE LLC, établie en Californie, développe le moteur de recherche Google Search. La société GOOGLE IRELAND LIMITED, dont le siège est en Irlande, se présente comme le siège européen du groupe Google. La société GOOGLE FRANCE est l’établissement en France de la société GOOGLE LLC.

Une amende de 35 millions d’euros pour H&M qui a stocké les données personnelles des salariés

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise.     

Une amende de plus de 35 millions d’euros a été prononcée contre l’enseigne H&M en Allemagne jeudi. Le groupe a été condamné pour avoir rassemblé et stocké des informations sur une centaine de salariés.

L’Allemagne a infligé jeudi une amende sans précédent de 35,3 millions d’euros au groupe de prêt-à-porter H&M, pour avoir enregistré des données privées de certains salariés à leur insu, a annoncé le centre de protection des données du pays jeudi.

« Large connaissance » de la vie privée des employés

« Une amende de 35 258 707,95 euros est requise contre H&M (…) pour une affaire de surveillance de plusieurs centaines de ses collaborateurs », a indiqué le Commissariat à la protection des données de Hambourg. Il s’agit du montant le plus important infligé par l’Allemagne à une entreprise au nom de la législation européenne sur la protection des données privées (RGPD), depuis son entrée en vigueur en 2018, a indiqué une porte-parole de l’institution.

Les autorités reprochent au groupe de prêt-à-porter d’avoir laissé des responsables d’un site H&M, à Nuremberg (sud), rassembler et stocker des informations sur leurs salariés, entre 2014 et 2019. « Certains de ces supérieurs ont acquis une large connaissance de la vie privée de leurs employés », a constaté le centre de protection.

Une erreur informatique

Après l’absence d’un collaborateur, les responsables du site organisaient systématiquement un entretien, traitant « des vacances », ou des « symptômes et diagnostics » du salarié, en cas de congés maladie. Ces informations étaient ensuite « enregistrées », stockées numériquement, et servaient à « établir des profils individuels ».

H&M insiste sur l’aspect « local » de ces pratiques

Les supérieurs obtenaient également des éléments de vie privée de leurs collaborateurs lors de discussions informelles, notamment sur des « problèmes familiaux », ou des « croyances religieuses ». Ces données étaient ensuite « disponibles à la lecture pour jusqu’à 50 responsables du groupe ».

Réagissant à la décision des autorités allemandes, la marque de prêt-à-porter a présenté ses excuses pour des faits qu’elle estime « non conformes aux directives et instructions » du groupe. H&M insiste sur l’aspect « local » de ces pratiques, et affirme avoir « signalé immédiatement les faits » aux autorités, après en avoir pris connaissance.

Ces faits ont été dévoilés en octobre 2019, lorsqu’une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise. 

L’Europe veut protéger la vie privée

Le Règlement européen de protection des données a renforcé les obligations des entreprises en termes de protection de la vie privée. Il prévoit des amendes pouvant aller jusqu’à 4% de leur chiffre d’affaires.

En 2019, l’Allemagne a déjà condamné le groupe immobilier Deutsche Wohnen à une amende de 14,5 millions d’euros pour avoir archivé des données sensibles de ses locataires. La France a de son côté infligé une sanction de 50 millions d’euros au géant de l’informatique Google, pour défaut d’information de ses utilisateurs de leurs données personnelles. L’amende la plus élevée a été infligée par le Royaume-Uni à la compagnie aérienne British Airways, qui a écopé en 2019 d’une sanction de 183 millions de livres (200 millions d’euros), pour un vol des données financières de centaines de milliers de ses clients.

RGPD. RAPPEL. BILAN 2020. QUELS PLANS D’ACTIONS ?

Je vous souhaite à tous une Excellente Année 2021 : respiration, aération, inspiration…
Le mois de janvier du blog sera consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Nous avons déjà abordé le sujet en 2019 et 2020. Vous pouvez relire en avril 2019 « RGPD, les sanctions tombent » et en avril 2020 « Le contexte réglementaire qui accentue l’intérêt des entreprises pour les risques liés au télétravail, à savoir le RGPD…» A retrouver dans les archives tout en bas du menu déroulant en bas à gauche.
Aujourd’hui, 11 janvier 2021. Rappel du contexte réglementaire : le RGPD. 1er éléments de bilan 2020 à partir de deux articles :
  • « Pourquoi le RGPD n’a (presque) rien changé pour les internautes » et constat d’un relatif échec
  • Quelques chiffres sur le montant des sanctions en Europe

Au programme. Le 18 janvier 2021

  • article / sanctions H&M
  • article / sanctions Google
  • article / sanctions Carrefour / avec les délibérations et pour approfondir les références aux articles de la CNIL

Au programme. Le 25 janvier 2021

  • Règles de l’ANSSI et de la CNIL à suivre / Quels Plans d’Actions ? (source : I-Trust)

Rappel du contexte réglementaire : le RGPD.

General Data Protection Regulation (GDPR) ou Réglement Général pour la Protection de données (RGPD)

Date : entrée en vigueur le 26 mai 2016 ; applicable à partir du 25 mai 2018.

Dispositif : le nouveau règlement européen modifie le cadre juridique relatif à la protection des données à caractère personnel au sein de l’Union européenne. Les entreprises devront déclarer aux autorités de leur pays (et dans certains cas aux personnes concernées) les violations de données à caractère personnel sous 72 heures en suivant les dispositions spécifiques du GDPR  et en conservant un registre de violation.

Champ d’application : toutes les entreprises qui collectent, traitent, et stockent des données à caractère personnel.

Sanctions : action judiciaire des individus pour réclamer des dommages et intérêts ; actions de groupe ; amende administrative jusqu’à 20 millions d’euros ou 4% du Chiffre d’Affaires mondial.

Il s’attarde sur les risques de notre époque post-moderne (violation de données, perte des données, traitement illicite de données…).

Pour en savoir plus : « Règlement Général pour la Protection des Données. Comment l’entreprise doit-elle protéger les données personnelles ?, Cahier technique de l’AMRAE, juillet 2018.

Quelques Chiffres

En 2020, le montant des amendes pour non-respect du RGPD s’élève à 171 millions d’euros. C’est l’Italie qui a infligé le plus de sanctions, avec 34 infractions constatées, soit un montant correspondant à 58,16 millions d’amendes.

Le nombre d’affaires croissant porté devant les autorités de protection des données personnelles devrait toutefois mener à une hausse du montant total de sanctions dans les années à venir, notamment après l’invalidation du Privacy Shield par la Cour de Justice européenne (CJUE).
En 2020, le montant des amendes pour non-respect du RGPD s’est élevé à 171 millions d’euros

C’est l’Italie qui a infligé le plus de sanctions.

Le classement des pays qui ont infligé le plus d’amendes au titre du règlement général sur la protection des données vient de sortir. Selon Finbold, le montant total des sanctions s’élève cette année à 171,3 millions d’euros. C’est l’Italie qui arrive en tête du classement avec 34 infractions constatées pour ses entreprises et un total de 58,16 millions d’euros d’amendes infligées.

L’étonnante dernière position de l’Irlande

En mai 2018, après plusieurs années de réflexion et de travail, le RGPD voyait le jour. Ce règlement européen précède à la directive 95/46/CE instaurée en 1995 par le Parlement Européen. Un véritable chantier juridique qui semble désormais porter ses fruits. En effet, si entre mai 2018 (date d’entrée en vigueur du texte) et janvier 2020, seulement 114 millions d’euros d’amendes avaient été comptabilisés, entre janvier 2020 et décembre 2020, le montant total des sanctions est plus élevé. Il atteint précisément 171,3 millions d’euros.

Il est intéressant de s’arrêter sur le classement des pays. Premier constat étonnant : l’Irlande est en dernière position dans ce classement des pays qui ont infligé le plus d’amendes au titre du RGPD. Seulement 630 000 euros d’amendes. Ce pays est pourtant le centre névralgique de la protection des données. C’est là que Google, Facebook, LinkedIn, Microsoft, Airbnb, Hubspot, Stripe, Smartbox, Dropbox, Slack, Salesforce ou encore IBM ont leur siège social… Des entreprises susceptibles de ne pas respecter le règlement général sur la protection des données.

La France inflige 3 millions d’euros d’amendes

En première position de ce classement, nous retrouvons l’Italie. La Garante per la protezione dei dati personali, l’équivalent de la Cnil en Italie, a délivré un total de 58,16 millions d’euros d’amendes. Parmi les entreprises concernées, nous retrouvons Eni Gas et Luce, un fournisseur italien d’électricité et de gaz. L’entreprise a dû s’acquitter d’une grosse amende de 11,5 millions d’euros. Le Royaume-Uni se classe en deuxième position avec 49,3 millions d’euros d’amendes. On se souvient notamment de l’amende prononcée à l’encontre de British Airways.

L’Allemagne est troisième avec 37,39 millions d’euros d’amendes. Ensuite nous retrouvons la Suède, l’Espagne et la France en sixième position avec seulement 3 millions d’euros d’amendes. L’amende la plus importante est celle dont Carrefour Banque a dû s’acquitter en fin d’année. En 2021, l’invalidation du Privacy Shield par la Cour de justice européenne (CJUE) devrait représenter un véritable défi pour les autorités de protection des données. 5 300 entreprises sont concernées et cela rebat totalement les cartes des flux de données. Enfin, notons que malgré le Brexit, le RGPD reste applicable jusqu’en juillet 2021.

Par Valentin Cimino 

 

Le régulateur/législateur, amplificateur de risques. Dispositifs anticorruption : 3 ans après la loi Sapin II où en sont les entreprises ?

Amplificateur de Risques

Comme le suggère le concept d’amplification sociale du risque, des facteurs sociaux, institutionnels et psychologiques influencent les perceptions du risque et les comportements à travers un réseau de canaux de communication qui les structurent et les transmettent socialement (Kaperson et al, 1988) ; les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias (Pidgeon et al, 2003).

Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière. L’analyse de la période 2008-2018 conduit à constater un renforcement institutionnel de l’obligation de prudence et de vérification. Sur fond de scandales et de crise, les interventions du régulateur-législateur amènent les entreprises à renforcer les systèmes de contrôle interne et de gestion des risques : loi du 3 juillet 2008, ordonnance du 8 décembre 2008 ; rapport du 8 décembre 2009 de l’AMF ; loi Sapin II du 9 décembre 2016…

La loi Sapin II vise à prévenir les risques de blanchiment des capitaux, de financement du terrorisme et de la corruption – la corruption est le fait pour toute personne de solliciter une personne dépositaire de l’autorité publique, moyennant rémunération, un acte relevant de ses fonctions -.

Elle propose six mesures pour cartographier le risque de corruption et le prévenir au niveau organisationnel et individuel. Cette loi n’oblige pas à une communication extérieure spécifique mais elle engage la responsabilité personnelle des dirigeants et celle de la société en tant que personne morale.

Nicolas Dufour et moi-même présentons davantage la loi Sapin II ainsi que les réglementations en vigueur et la soft-law (principe de précaution) dans notre ouvrage ; voir « La Fonction Risk Manager. Organisation. Méthodes et Positionnement », Ed Gereso, p.50.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

En février 2020, un peu plus de trois ans après, l’Autorité Française de Anticorruption lançait une enquête sur le niveau de maturité des dispositions anticorruption en entreprise.

L’article ci-dessous présente les principaux résultats de cette enquête, un lien pour y accéder, un article à lire ou relire sur la cartographie des risques de corruption posté sur le blog en juillet 2020

Dispositifs anticorruption : 3 ans après la loi Sapin II où en sont les entreprises ?

Un questionnaire destiné à toutes les entreprises a été transmis aux fédérations professionnelles pour diffusion à leurs adhérents.

Soit près de 2000 entreprises touchées et une collecte de données actualisées sur l’état de la prévention de la corruption dans le secteur privé

L’AFA publie ses résultats dans un rapport d’analyse. Il apporte un éclairage sur la connaissance des entreprises en matière d’atteintes à la probité et identifie différents dispositifs mis en place et axes de progrès:

– 70 % ont un dispositif de prévention perfectible pour la cartographie des risques, l’évaluation de tiers ou le positionnement du responsable de la fonction conformité.  

– focus sur les PME/ ETI non-assujetties à a loi Sapin2 (art.17), quant à leur appropriation des dispositifs anticorruption

– lien avec le plan national pluriannuel de lutte contre la corruption…

Ce diagnostic national permettra à l’AFA d’adapter davantage ses recommandations.

Lien vers le rapport d’analyse :
https://lnkd.in/efX85yY

A relire : le très bon article de Stéphanie Dominguez et Stella Vitchénian « Etablir la cartographie des risques de corruption : un défi en pratique » posté sur ce blog en juillet 2020.

A retrouver dans les archives juillet 2020 (tout en bas du menu déroulant à gauche).

Tout savoir sur la Gestion des Risques et le Risk Manager en France. Une lecture d’été : « La Fonction Risk Manager : Organisation, Méthodes et Positionnement » !  

Je terminerai l’année universitaire sur ce conseil de lecture. Ce sera le dernier post.

A la rentrée : analyse de la nouvelle affaire « Wirecard », facteur d’élargissement du domaine du risque des entreprises ; quelles leçons tirer de la crise sanitaire pour une approche moins « contrôle » de la démarche de gestion des risques ? Ou encore le cyberisque, risque numéro un des entreprises, petites, moyennes ou grandes (baromètre Allianz 2020)…

Lien vers l’ouvrage : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Plan détaillé : IMG-20200723-WA0003

Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager

  • Définition des notions mobilisées : risques, gestion des risques, Risk Manager
  • Histoire récente des risques, de la gestion des risques, de la Fonction Risk Manager
  • Mise en perspective de la Fonction Risk Manager

Chapitre 2 L’activité des Risk Managers

  • Ce que font les Risk Managers
  • Les relations des Risk Managers
  • Mise en perspective de la Fonction Risk Manager

Chapitre 3 Définition et illustration des différentes classes de risques auxquelles sont confrontés les Risk Managers

  • Les risques stratégiques et économiques
  • Les risques techniques
  • Les risques financiers
  • Les risques opérationnels

Chapitre 4 Méthodes, démarches et outils des Risk Managers

  • Les méthodes les plus usitées en gestion des risques
  • L’approche organisationnelle par les processus
  • La méthode et les outils face à l’urgence : la gestion de crise
  • La connaissance outil : les systèmes d’information de gestion des risques

Chapitre 5 La place des Risk Managers dans l’organisation

  • Les conditions de centralisation/décentralisation de la Fonction Risk Manager
  • Positionnement du Risk Manager et autorité de la Fonction Risk Manager
  • Implication de la direction générale
  • Mise en perspective de la fonction Risk Manager

Chapitre 6  Les compétences des Risk Managers

  • Le Risk Manager est-il un expert de la gestion des risques ?
  • Une connaissance de l’activité, du groupe et des opérations
  • Le Risk Manager est un communiquant

Initiative intéressante du groupe Y. Rocher : avoir recours aux neurosciences pour gérer les risques.

La mise en place d’outils hors contrôle tels que le e-learning, le retour d’expérience, les formations, la responsabilité des opérationnels, l’appropriation des outils permettent en effet d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable) ; elle est le « graal » de la légitimité. Nous évoquons cette approche technique et socio-cognitive dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96). https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Gestes barrières : le groupe Yves Rocher forme ses salariés grâce aux neurosciences

Pour s’assurer du respect des gestes barrières dans l’entreprise, le groupe Rocher (Yves Rocher, Petit Bateau, Stanhome…) a fait appel aux services d’un spécialiste de « l’ancrage mémoriel« , la société Woonoz.

Par Sylvaine Salliou. Publié le 12/05/2020

Depuis ce lundi 11 mai, les 2.000 salariés bretons du groupe Rocher sont à nouveau accueillis progressivement sur les sites de production, dans le Morbihan et au siège à Rennes. « On compte quelques dizaines de salariés sur chaque site de production, car le recours au télétravail reste massif« , selon Régis Rougevin-Bâville, directeur qualité du groupe Rocher.

Formation accélérée aux gestes barrières

Depuis le 7 mai, ils sont formés aux gestes barrières, grâce à une formation accélérée en e-learning, mise en place en partenariat avec la société Woonoz. L’objectif pour le groupe breton est de s’assurer du respect des gestes barrières au retour dans l’entreprise.

La formation, basée sur le protocole national de déconfinement et co-construite avec les médecins du travail du groupe Rocher, passe en revue plus de cent situations, dont l’hygiène des mains, les distanciations physiques, le port du masque ou encore le nettoyage du matériel se trouvant dans des zones partagées. Ce sont surtout des « situations imagées » avec des photos prises sur les différents lieux de travail du groupe Rocher, selon Régis Rougevin-Bâville.

Une formation basée sur l’ancrage mémoriel

Pour Fabrice Cohen, cofondateur de Woonoz, 80 % des informations délivrées au cours d’une formation sont oubliées dans les sept jours. Or, selon lui, sa société atteint des taux de mémorisation de 93 %, car elle s’appuie sur les dernières connaissances en neurosciences et sur la méthodologie d’ancrage mémoriel, comme le Projet Voltaire, utilisé par six millions de personnes pour se remettre à niveau en orthographe, selon Siegried de Préville, manager des opérations du groupe Rocher. L’ancrage mémoriel consiste à prendre en compte que chacun mémorise d’une façon qui lui est propre.

Il explique que certaines règles et certaines situations mises en image dans la formation, sont connues ou évidentes, mais « l’objectif est de les faire passer à l’état de réflexe« .

Une formation adaptée à chaque apprenant

Le parcours alterne entre tests et révisions où il faut chercher et corriger l’erreur. Il commence par un diagnostic initial des connaissances et se poursuit par deux ou trois sessions de 15 minutes d’ancrage mémoriel. A la fin du parcours de formation, l’apprenant est évalué et il reçoit une attestation qui indique qu’il maîtrise le parcours.
Régis Rougevin-Bâville explique que le moteur d’intelligence artificielle s’adapte aux réponses de l’apprenant : il revient sur les situations non acquises et repère les configurations où sa mémoration est meilleure.

Cette formation sera étendue à l’ensemble des salariés du groupe Rocher en France, c’est-à-dire 6 500 personnes. Selon nos interlocuteurs, ce module peut également servir à d’autres secteurs économiques : « cette formation est transposable à beaucoup de secteurs« . Plusieurs entreprises auraient déjà demandé à tester la formation.

 

Achats et Gestion des Risques ou la Supply Chain à l’épreuve du Covid 19

Une interview intéressante de Laurent Giordani sur les rapports entre  le département achats et le risk management. Une mise en perspective concrète qui souligne l’intérêt de penser de manière globale le dispositif opérationnel de continuité d’activité (en particulier concernant les relations fournisseurs)

Le risk management ne peut plus être le parent pauvre des politiques achats »

Comment les achats peuvent-il anticiper la relance? Quels enseignements tirer de cette crise? Quelle stratégie achats pour demain? L’avis de Laurent Giordani, associé du cabinet de conseil en management Kyu Associés, responsable de l’expertise Risk Management.

Quelles doivent être, selon vous, les points de vigilance prioritaires des services achats en cette période compliquée ?

Avant tout, il s’agit de ne pas s’éparpiller dans ce contexte particulièrement dense. Le premier point de vigilance, c’est l’évolution des besoins. A charge pour les achats d’être bien connectés aux donneurs d’ordre internes pour transmettre le bon signal aux fournisseurs.

Le deuxième point de vigilance est bien entendu l’évaluation des impacts sur les capacités. C’est plus que jamais le moment de suivre et mettre à jour son rating de risque fournisseur, à la fois sur les aspects opérationnels – production, approvisionnements, stocks, distribution – et santé financière. Cela passe par une connexion étroite et suivie avec ses partenaires clé, qui doivent eux-mêmes conduire la même démarche.

Enfin, le troisième point de vigilance est la capacité des fournisseurs à organiser la continuité et la reprise d’activité. Dans un baromètre des Risques Supply Chain que nous avons réalisé en décembre dernier, seuls 40% des répondants affirmaient disposer d’un Plan de Continuité d’Activité opérationnel. Au-delà de l’ampleur inédite et imprévisible de cette pandémie, cela montre le manque de préparation des entreprises en général à gérer des crises majeures et réagir efficacement.

Comment peuvent-ils aider à pérenniser l’activité économique de l’entreprise ? Doivent-ils rompre les contrats en cours si les produits ne sont pas de prioritaires pour eux ?

Il n’y a pas de réponse générale, c’est vraiment du cas par cas à l’échelle de l’entreprise voire même du fournisseur. Mais pour ne pas affecter encore plus la capacité de reprise, mieux vaut éviter au maximum les annulations pour ne pas aggraver la santé financière des fournisseurs fragiles. Dans la mesure du possible, il faut plutôt privilégier des décalages de planning.

Comment identifier rapidement les fournisseurs stratégiques en difficulté et quelles mesures mettre en oeuvre pour les préserver ?

Il n’y a pas de recette miracle. Malgré le confinement, c’est le moment d’être hyper connectés avec ses partenaires. Une cellule de crise doit être activée pour aligner les projections et suivre un plan d’actions commun. Il s’agit aussi d’amener ses partenaires clés à déployer ce type de dispositif en cascade avec leurs fournisseurs pour essayer de couvrir l’ensemble de la chaîne.

Attention toutefois au terme stratégique. Il ne concerne pas que le top 10 des fournisseurs en termes de chiffres d’affaires, mais bien les fournisseurs dont la capacité est incontournable. Hyundai a par exemple été contraint, fin février, d’arrêter la plus grosse usine d’assemblage du monde pour une rupture de composants de câblage de faible valeur.

Les plus fragiles auront avant tout besoin de soutien financier, via des commandes ou une réduction des délais de paiement. Système U a par exemple décidé de payer comptant les PME fournissant des produits locaux. Autre type de support : la capacité d’analyse. Comme nous le disions précédemment, beaucoup d’entreprises ne sont pas préparées à la gestion de crise. Un support méthodologique et des capacités d’analyse peuvent leur permettre de prendre les bonnes décisions et maintenir la tête hors de l’eau.

Est-il possible d’identifier de nouveaux fournisseurs afin de limiter la pénurie des approvisionnements ?

Là encore, il n’y a pas de réponse générique. Entre qualifier une nouvelle source de principe actif dans l’industrie pharmaceutique ou trouver un nouveau façonnier pour une enseigne de mode, ce ne sont clairement pas les mêmes implications. Reste à savoir s’il est plus pertinent de chercher à trouver un nouveau fournisseur ou de se consacrer à accompagner la reprise du panel existant. Comme la crise est à présent mondiale, peu de fournisseurs vont échapper aux perturbations…

Plus qu’une logique de pallier les ruptures, le sourcing doit servir à mieux équilibrer le potentiel de risque face aux futurs développements de la crise. Si, par exemple, 90% de la capacité est répartie entre l’Inde et le Bangladesh, il est plus qu’urgent de trouver des sources alternatives !

Comment les achats peuvent-ils anticiper la relance ? Est-il possible de préempter des stocks ?

Oui, c’est possible et c’est même indispensable dans un certain nombre de cas. Qu’il s’agisse de composants clé type électronique ou d’équipements de protection, les achats doivent anticiper les pénuries pour être les premiers servis. Les fluctuations des cours sur les matières premières sont aussi à surveiller pour prendre les bonnes options.

Au-delà des stocks, il faut aussi négocier des réservations de capacité industrielles et logistiques. Et concernant les masques de protection, cela peut même aller jusqu’à développer de nouvelles capacités, vu la concurrence à l’achat actuelle et à venir.

Quels sont, selon vous, les premiers enseignements à en tirer pour établir les futures politiques achats ?

L’enseignement majeur est que le Risk Management ne peut plus être le parent pauvre des politiques achats face aux enjeux de compétitivité. La résilience doit nécessairement être revalorisée dans les choix de sourcing et de schémas industriels.

La présence d’un dispositif de Risk Management chez le fournisseur n’est plus suffisante, il faut mesurer sa qualité et en faire une partie prenante des critères de mieux disance.

Quels seront, demain, les grands axes de réflexion à privilégier en termes d’achats ?

Il est encore tôt pour le dire. Mais a minima, les achats devront répondre aux trois enjeux mis en évidence par cette crise : la maîtrise, l’agilité et la résilience.

Après cette crise, il ne sera plus acceptable de ne pas avoir de visibilité sur ses fournisseurs au-delà du rang 1. Nombreux sont ceux qui sont encore dans ce cas et qui auront perdu un temps précieux et connu de mauvaises surprises.

Il faudra également se donner les moyens d’être plus agiles. L’équilibrage des capacités, et donc des risques, devra être mieux balancé face à la massification à outrance.

Le dernier axe de réflexion porte sur la continuité d’activité. Développer un dispositif opérationnel de continuité d’activité va devenir un pré-requis. Mais pour que le dispositif assure le bon niveau de résilience à un coût acceptable, il faut aussi le penser de manière globale entre les donneurs d’ordre et leurs partenaires stratégiques. Cela pourrait être une évolution majeure dans la manière de penser et d’organiser sa relation fournisseur.

Pensez-vous qu’il va y avoir une vague massive de relocalisation, de priorité aux achats locaux ?

Massive, certainement pas. Ce pourra être le cas pour certaines productions stratégiques s’il y a une impulsion politique forte pour privilégier l’indépendance vis-à-vis de la Chine à la rentabilité économique. Pour le reste, la compétitivité restera nécessairement un facteur clé qui ne permettra pas de rebasculer totalement vers des achats locaux. Dans un certain nombre de secteurs les savoir-faire ne sont également plus là et sont monopolisés par l’Asie.

En revanche, il est souhaitable de ré-équilibrer ses schémas industriels pour répondre aux enjeux de maîtrise, d’agilité et de résilience. Une intégration plus forte des savoir-faire et la production en zone pour zone sont clairement des réponses à ces enjeux et doivent être intégrées dans les stratégies achats.

Publié par Aude Guesnon le 7 avr. 2020

Les normes ISO font partie de la Soft-Law adoptée par les entreprises pour gérer leurs risques. L’AFNOR présente une norme pour le management des Plans de Continuité d’Activité.

Coronavirus : avez-vous votre plan de continuité d’activité ?

En ce temps de crise sanitaire, les entreprises constatent avec effroi leur impréparation. Anticiper toute perturbation pour y laisser le moins de plumes possible : voilà l’objectif d’un système de management de la continuité d’activité. Et c’est une norme volontaire qui en donne les lignes directrices : ISO 22301. Exceptionnellement, l’AFNOR permet de la consulter gratuitement.  Vous pouvez la consulter gratuitement.

La crise sanitaire que traverse la planète en ce début de printemps 2020 a mis en lumière deux sigles désormais mondialement connus : COVID-19 et FFP2. Le premier désigne le fameux virus ; le second le type de masque censé nous en protéger. Chez AFNOR, on se permettra d’ajouter trois autres sigles qui tombent fort à propos : SMCA, PCA et ISO 22301.

ISO 22301 : le management de la continuité d’activité

Un SMCA, c’est un système de management de la continuité d’activité. Le PCA est son bras armé : le plan de continuité d’activité. Ces deux outils sont décrits dans une norme volontaire internationale : ladite  ISO 22301, dont la dernière version date de novembre 2019 et qu’AFNOR vous propose de consulter gratuitement dans sa boutique en ligne. Pourquoi vous en parler maintenant ? Simplement parce que dans le monde de l’entreprise, il est important d’anticiper une crise, afin de la traverser sans trop de dégâts et de s’en remettre rapidement. « La norme spécifie les exigences pour mettre en œuvre, maintenir et améliorer un système de management afin de se protéger contre les perturbations, réduire la vraisemblance de leur survenance, s’y préparer, y répondre et se rétablir lorsqu’elles se produisent », résume Nicolas Scuto, chef de projet chez AFNOR Normalisation, qui anime le groupe de professionnels ayant mis à jour le document pour la France.

« Inondation, pandémie, coupure du câble télécom dans la rue à cause d’une pelleteuse maladroite… En entreprise, toute perturbation, petite ou grosse, provoque un ralentissement ou une rupture de production, de livraison, de prestation de service, expliquent Yves Mérian et François Tête, membres du Club de la continuité d’activité et contributeurs actifs à la norme, côté français. ll y a dix ans, on attendait six mois, on se faisait indemniser par les assurances et on repartait. Aujourd’hui, ce n’est plus possible. Imaginez des libraires à l’arrêt, qui mettent deux mois à reprendre leur activité : entre temps, le marché sera pris par Amazon et consorts ! » Pratique : le Club de la continuité d’activité met à disposition un guide de mise en place d’un SMCA selon la norme ISO 22301 Guide dans une ETI ou une PME. Vous pouvez aussi vous passer par la case formation : AFNOR Compétences a ouvert une « classe virtuelle » pour apprendre à mettre en place un plan de continuité de l’activité (7 heures, 500 € HT).

ISO 22301 : savoir apprécier les risques et définir les priorités

Dans l’entreprise, il faut désigner un pilote chargé de déployer, suivre et faire évoluer le SMCA. Ce pilote est souvent assisté d’un consultant extérieur, qui aide à sa mise en place. Le SMCA a aussi son référent au Comex. « Cette personne doit bien connaître l’environnement dans lequel l’entreprise évolue, savoir apprécier les risques et avoir le sens des priorités. Elle doit aussi avoir accès à tous les niveaux de l’organigramme, aux fonctions support comme l’informatique et aux services extérieurs comme la médecine du travail. C’est indispensable pour identifier quels sont les postes les plus exposés et les collaborateurs les plus vulnérables, dans le respect du secret médical », soulignent Yves Mérian et François Tête.

A charge, pour elle, de mener sur ces bases un bilan d’impact sur les activités (Business Impact Analysis en anglais, ou BIA). Cet exercice permet de définir des priorités (quel poste, quel équipement, quelle usine mettre à l’arrêt en premier et en dernier recours ?), des délais d’interruption acceptables (plusieurs heures, jours, semaines ?), des effectifs critiques (que faire sans la hotline informatique, sans service courrier ?). S’ensuit plusieurs scénarios qui doivent être finement étudiés : interruption partielle, interruption totale, délocalisation, télétravail généralisé, etc. Et c’est sur ces bases que le fameux PCA, le plan de continuité d’activité, définit les solutions (stratégiques) et mesures (opérationnelles) à mettre en œuvre, en fonction de la situation : plages horaires d’ouverture, modalités de télétravail, roulement d’effectifs, travail dominical, animation de la cellule de crise.

ISO 22301 : amélioration continue et outil de résilience

On le voit, le management de la continuité d’activité touche de près la gestion de crise, elle aussi objet d’une norme volontaire, XP CEN/TS 17091 (août 2019). La cellule de crise choisira les solutions du PCA les plus adaptées, voire en inventera de nouvelles, en toute agilité. Car, il faut bien le reconnaître : « En gestion de crise, on constate souvent que le PCA n’avait pas vu juste pour la crise en question. Car il n’y a pas deux crises qui se ressemblent ! », indiquent Yves Mérian et François Tête, prenant l’exemple de la répartition des masques dans la crise actuelle du coronavirus. C’est pourquoi un SMCA doit se penser en amélioration continue : les leçons d’une crise doivent venir enrichir le plan, pour mieux gérer la crise d’après. C’est le concept de RETEX : le retour d’expérience. »

Bref, la norme ISO 22301 doit figurer au-dessus de la pile au siège de l’entreprise. « Ceux qui l’ont adoptée ne le regrettent pas et se disent mieux armés », conclut François Tête, citant son cas personnel : « Je préside un conseil syndical d’immeuble, et je peux vous dire que cela m’est utile actuellement pour définir quel traitement réserver aux occupants âgés, que faire pour le nettoyage, comment sortir les poubelles… » Une crise fait toujours des dégâts, mais bien gérée, ces dégâts se trouvent minimisés.