La sécurité
Les risques liés à
la non-conformité :
une introduction
Serge Dufour, rédacteur, Documéric, chef de projet
L’évaluation des risques de non-conformité est une étape essentielle lorsque vous voulez mieux comprendre à quoi peut s’exposer votre organisation lorsqu’elle ne porte pas suffisamment attention aux nombreux problèmes qui peuvent survenir lors de la réalisation de vos opérations quotidiennes. Il s’agit principalement d’un exercice qui vous permettra de mettre en lumière tous les éléments de sécurité qui pourraient porter de sérieux préjudices à votre organisation, à vos clients et usagers ou à des parties prenantes.
Ainsi, définir les risques liés à la non-conformité va impliquer l’identification des conséquences potentielles qui peuvent survenir si les processus de gestion des documents ne sont pas conformes aux politiques, aux lois et aux réglementations qui s’appliquent à vous. Que ce soit l’accès aux documents, l’emplacement des fichiers, le lien établi entre les informations qu’ils contiennent et les obligations juridiques ou normatives qu’ils impliquent, vous aurez besoin de passer en revue de toutes les pratiques que vous aurez à mettre en place, en identifiant celles qui sont à traiter en priorité. C’est le but de cet exercice.
Les risques de sécurité liés à la gestion de vos informations vous demanderont donc de mettre en place un cadre de projet qui vous permettra de définir les nombreuses étapes qui vous attendent dans ce travail d’évaluation.
Les étapes clés de ce cadre de projet vous amèneront à :
- Identifier initialement les règlements, lois, normes et politique que votre organisation devra appliquer. Cet examen vous permettra de baliser l’ensemble des contraintes auxquelles vous êtes lié et d’établir les niveaux de priorité que vous pourrez définir pour les travaux que vous aurez à réaliser. Lois associées à la confidentialité des informations, lois fiscales, mesures de sécurité déjà mises en place, politiques existantes, etc. sont autant d’éléments que vous pourrez examiner.
- Évaluer les processus de gestion documentaire qui sont déjà en place afin d’identifier dans un premier temps les écarts potentiels que vous pourriez rencontrer par rapport par rapport aux élément identifiés précédemment.
- Identifier les conséquences potentielles auxquelles vous vous exposez si ces écarts ne sont pas corrigés. C’est l’exercice qui vous permettra de mesurer les coûts auxquels vous vous exposez si un accident, une fuite, un accès non contrôlé se produit. Les conséquences possibles vont inclure des sanctions financières, des poursuites judiciaires, une perte de réputation, un bris de confiance de la part de vos clients, partenaires, etc.
- Évaluer le niveau de risque associé à chaque écart que vous avez identifié. Vos risques peuvent être évalués en fonction de la probabilité que de tels écarts puissent survenir. Il existe des outils qui peuvent vous guider dans cette évaluation. Vous pouvez aussi utiliser les ressources que vous avez déjà dans votre organisation afin d’évaluer ce niveau d’impact potentiel.
- Préparer un plan d’action pour pallier aux risques que vous avez identifiés. Au cours de ces travaux, vous pourrez identifier les mesures initiales que vous allez mettre en place afin d’atténuer ces risques. Votre plan d’action va inclure la mise en place de processus de gestion documentaire améliorés, l’élaboration de politiques visant à uniformiser vos processus de travail, la formation du personnel, l’utilisation d’outils de gestion documentaire permettant un meilleur contrôle de vos documents, etc.
Pour résumé, il suffit de mentionner que les coûts et impacts reliés aux événements présentant une non-conformité représentent un risque aléatoire qu’aucune organisation ne devrait prendre à la légère. Pour la majorité des organisations qui ont négligé cet exercice et qui ont connu les impacts de tels événements, il est plus que probable que cet exercice d’évaluation aurait représenté le meilleur investissement qu’ils auraient pu faire aux vues des dégâts qu’ils ont pu ainsi éviter.
Serge Dufour
Technicien en documentation, technicien informatique et gestionnaire de projets chez Documéric
________________________________________
Vous voulez en savoir plus sur notre entreprise?
Avis légal : Nos articles sont présentés en tant qu’information générale. Il ne s’agit pas d’avis juridiques, d’avis concernant un domaine ou une profession réglementée. Nos articles sont présentés uniquement en tant que source d’information générale et moyens de vulgariser les domaines de connaissance qui touchent l’ensemble de nos services. S’il y a lieu, vous êtes invités à consulter la législation pertinente et les professionnels qui y sont associés si vous avez l’intention d’utiliser l’information contenue dans nos pages.