Dématérialisation et Risques ou Risques et Dématérialisation ?
A l’heure du numérique et à la prise de conscience de la protection des données personnelles, le risque est partout. Initialement terroriste, social, financier, humain, moral, numérique… la notion est vaste et impacte n’importe quelle structure.
Aujourd’hui, les entreprises ne jurent que par le risque de mise en conformité et risques règlementaires. Soit. C’est avéré, peu importe le secteur de votre entreprise. Néanmoins, la typologie des risques semble être interminable et s’apparente à un véritable labyrinthe. Le secteur pharmaceutique et médical engendre un risque humain majeur en cas de perte de dossier médical, faire une erreur médicale due au manque d’information est probable.
Risques primaires et secondaires : quelle différence ?
Ainsi, il faut prendre en compte le fait que certains risques engendrent des impacts encore identifiés comme des risques secondaires : risque d’image, de eRéputation, financier (en cas de condamnation judiciaire), etc. Théoriquement et avec une méthode monastique, il faut démêler les risques primaires et les risques secondaires.
Les risques primaires sont les risques qu’il faut impérativement supprimer (dans le meilleur des cas), maîtriser, pour certains, mutualiser, assurer et/ou accepter. Les risques secondaires devraient eux aussi être automatiquement maîtrisés, ou le cas échéant, mutualisés, assurés, etc. On comprend l’idée domino : un risque primaire engendre un risque secondaire qui engendre lui-même des impacts ou voire encore d’autres risques (on vous avait prévenu !).
Et la démat' dans tout ça ?
Après cette mise en ambiance qui pourrait faire frissonner n’importe quel acteur économique privé ou public (car il existe des risques propres au service public), questionnons-nous si ce sont les risques qui poussent les structures à entreprendre des projets de dématérialisation ou est-ce que la dématérialisation gouverne les risques ? Intuitivement, on comprend aisément que la gestion de risques (dont certains sont mesurables, d’autres estimables) est une des briques impératives à analyser et à auditer lors de vos projets de dématérialisation.
En effet, le risque de perte de données ou de manque d’efficience en cas de demande d’un suivi de dossier d’un client, patient, citoyen, collaborateur, partenaire est important. Afin de vous prémunir au maximum des risques, il est primordial d’archiver les documents engageants avec toute traçabilité possible. En fonction de la maturité des entités, les Plans de Continuité d’Activité (PCA) et les Plans de Reprise d’Activité (PRA) sont, s’ils existent, les dossiers en lien avec les impacts des risques qui menacent.
Ces documents donnent les procédures, les clés opérationnelles à suivre en cas de rupture d’activité : l’après risque et la gestion de l’impact. Eux-mêmes sont des documents vitaux et donc à protéger, à archiver en respect de la norme NF42 013. Amusant. Finalement respecter la norme, qui permet, de facto, d’éviter le risque règlementaire, permet aussi de maîtriser vos risques. La boucle est bouclée. Les normes prennent ici tout leur sens.
Néanmoins, la réciproque est juste : dans le cadre de projet de digitalisation d’activité, de procédures, les gains sont multiples : pérennité, accessibilité, intégrité, traçabilité des documents sensibles, meilleure collaboration, etc. – des changements qui induisent donc une métamorphose de vos risques comme le risque de perte de donnée ; pour le plus évident, grâce à la sécurisation des documents vitaux. On parle ici de « records management » qui conseille d’identifier les documents vitaux et d’y associer un niveau de risque en cas de perte (norme ISO 15 489) : factures, dossiers médicaux, contrats, fichiers clients, brevets…
La matrice des risques est donc en amont et en aval des enjeux de digitalisation ; peu importe par où on commence, la digitalisation est un point d’inflexion majeur sur vos risques. Néanmoins, l’approche risques reste un épouvantail bien utile pour motiver vos chefs à se lancer dans des projets de digitalisation, aujourd’hui indispensables.
Victor Ablard-Chauvet
Consultant Formateur Serda