(Enfin) arrivé dans la société de l'information ?

"L'information est le pétrole du 21ème siècle, ..." - la demi-citation de Peter Sonder gaard, vice-président senior de l'étude de marché et analyste informatique Gartner Inc. remonte à 2010 et n'était déjà plus une prophétie à l'époque. Parce que la société de l'information n'attend plus dans les coulisses, elle a déjà pris son envol - même si tout et tous ne sont pas encore à bord, loin s'en faut.

(Enfin) arrivé dans la société de l'information ?

 

 

 

Avec la révision majeure de septembre 2015, la norme ISO 9001 a-t-elle enfin fait le saut dans la société de l'information, ou y est-elle même arrivée ? Un examen des changements à cet égard par rapport à la version précédente révèle que beaucoup de choses se sont réellement produites. Tout d'abord, il y a la nouvelle structure de haut niveau (HLS), maintenant aussi appelée "structure de base". Outre une structure entièrement nouvelle, elle a également introduit de nouvelles exigences, en partie sous la forme de nouveaux chapitres, dans la norme ISO 9001, notamment le thème de la "connaissance de l'organisation".

 

Toutefois, le HLS n'est pas entièrement nouveau. Il a déjà été utilisé dans la norme ISO/IEC 27001, entre autres, en 2013. Cette norme est utilisée comme base appropriée pour un système efficace de gestion de la sécurité de l'information (SGSI). Cette exigence s'applique à toute organisation qui veut, et doit absolument, sécuriser ses données, ses informations (documentées), c'est-à-dire ses connaissances et celles de ses clients.

 

Une approche fondée sur le risque traverse désormais tous les chapitres comme un fil conducteur, sans toutefois exiger un processus de gestion des risques distinct. L'exigence omniprésente d'identifier les "opportunités" pour l'organisation y est liée d'une certaine manière, et étroitement liée du point de vue de la norme. Afin d'enlever un peu de l'odeur de loterie à cette matière élémentaire, il aurait été préférable de traduire cela par "opportunités" (opportuni-ties) conformément au texte original anglais.

 

La nouvelle norme donne finalement à ses utilisateurs un degré de liberté nettement plus élevé dans la mise en œuvre de nombreuses exigences - la révision comme une opportunité ! Par exemple, également dans la question de savoir comment traiter les exigences relatives à la connaissance de l'organisation et à la documentation d'information associée.

La connaissance de l'organisation - une ressource centrale
Au chapitre 7.6.1, la nouvelle norme précise dans la note I ce qu'elle entend par "connaissance organisationnelle" : "La connaissance organisationnelle est une connaissance spécifique à l'organisation ; elle s'acquiert généralement par l'expérience. Il s'agit d'informations qui sont appliquées et échangées en vue d'atteindre les objectifs de l'organisation". Le chapitre sur la gestion des connaissances organisationnelles est entièrement nouveau dans la norme ISO 9001. Les exigences à cet égard visent à la fois à prévenir la perte de connaissances (qui peut se produire, par exemple, par la rotation du personnel ou par des défaillances dans le transfert de connaissances) et à motiver l'acquisition de connaissances (par exemple par l'expérience, l'échange, la consultation ou l'étalonnage). Toutefois, aucune gestion systématique et structurée des connaissances n'est requise. La connaissance de l'organisation est en tout cas une ressource centrale, qu'elle soit gérée par un processus séparé ou non !

Qu'est-ce que l'information, de toute façon ?
Ce qui, à première vue, semble être une collecte apparemment aléatoire de données individuelles devient une information lorsque ces données reçoivent une certaine signification, par exemple grâce à un certain arrangement, un ajout ou l'intégration dans un contexte. Dans le meilleur des cas, les informations qui en résultent sont alors porteuses de connaissances significatives sur les choses, les circonstances ou les personnes. Il peut être un atout inestimable pour une organisation - mais seulement si son contenu est réellement utile à l'organisation ! Vu sous cet angle, l'information est une donnée de valeur - la valeur est décidée par l'organisation. La disponibilité des informations, leur intégrité et leur confidentialité doivent être garanties, quel que soit l'usage précis qui peut en être fait. La sécurité des informations est particulièrement importante à cet égard. Et jamais auparavant la demande de normes de sécurité pour la transmission et le stockage des données et des informations n'a été aussi forte que dans la société de l'information actuelle.

 

Quelles sont les connaissances qu'il convient de classer comme des informations documentées ? La norme stipule que le système de gestion de la qualité doit contenir exactement les informations documentées que l'organisme a jugées nécessaires pour que ce système soit efficace. Cela dépend de la situation spécifique qui caractérise une organisation : à quelle industrie elle appartient, quelle est sa taille, quelles sont les attentes des parties intéressées, la complexité de ses processus, le degré de développement des compétences de ses employés, etc. La nouvelle norme met donc fortement l'accent sur le système de gestion de la qualité, nécessaire pour que ce système soit efficace. La nouvelle norme met donc fortement l'accent sur la valeur de l'information (figure 1).

Informations documentées - connaissances plus compétences plus sensibilisation
Qu'est-ce qui se cache derrière ce nouveau terme ? Une approche charmante résume l'idée aussi succinctement que possible, y compris les titres des quatre chapitres de la norme : connaissance + compétence + conscience = information documentée. En revanche, le terme "information", pris isolément, ne contient aucune exigence de documentation de cette information. Dans de telles situations, il appartient à l'organisation de décider s'il est nécessaire ou approprié de conserver des informations documentées. Cela dépend à son tour de la valeur que ces informations représentent pour l'organisation !

 

Le chapitre 7.5 donne un exemple des degrés de liberté accordés par la nouvelle norme. Dans la version 2008 de la norme ISO 9001, basée sur le chapitre 4.2.1, par exemple, au moins six "procédures documentées" sont encore requises et - classiquement - la tenue d'un manuel de gestion de la qualité. Ces deux exigences ont été abandonnées lors de la révision. En même temps, l'exigence de documentation a été maintenue dans de nombreux chapitres.

 

Cependant, tant la vision du sujet que la terminologie ont changé. Ce qui était autrefois des procédures, des documents et des dossiers sont maintenant combinés en "informations documentées". Le terme est utilisé pour tous les documents et preuves requis dans la norme. Selon l'annexe de la norme ISO 9001:2015, il n'est pas obligatoire d'utiliser la structure et la terminologie de la norme dans l'organisation. Il convient plutôt de choisir le terme qui convient le mieux à l'organisation.

 

Jeter les anciennes exigences par-dessus bord avec le papier
Une grande opportunité réside dans le fait que la norme adapte désormais plus fortement les possibilités des technologies modernes de communication et se concentre davantage sur les préoccupations spécifiques des entreprises. Chaque organisation décide elle-même quelles informations sont importantes pour la gestion de la qualité et la réalisation des objectifs organisationnels et lesquelles ne le sont pas. L'organisation choisit également librement le type, l'étendue et l'emplacement de la documentation de ses informations, y compris le stockage des données respectives, à sa propre discrétion et selon ses besoins. Tout cela offre la possibilité d'aborder le thème de la documentation sous un angle nouveau. Pour les organisations, la nouvelle norme pourrait bien être l'occasion de se débarrasser du papier qui comporte encore les exigences de contrôle et de documentation du dernier millénaire.

 

Toutefois, tout cela ne signifie pas qu'une organisation n'est plus "autorisée" à tenir un manuel de gestion de la qualité. La documentation des informations dans un manuel classique de gestion de la qualité peut être utile pour diverses raisons, par exemple pour faciliter la diffusion aux parties intéressées externes. Cependant, si ces raisons n'existent pas - et cela peut être le cas dans le monde des affaires d'aujourd'hui - la question se pose de savoir si cela ne signifie pas que l'on manque l'une ou l'autre des opportunités que l'application d'un logiciel moderne, par exemple dans le matériel mobile, a à offrir ; un smartphone ou un autre support de données peut certainement être utilisé pour le stockage, ce qui augmente énormément la disponibilité et la flexibilité selon la situation. L'information documentée peut être un enregistrement sonore ou une vidéo et pas seulement le papier classique. Une limitation possible : la sécurité des informations documentées diminue à mesure que le degré de disponibilité augmente - mais seulement si aucune mesure appropriée n'est prise pour les sécuriser.

Traitement des informations documentées
Le chapitre 7.5.2 formule les exigences relatives à la création, la maintenance et la mise à jour des informations documentées. Au moins trois aspects doivent être pris en compte, la norme mettant l'accent sur l'adéquation et la pertinence (chevauchement partiel avec le contrôle des informations documentées, voir ici) :

 

  • Étiquetage et description → récupération rapide des informations documentées et de leur affectation fiable ;
  • Stockage : format et support → évitement des discontinuités de support, versions différentes (contrôle de version), redondances, relecture après stockage, préservation de la lisibilité ;
  • Examen et approbation → Éviter la surréglementation. Le principe rigide du "créateur-processeur-réviseur-diffuseur" n'est pas toujours approprié. Il pourrait donc être également possible et judicieux de faire approuver l'œuvre par le créateur, par exemple dans le cas des instructions de travail simples et très fréquemment applicables dans des domaines non sensibles.

 

Si la norme exige que les informations soient maintenues, elles doivent être mises à jour si nécessaire et être disponibles à tout moment ; dans ce contexte, on ne peut exclure que des versions plus anciennes doivent être conservées, éventuellement pour documenter un statut antérieur. Dans la version 2008 de la norme ISO 9001, il s'agissait de documents ayant un statut par défaut. Si seule une conservation est requise, par exemple comme preuve de la compétence des employés, les informations doivent être stockées et disponibles, ce qui était auparavant appelé un document à caractère probatoire. Le terme "période de rétention" n'est plus utilisé par la norme. La durée pendant laquelle les informations documentées sont (devraient ou doivent être) conservées est déterminée par l'organisation elle-même en fonction du contenu des informations documentées, de préférence avec l'aide d'un expert juridique. (Graphique 2).

Contrôle des informations documentées
Le chapitre 7.5.3 contient les exigences relatives à la gestion des informations documentées. Sa gestion est nécessaire afin de le rendre disponible. À première vue, peu de choses ont changé par rapport à la version 2008 (chapitre 4.2.3 / 4.2.4). Cependant, l'utilisation des moyens de communication modernes pour gérer les informations documentées fait apparaître des aspects entièrement nouveaux. Les questions possibles sont les suivantes : Quelles informations documentées doivent être gérées à quel niveau de communication avec quel support de communication et comment et où doivent-elles être stockées ? Qu'en est-il de la disponibilité au lieu et au moment où le besoin s'en fait sentir, de l'intégrité (authenticité), de la confidentialité et de la sécurité des informations documentées (informations internes et externes marquées comme telles) ?

Protéger efficacement les informations documentées
À ce stade, au plus tard, la sécurité de l'information (norme ISO/IEC 27001:2013) mentionnée ci-dessus entre à nouveau en jeu. Bien que la norme ISO 9001:2015 exige la disponibilité, l'intégrité et la confidentialité des informations documentées, ainsi que la protection contre les accès non autorisés, etc., elle ne fournit pas aux organisations les outils de gestion et les procédures techniques et organisationnelles nécessaires à cette fin - ou n'exige pas explicitement leur utilisation.

 

La confiance nécessaire dans la sécurité des données ou des informations documentées est particulièrement importante en ce qui concerne les attentes des parties intéressées d'une organisation. La norme ISO/IEC 27001 est basée sur un processus de gestion des risques qui traverse toute la structure organisationnelle et commence par la conception des processus et des systèmes. En particulier lorsque les moyens de communication modernes tels que le courrier électronique, les médias sociaux ou les solutions de cloud computing, etc. constituent la base d'informations documentées (ce qui est désormais la norme dans certains secteurs), cette procédure est le premier choix.

 

Cela comprend surtout l'aspect de la "sensibilisation des employés". Toute solution technique ou organisationnelle peut être aussi bonne qu'elle l'est : Si les gens ne sont pas conscients des conséquences possibles (le risque) de leurs actes, il est très peu probable qu'ils agissent correctement en termes de protection. Un autre point important est que, comme déjà mentionné ci-dessus, la norme est également basée sur le HLS - les deux normes se complètent donc parfaitement dans un système de gestion !

La valeur de l'information est au premier plan
En résumé, on peut dire que la norme ISO 9001:2015 place la valeur de l'information pour le système de management ou l'organisme au premier plan lorsqu'il s'agit de décider de sa documentation. Comme le montre la note du chapitre 7.5.1, la détermination du champ d'application nécessaire est également basée sur ce point. Un autre aspect important est le terme "adéquation". L'information est une valeur (organisationnelle) importante ; la société de l'information nous fournit chaque jour de grandes quantités de données - mais toutes ne sont pas précieuses - c'est précisément là qu'intervient le principe d'adéquation.

 

Ce qui est considéré comme approprié en termes de portée et de contenu est déterminé par l'organisation elle-même, mais repose sur divers facteurs. Par exemple, l'étendue de la documentation dépend de la compétence du personnel employé. D'autres facteurs sont :

 

  • Stratégie et objectifs de l'organisation
  • Champ d'application du système de gestion
  • les attentes pertinentes des parties intéressées
  • les processus requis/nécessaires et leur complexité
  • Risques et opportunités concernant les processus requis
  • la technologie utilisée
  • Offre de produits/services
  • Risques et opportunités concernant les produits/services
  • Exigences de conformité

 

L'exigence d'informations documentées - une opportunité
Il est clair que le degré de liberté plus élevé offre davantage de possibilités de prendre en compte les préoccupations spécifiques des entreprises et d'éviter ou de réduire la surréglementation. En même temps, cela signifie une meilleure acceptation des informations documentées par le groupe cible réel - et ce n'est certainement pas le cas des auditeurs ! Les entreprises ont la tâche de décider elles-mêmes quelles informations sont pertinentes pour le système de gestion, dans quelle mesure et sur quel support de données elles doivent être stockées. Et ils doivent s'assurer que la ressource "connaissance de l'organisation" est protégée.

 

Les possibilités qui découlent de la mise en œuvre appropriée des nouvelles exigences sont le gain réel de la révision. À cet égard, la question posée au début, à savoir si la norme ISO 9001 dans sa nouvelle version est maintenant (enfin) arrivée dans la société de l'information, ne peut être répondue que par un oui retentissant ! Et le point positif est que le transfert des thèmes de la norme ISO 9001 vers les informations documentées est - si l'ensemble des règles sous-jacentes le permet - également possible vers tout autre système de gestion.
possible.

 

 

 

(150 visites, 1 visite aujourd'hui)

Plus d'articles sur le sujet