III. Le PCA en période de crise sanitaire
A. Le PCA : un outil managériale
expérimenté
1. Les facteurs de réussite du PCA
Depuis sa première apparition dans le milieu des
années 1990, le Plan de Continuité d'Activité a pu
s'enrichir au gré de l'avancée des expériences et des
événements de crise dont nous avons pu faire état
précédemment. En effet, il est esentiel de rappeler que pour
devenir un outil performant dans une entreprise, le PCA doit être mis
à jour de manière régulière. Cette actualisation de
l'outil peut se faire après des audits, après des tests et/ou
exercices mais
45
également après la survenance d'une crise ayant
permis de relever les points faibles de l'organisation en matière de
continuité d'activité. La norme ISO 22 301 établi en 2012
fournit un cadre méthodologique mais aussi une reconnaissance à
l'international des bonnes pratiques sur le Système de Management de
Continuité d'Activité par le biais de cette certification.
On peut ainsi constater que le PCA apparait comme un outil de
management pertinent et reconnu pour assurer la continuité de
l'activité pour une organisation en réponse à une crise.
En effet, l'élaboration structurée d'un PCA dans une entreprise
va permettre, lorsqu'une crise survient, de prendre les décisions
adéquates dans les meilleurs délais. Toutefois, pour que l'outil
puisse être véritablement performant il est nécessaire de
relever les facteurs de réussite.
Ø Pourquoi réaliser un PCA
? : Cette question essentielle va permettre de définir les
activités assurant la pérennité de l'entreprise. Cela
signifie que le PCA ne concourt pas à préserver
l'intégralité de l'organisation mais bel et bien certaines
activités, certains secteurs. La réflexion autour de cette
question apparait donc comme incontournable, coeur de travail pour impulser les
démarches en faveur de ces activités jugées critiques.
Ø La composition : Le PCA
comporte de nombreux éléments à mettre en place dont
notamment des activités, des procédures, de la documentation,
etc. Bien que tous ces éléments n'apparaissent pas comme
primordiaux, leur mise en place tend à assurer au mieux la
préservation de l'activité. Dans la composition du PCA on
retrouve :
o L'analyse d'impact sur le business (BIA) : Pour
rappel, cette analyse va permettre de détailler les activités
critiques et essentielles à la pérennité de l'entreprise.
L'objectif est donc d'anticiper les impacts qu'il est possible de rencontrer si
une de ces activités cesse. Cela comprend également les relations
avec les différentes parties prenantes de l'entreprise, et plus
particulièrement les clients et les fournisseurs.
o Le Plan de Continuité Opérationnel (PCO) :
Après la survenance de la crise, cette étape consiste
à redémarrer l'activité avec un minimum de ressources pour
délivrer un minimum de produits et/ou de services. C'est ce qu'on
appelle plus communément le mode « dégradé ».
o Le Plan de Reprise Informatique (PRI) : De la
même manière que l'on redémarre les activités de
produits et/ou de services, le PRI a pour finalité de remonter le
système informatique qui a pu être détruit ou qui a pu
être indisponible que ce
46
soit par l'accessibilité des locaux mais
également par des pertes de données. Il semble important de
définir un PRI quand on sait l'importance que prennent les Technologies
de l'Information et de la Communication (TIC) dans la gestion des
activités de nos jours.
o Gestion de crise : Ce module est d'une grande
importance. En effet, même si le PCA n'est pas finalisé ou ne
répond pas au caractère spécifique de la crise, cela
permet d'avoir des outils suffisant pour gérer l'évènement
et parvenir à redémarrer l'activité plus sereinement.
o Plan de communication : La communication revêt
un rôle très important. Elle va s'orienter vers la presse, les
médias, les clients, fournisseurs et autres partenaires sans oublier les
collaborateurs qui ont besoin d'avoir les informations relatives à
l'évolution de la crise et ses impacts sur la gestion au l'entreprise.
La communication va également être un levier pour diminuer le
stress et l'anxiété qui peuvent émerger du fait de la
situation de crise.
Ø Un pilotage par la Direction
: Tout d'abord, il faut bien considérer que bien que le
Plan de Continuité d'Activité se doit d'être impulsé
par la Direction, il touche l'ensemble de l'organisation de manière
horizontal. Qu'elles soient critiques ou non-critiques, toutes les
activités vont être concernées par le PCA. C'est la raison
pour laquelle la Direction doit être porteur de ce projet et de sa bonne
réalisation. Pour ce faire, elle doit s'impliquer dans toutes les phases
de la continuité d'activité. Sans cela, le PCA peut être
voué à l'échec ou peut avoir des impacts très
négatifs sur l'entreprise après la survenance d'une crise.
Ø Une culture d'entreprise :
Il s'avère que plus le PCA est intégré dans l'entreprise
et dans l'ensemble des activités, plus la capacité de
résilience va augmenter. Cela va parfois permettre d'engendrer une
certaine autonomie des processus du fait de l'implication récurrente de
la stratégie de continuité d'activité.
Ø Focaliser sur l'indisponibilité :
Afin de prévenir les conséquences d'une crise, il
est préférable de se focaliser sur les indisponibilités
plutôt que sur les risques eux-mêmes. En effet, cela va permettre
un gain de temps et d'argent car le PCA veille à répondre
à ces indisponibilités et à assurer la continuité
d'activité malgré ce manque de ressources.
Ø
47
Adapter la technologie : Les
avancées technologiques permettent de préserver de nombreuses
données essentielles à l'entreprise, autant en matière de
continuité d'activité qu'en facteur clés de succès
qui assurent sa pérennité et son avantage sur le marché.
Il est donc pertinent de s'équiper et de former les collaborateurs
autour de la technologie. Néanmoins, il apparait comme évident de
trier les données que l'on souhaite conserver au risque d'engranger un
trop-plein d'informations.
Ø Pratiquer : Comme le
préconise la norme ISO 22 301, il est essentiel de pratiquer par des
tests et des exercices le PCA afin de rendre l'organisation toujours plus
résiliente et autonome en matière de continuité
d'activité. Cela va par ailleurs conduire à l'apparition de
reflexes. Ainsi, dès la survenance de la crise, il sera possible de
mettre en oeuvre les premiers modes opératoires pour conduire la
continuité d'activité sans avoir à chercher dans les
procédures les conduites à tenir. Enfin, plus l'entreprise aura
réaliser des tests et exercices, et plus son personnel sera autonome. On
parvient dès lors à mettre en pratique un PCA de façon
véritablement efficiente.
A travers ces différents éléments, on
constate que la seule mise en place d'un PCA ne permet pas de répondre
à une crise. Pour cela, il est essentiel que la Direction soit
impliquée dans le projet. En ce sens, une stratégie
réfléchie de communication doit s'établir à travers
les principaux partenaires ainsi qu'au personnel. De plus, pour assurer son
efficience, le PCA doit être intégrer dans le système de
management de l'entreprise, notamment pour assurer son amélioration
continue.
2. REX et PCA
Le Retour d'Expérience (REX-RETEX) est un processus
très important en matière de continuité d'activité.
L'OMS défini le REX comme « une évaluation en profondeur des
actions de gestion entreprises au cours d'un événement de
santé publique, faites par la suite afin d'identifier les lacunes, les
leçons et les meilleures pratiques ». Ainsi, concernant un
événement d'ordre sanitaire, l'OMS ajoute que le REX « offre
une approche structurée pour les individus et les organisations
impliqués dans la préparation et la réponse aux
événements sanitaires de réfléchir à leurs
expériences et leurs perceptions sur la réponse donnée
à l'événement ». Il apparait donc
48
que le RETEX ne consiste pas en une simple suite de remarques
mais bel et bien une réflexion sur les enjeux soulevés par une
crise. En ce sens, il met en exergue les points positifs et les points
négatifs d'une organisation dans sa qualité d'adaptation face
à une crise, et en cela, se veut être un outil
d'amélioration continue pour l'entreprise. En effet la norme ISO 22 301
énonce qu'une « organisation doit continuellement améliorer
l'efficacité de son dispositif de continuité d'activité et
de gestion de crise soit à la suite d'exercices, d'audits mais aussi de
crises réelles et leurs retours d'expériences ». Ainsi, le
REX est un processus qui a permis de faire évoluer le PCA et son
applicabilité en temps de crise.
Par ailleurs, les différentes crises majeures que nous
avons relevées précédemment dont Tchernobyl, Fukushima,
AZF, etc., ont également pu être des bases de réflexion
pour améliorer la prévention et assurer au mieux la
continuité d'activité pour de très nombreuses entreprises.
Bien que beaucoup de structures n'aient pas été directement
impactées par les conséquences de ces événements,
elles ont néanmoins pu mettre à jour leur PCA tant au niveau de
leur BIA que de leur stratégie de communication ainsi que dans la
gestion de leur cellule de crise. Par conséquent, les faits marquants de
l'Histoire qui ont conduit à des situations de crise ont
été des sources conduisant à l'amélioration de
l'outil de management qu'est le PCA pour le rendre toujours plus performant.
L'étude quant à l'amélioration de l'outil a notamment
permis de faire ressortir une construction du PCA fondée sur les
conséquences d'une crise et non pas les risques
générés. Ainsi, dans un article paru dans
Sécurité et Stratégie, Stéphanie Ruelle
déclare que « ces réflexions donnent un caractère
très opérationnel à la gestion des crises et à la
continuité d'activité qui ne doivent plus être
considérées comme des activités connexes à
l'entreprise »1.
Nous avons démontré qu'il est primordial
d'élaborer le PCA en collaboration étroite entre la Direction et
le personnel ainsi que divers autres partenaires. En matière de crise
sanitaire, la grippe A (H1N1) a favorisé l'élaboration d'un PCA
dans les entreprises pour faire face à un épisode
d'épidémie pouvant aller jusqu'à une situation de
pandémie. A ce titre, Patrick Le Moal, Directeur adjoint du travail au
sein de la Direction Régionale du Travail, de l'Emploi et de la
Formation Professionnel en Haute Normandie a constaté que de nombreuses
entreprises se sont inquiétées des conséquences d'une
telle épidémie. En réponse à l'intérêt
d'établir un PCA pour anticiper la crise sanitaire de la Grippe A en
2009, Patrick Le Moal déclare « si cette
1 Ruelle, S. (2012). Continuité
d'activité et gestion de crise : de la technique à l'humain.
Sécurité et stratégie, 10(3), 32-40.
49
pandémie ne se déclare pas, il est
statistiquement envisageable que nous en connaissions une autre dans les
années à venir ». Ainsi, les entreprises ayant mis en
oeuvre un PCA en amont de la survenance d'une crise ont pu anticiper des
actions à mettre en oeuvre si une autre crise survenait. Par ailleurs,
il ajoute que le PCA « est en fait un travail plus global sur la
préparation de l'entreprise à un fonctionnement en mode
dégradé. Sachant qu'aujourd'hui beaucoup travaillent
déjà en flux tendu, avec des effectifs « serrés
» et de fortes dépendances entre les métiers, on
s'aperçoit que cette réflexion n'est pas inutile ». On
constate de fait que l'élaboration d'un PCA, en plus de son objectif
premier qui est de faire face à une crise, est présenté
une fois encore comme un outil rendant une organisation davantage
résiliente et assure son efficience.
Néanmoins, outre son apport qui peut procurer dans la
gestion d'une crise, le PCA présente également des aspects
négatifs
B. Le PCA : le dévoiement de l'outil de ses
réelles finalités
1. Les limites intrinsèques au PCA
Malgré son souhait d'anticiper et répondre
à une crise, le PCA présente néanmoins quelques
faiblesses. Tout d'abord il convient de rappeler que le PCA n'apparait pas
comme une solution miracle en temps de crise. En effet, une organisation ne
peut déployer un PCA lors de la survenance d'une crise et imaginer ainsi
sauver ses activités critiques. Pour être efficace, l'outil doit
être élaboré en amont de la crise afin d'anticiper les
impacts sur l'organisation et les possibles actions qui permettent de
préserver le personnel et les ressources clés. C'est la raison
pour laquelle un PCA doit être mis à jour de manière
régulière. Toutefois, aux yeux de certains dirigeants, le PCA
peut être un outil couteux. Ainsi, bien qu'il soit mis en place dans les
entreprises, il n'est pas une priorité dans un grand nombre d'entre
elles, et de fait est rarement mis à jour. De ce constat découle
une mauvaise communication de l'outil auprès du personnel ce qui rend
son application très complexe.
Bien qu'il existe une norme, l'ISO 22 301, qui permet de
définir les principes généraux d'un plan de
continuité d'activité et son intégration dans le
système de management d'une entreprise,
50
le PCA devient bien souvent qu'une procédure de plus
dans un tiroir pour beaucoup d'organisations. Tandis que le PCA procure une
sensation de sécurité pour l'organisation, et notamment pour ses
dirigeants, il devient dans ce cas très peu efficace.
L'élaboration d'un PCA entraine une mise en place de procédures
supplémentaires et spécifiques à la gestion de crise. Mais
l'apparition d'exercices, de tests ou d'audits, peuvent être
perçus comme fastidieux et couteux. Néanmoins, ces étapes
sont primordiales pour prendre en compte les évaluations des risques, la
vulnérabilité des processus, les nouvelles réglementations
et leurs impacts sur l'organisation de l'entreprise. Les crises ne surviennent
que rarement, ainsi sans la réalisation de tests et exercices qui
permettent la maitrise instinctive des processus, le risque de subir un
dysfonctionnement est davantage élevé. Clotilde Marchetti,
Directrice de l'offre « Risques Extrêmes » dans les cabinets
d'Audit Grant Thornton déclare qu'il « ne suffit pas de mettre
en place un PCA, il faut le faire vivre. Les organisations évoluent et
les hommes changent au sein des organisations. Il faut donc s'assurer
régulièrement que les PCA sont toujours adaptés et les
tester à travers des exercices pour que les personnes soient mieux
armées en condition de crise. Il y a un sujet à la fois de
formation et de compétence non seulement pour les spécialistes et
responsables du PCA, mais aussi pour les métiers et les fonctions
support ». Toutefois, il s'avère que dans 88% des cas, le PCA
n'est actualisé qu'annuellement. C'est alors que l'objectif premier qui
est de contenir les effets négatives d'une crise n'est pas atteint, la
mauvaise application des procédures relevant du PCA fait apparaitre de
nouveaux risques.
Par ailleurs, c'est bel et bien le coût en temps et en
argent qui désincite les dirigeants à la bonne mise en place d'un
PCA dans leur entreprise. En effet, le projet d'élaboration d'un PCA ne
permet pas de gagner de l'argent à une organisation, il est donc
considéré et traité comme un centre de coûts. Bien
qu'il puisse être perçu comme une assurance en cas de crise, nous
avons pu constater que son application seule ne permet pas de maitriser la
totalité des conséquences de la crise et préserver ainsi
l'ensemble de ces activités. Et puisqu'un PCA n'assure pas pleinement la
pérennité de l'entreprise, son coût peut apparaitre comme
un frein pour les dirigeants. A ce titre, en France, le Secrétariat
Général de la Défense et de la Sécurité
Nationale propose dans le Guide pour réaliser un Plan de
Continuité d'Activité un schéma permettant
d'apprécier le coût de la mise en place d'un PCA et lien avec la
durée de l'interruption de l'activité.
51
Schéma : Coût de mise en place d'un PCA
Source : SGDSN, Guide de réalisation d'un PCA
Ce que le SGDSN relève, c'est qu'il est possible que le
coût de mise en place d'un PCA puisse s'avérer plus
élevé que les conséquences de l'interruption de
l'activité. Dans ce cas, il serait préférable de mettre
oeuvre une stratégie de prévention et de protection pour limiter
ces conséquences mais également préserver la santé
du personnel. In fine, une étude menée par les cabinets d'audits
Grant Thornton sur plus de 5000 entreprises a démontré que bien
que 60% d'entre elles entretiennent le projet de réalisation d'un PCA
avec leur Direction, seuls 15% des sondés ont véritablement mis
en place un PCA dans leur entreprise. Clotilde Marchetti ajoute à cela
que « le maintien en conditions opérationnelles des PCA est
souvent perçu comme une corvée administrative et chronophage,
alors qu'il existe des solutions digitales ou innovantes pour le faciliter
».
Il est également possible d'externaliser la mise en
place de son PCA, notamment en matière de continuité du
système d'information. Mais là encore, son coût par rapport
à la probabilité de survenance d'une crise n'incite que
très peu les directions d'entreprises à opter pour cette
méthode. D'autant plus qu'à cela s'ajoute des enjeux de
responsabilité et une obligation de résultat.
La dénomination du PCA peut également être
trompeuse. En effet, la notion de « Plan » induit que l'ensemble des
procédures sont écrites, anticipées et lors de la
survenance d'une crise il ne
52
suffira que de déployer le PCA pour assurer la
pérennité de l'entreprise et préserver l'état de
santé du personnel. La pandémie COVID-19 a démontré
la défaillance du PCA sur ce sujet. En effet, le PCA peut
répondre à une indisponibilité de ressources humaines, une
indisponibilité des locaux ou encore une interruption du système
d'information mais peu d'entreprises ont anticipé une
indisponibilité des ces trois domaines simultanément. C'est ce
que le statisticien Nassim Nicholas Taleb a dénommé Le Cygne
Noir1. Il s'agit d'une théorie selon laquelle un
évènement imprévisible et peu probable se réalise
et a des conséquences de grandes envergures. Autrement dit, le cygne
noir repose sur les caractéristiques relevant d'une anomalie, d'un
impact extrêmement fort, et d'une prévisibilité
rétrospective et non prospective. C'est dans ce contexte que la
rigidité de la documentation du PCA et le cadrage des procédures
l'a emporté sur la flexibilité. La simultanéité des
indisponibilités en raison de la dimension de la crise sanitaire fait
apparaitre des points faibles dans l'organisation de la continuité
d'activité : les cellules de crise mettent davantage de temps à
s'organiser en raison du caractère inédit et de l'ampleur de la
crise, le confinement a ralenti le processus de gestion de crise, que peu
d'entreprises avaient anticipé le télétravail comme
solution de repli (avant le confinement, seuls 7% des salariés
français selon Forum Vies Mobiles). Ainsi, bien que le PCA soit un outil
essentiel dans le domaine de la gestion des risques et la continuité
d'activité, la crise de la COVID-19 a permis de constater qu'il
présentait des limites. La crise est imprévisible par nature,
notamment car elle nait et évolue dans des systèmes complexes. A
ce titre, l'élaboration d'un PCA peut donner une illusion de
contrôle alors qu'il est difficile d'envisager l'ensemble des
scénarios permettant de limiter les conséquences d'une crise.
Enfin, nous avons constaté que le PCA se réalise
en priorisant les activités jugées critiques pour la survie de
l'organisation. De ce fait, il est essentiel d'une part que la Direction soit
fortement impliquée, et d'autre part que les Directions métier se
sentent concernées par le sujet. Afin d'apprécier la
criticité des processus métiers, il est nécessaire
d'auditionner les managers opérationnels qui sont les seuls à
pouvoir évaluer ce qui est critique ou non dans leur activité.
Néanmoins cela soulève une faille dans la bonne gestion de la
procédure de continuité d'activité. En effet, les services
et les équipes peuvent entrer en concurrence pour justifier leur valeur
et leur position dans leur entreprise. Certain se sentirait lésé
de constater que leur activité n'est pas perçue comme importante
pour l'organisation. Cela peut déboucher sur des conflits
1 Rioust de Largentaye, A. (2011). Nassim Nicholas
Taleb, Le Cygne noir, la puissance de l'imprévisible.
Afrique contemporaine, 237(1), 157-160
53
en interne mais peut également apparaitre comme une
source d'anxiété quant à la pérennité de
leur emploi qui ne serait pas indispensable pour l'entreprise.
2. Le dévoiement du PCA de ses finalités
Nous avons pu constater qu'une mauvaise élaboration et
une mauvaise application du PCA en temps de crise peut engendrer davantage de
dommages que la crise en elle-même. C'est la raison pour laquelle, il est
primordial de nommer un responsable du PCA. Ce dernier doit être
doté d'une délégation de pouvoir conforme aux
règles juridiques pour assurer sa mission. Pour cela, le responsable
devra être doté de moyens suffisant pour réaliser le PCA,
et qu'il dispose de la compétence et l'autorité pour l'instaurer
dans l'organisation. Cela signifie également que le
délégataire aura la responsabilité pénale du PCA.
Ainsi, la mise en place d'une délégation de pouvoir dans le cadre
de l'élaboration d'un PCA va permettre au délégataire de
représenter l'organisation dans les limites de ses attributions.
L'avocat à la Cour Maître Couturier déclare en ce sens que
la délégation de pouvoirs consiste en « un transfert
d'une autorité, ce qui implique non seulement le transfert d'un pouvoir
de décision et celui de la responsabilité attachée
à ce pouvoir ». Pour être effective d'un point de vue
légale, la délégation de pouvoir doit comprendre :
- Un lien de subordination entre les parties (Cass Ch. Soc. 27
mars 2019 n°18-11.679),
- Des domaines de compétences précis et
spécifiques (Cass., Ch. Crim., 20 octobre 1999, numéro 98-83562 ;
et Cass., Ch. Crim, 21 octobre 1975, numéro 75-90427)
- Une délégation de la compétence, de
l'autorité et des moyens nécessaire (Cass., Ch. Crim, 30 octobre
1996, Bull. Crim. Numéro 389).
Toutefois la délégation de pouvoir en
matière de continuité d'activité n'est pas anodine.
Malgré l'instauration d'une politique de prévention des risques,
les conséquences d'une crise peuvent être telles que cela peut
entrainer des dommages et une interruption de l'activité. Dans un monde
ultra-concurrentiel, ces conséquences peuvent constituer un fort
préjudice pour l'entreprise mais également l'ensemble de ces
partenaires. Dans un tel cas, les responsabilités provenant d'un tel
dysfonctionnement incombent aux dirigeants. C'est ainsi que la
délégation de pouvoir dans la réalisation d'un PCA prend
son sens. En effet, la délégation de pouvoir et la
délégation de responsabilités qui en découle lors
d'un dysfonctionnement vont alors reposer sur la personne en charge du PCA au
sein de l'organisation. C'est un moyen pour les dirigeants de
54
se dédouaner de leurs responsabilités lors d'une
mauvaise application du PCA. En effet, plusieurs décisions rendues en
1993 en matière de délégation de pouvoir précise
que « hors le cas où la loi en dispose autrement, le chef
d'entreprise [...] peut s'exonérer de sa responsabilité
pénale s'il rapport la preuve qu'il a délégué ses
pouvoirs à une personne pourvue de la compétence, de
l'autorité et des moyens nécessaires ». Ainsi, en cas d'une
mauvaise gestion de prévention des risques ou d'une mauvaise
élaboration du PCA, la responsabilité incombera au responsable et
non aux dirigeants. A ce titre, le PCA peut être perçu par ces
derniers comme un outil permettant de se dédouaner en cas de
dysfonctionnement lors de la survenance d'une crise.
Par ailleurs, le PCA permet d'assurer la continuité des
activités par l'intermédiaire des personnes clés de
l'entreprise. A ce titre, l'élaboration du PCA doit être fortement
corrélée avec la gestion des ressources humaines. Le BIA
(Business Impact Analysis) a pour vocation d'identifier les ressources humaines
essentielles permettant d'assurer la continuité d'activité. Cela
peut être anticipé et planifié pour des crises de courtes
durées lorsqu'il s'agit d'une indisponibilité temporaire de
locaux en raison d'un incendie ou d'actes de malveillance. Mais rares sont les
entreprises à avoir anticipé la crise de la COVID-19 et ses
conséquences multifactorielles sur une longue durée. En effet,
outre le fait que cette crise sanitaire ait touché de nombreux pays dans
le monde, elle a conduit à des mesures inédites de confinement
généralisées. Cela a fait apparaitre de nouveaux risques
principalement humains qu'à ce jour, le PCA n'est pas en mesure de
prendre en compte.
| 
