Description
La continuité d’activité se définit comme un ensemble de mesures et de procédures permettant de protéger et de maintenir les activités dites essentielles d’une structure face à un évènement majeur. Elle se distingue de la gestion de crise qui a vocation à traiter une urgence spécifique.
Les plans de continuité (PCA) sont définis dans le Journal Officiel du 03/11/2014 de la façon suivante :
« Ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles […] puis la reprise planifiée des activités. »
Le plan de continuité d’activité
Le PCA est une boîte à outils permettant de faire face à des situations d’exception. Il formalise l’ensemble des mesures et dispositions permettant le maintien de l’activité d’une structure face à des évènements pouvant avoir des impacts sur les locaux, les ressources humaines, les systèmes d’informations ou les partenaires et fournisseurs.
Ces procédures peuvent déjà exister de façon informelle au sein d’une structure. C’est par exemple le cas du télétravail ou du recours à des horaires adaptés. La démarche de continuité d’activité permet de planifier à froid et de formaliser une réponse structurée.
Ce plan doit se distinguer des plans communaux de sauvegarde ou des plans de gestion de crise. Il a vocation à assurer la gestion d’un évènement, éviter son aggravation et à terme, réussir à l’atténuer voir à le résorber. Les plans de gestion de crise n’impliquent qu’une partie limitée des effectifs d’une structure pour la seule gestion d’une crise.
Les PCA n’ont pas vocation à résoudre un évènement. Ils permettent à l’ensemble des effectifs non concernés par l’éventuelle gestion de crise de continuer à poursuivre leurs missions dites normales. Ils donnent la possibilité de répondre à différents risques qui peuvent être identifiés (ex : une inondation) ou non prévisibles (ex : un confinement de la population). Pour se préparer à des risques identifiés et non-identifiés, une approche dite par impact est recommandée.
Le PCA et ses différentes dispositions doivent ainsi être dimensionnés pour répondre à quatre types d’indisponibilité :
Portage du projet
Les PCA, comme les plans de gestion de crise ou les plans communaux de sauvegarde, doivent être réalisés de préférence en interne. Ce type de projet nécessite un portage politique fort, que ce soit par un élu ou par la direction-générale. Le chef de projet ou responsable du plan de continuité d’activité (RPCA) doit idéalement répondre directement au porteur politique du projet. Il doit être en mesure d’organiser des réunions et des ateliers de travail avec des directeurs ou des chefs de service, dans le but de faire avancer la démarche.
Le RPCA dispose généralement d’une mission assez large propre à la continuité d’activité. Cette mission passe par la rédaction du PCA, la formation et la sensibilisation des équipes, l’organisation d’exercices et la rédaction de retours d’expériences. Le PCA est un document vivant qui doit être mis à jour régulièrement et révisé périodiquement pour prendre en compte les changements d’organisation interne et les retours d’expérience.
La démarche
Préparer le travail
Le PCA s’appuie sur un travail documentaire réalisé en amont par le RPCA. Il convient de collecter le plus d’informations possibles afin de commencer ce travail. Cette collecte étant dépendante de la réactivité d’autres directions ou services, il est recommandé de l’entamer le plus tôt possible.
Parmi les documents pouvant servir à la réalisation d’un PCA, on peut notamment lister les éléments suivants :
- Cartographie des missions et des processus, cartographie des risques, etc.
- Organigramme détaillé de la structure, documents de présentation des services, etc.
- Fiches de poste des agents
- Localisation des différents sites géographiques, plans d’implantation, plans des locaux, répartition des effectifs par site, etc.
- Document unique d’évaluation des risques professionnels (DUER)
Ce travail préparatoire permet également de définir des éléments théoriques. Il est ainsi recommandé de déterminer les modalités d’activation du plan, les différents seuils de vigilance, d’identifier au sein d’un organigramme les rôles et les responsabilités de chacun ainsi que de connaître les grands risques ou familles de risques pouvant affecter la continuité d’activité.
Cartographier les activités
Le PCA et ses différentes dispositions doivent cibler des activités précises. Ces activités peuvent avoir déjà été identifiées au sein de la structure ou peuvent être identifiées au cours de la démarche.
Pour cartographier les activités d’une structure, deux approches sont possibles : par site géographique ou par direction. Dans les deux cas, il convient de définir en amont le niveau de granularité escompté. Chaque entité, que ce soit un service ou une direction, doit idéalement se décomposer en 10 à 15 activités qu’il est ensuite possible de regrouper en missions ou macro-activités.
Ce travail s’appuie sur les documents collectés en amont : organigramme détaillé, fiches de poste, etc. La cartographie ainsi obtenue peut-être affinée en interrogeant les directeurs ou chefs de service concernés afin d’avoir leur retour sur le niveau de granularité obtenu et les manques éventuels.
Identifier les activités prioritaires
L’identification des activités prioritaires se fait en lien avec les responsables desdites activités. La pratique courante est de réaliser un entretien par service ou par direction afin de décliner, pour l’ensemble des activités précédemment identifiées, les impacts en cas d’indisponibilité d’une activité et le délai maximum d’interruption admissible (exprimé en heures ou en jours).
La priorisation de ces activités permet, le moment venu, de fonctionner en mode dégradé. Le mode dégradé se défini comme une période limitée pendant laquelle l’établissement fonctionne sans ses ressources habituelles (locaux, ressources humaines, systèmes d’information, prestataires et partenaires). Le fonctionnement en mode dégradé implique une priorisation des activités sur les fonctions jugées indispensables.
Cette évaluation s’appelle communément le bilan d’impact sur activité (BIA). La hiérarchisation et la priorisation des activités peut se faire en utilisant deux critères complémentaires :
- Le délai maximum d’interruption admissible (DMIA). Il s’agit du temps, exprimé en heures ou en jours, pendant lequel la structure peut se passer d’une activité.
- Les différents impacts en cas d’indisponibilité, qu’ils soient financiers, sociaux, réglementaires ou liés à l’image. Ils peuvent être côtés sur une échelle numéraire selon des seuils définis préalablement et propres à chaque structure.
Le PCA est dimensionné autour des activités prioritaires et indispensables d’une structure. Une distinction est faite entre ces deux types d’activités :
- Les activités indispensables sont identifiées au niveau de la structure globale. Il s’agit des activités ne pouvant pas être interrompues.
- Les activités prioritaires sont identifiées au niveau de chaque direction ou service. Elles constituent les activités qui sont prioritaires pour certaines équipes sans pour autant être critiques pour l’établissement.
Détailler le fonctionnement des activités prioritaires
Une fois les activités prioritaires identifiées, une seconde phase d’entretien peut être engagée. Ces entretiens permettent, pour chaque activité, d’identifier les points suivants :
- Fonctionnement normal de l’activité. Il s’agit de comprendre comment est menée l’activité en temps normal, quelles sont les grandes étapes, les prérequis, etc.
- Contraintes calendaires. Certaines activités ne sont prioritaires que pendant des périodes précises. Si celles-ci sont régulières, il convient de préciser quand elles le sont.
- Interconnexion entre les activités. Aucune activité ne fonctionne en silo et certaines actions sont impossibles si d’autres activités ne sont pas réalisées en amont.
- Besoins de fonctionnement. Ils peuvent être :
- Humains : personnes travaillant sur cette activité, compétences spécifiques mobilisées, affectation géographique, etc.
- Matériel : équipement mobilisé, nombre d’exemplaires, fonctionnement spécifique, etc.
- Informatique : applications informatiques nécessaires
Définir les dispositions de continuité d’activité
Les dispositions de continuité d’activité sont dépendantes des besoins des activités prioritaires. Elles doivent être modulables et doivent fonctionner comme une boîte à outils à disposition des décideurs. Ces dispositions sont des solutions permettant de garantir le maintien d’une activité face aux différents scénarios précédemment identifiés :
- Indisponibilité des locaux
- Indisponibilité des ressources humaines
- Indisponibilité des systèmes d’information
- Indisponibilité des partenaires et/ou des prestataires
Ces dispositions peuvent déjà exister de façon informelle au sein de la structure sans pour autant être associées à la continuité d’activité. C’est par exemple le cas du télétravail, des astreintes ou de l’adaptation des horaires. De nouvelles solutions peuvent être identifiées, formalisées ou consolidées afin d’assurer la continuité d’activité.
Pour chaque disposition identifiée, il convient de détailler dans le PCA comment elles fonctionnent, sous la responsabilité de qui, et comment il est possible de les déployer. Certains éléments sont dépendants de la nature de la situation rencontrée et ne peuvent pas être planifiés dans le détail. Le fonctionnement spécifique de certaines actions peut être détaillé en annexe. Les dispositions peuvent être complétées par un annuaire de crise, des plans des locaux, etc.
Une démarche d’amélioration continue
Le PCA est un document vivant. Il doit être mis à jour et révisé régulièrement. Il doit également être testé, en exercice ou en situation réelle, et amélioré selon les retours d’expériences.
Le responsable du plan de continuité d’activité a un important rôle de sensibilisation et de formation en interne pour faire connaître la démarche, le plan et ses différentes dispositions à déclencher en cas d’évènement. L’organisation d’exercices tests permet de sensibiliser et de former l’ensemble des parties prenantes du dispositif. Ces exercices permettent également d’identifier des bonnes pratiques et des dysfonctionnements à corriger et à améliorer. L’organisation d’exercice et la formalisation de retours d’expérience constitue ainsi la garantie de l’opérationnalisation du plan de continuité d’activité.
Récapitulatif : Les grandes étapes du projet
- Collecte et préparation documentaire
- Cartographie des activités
- Hiérarchisation des actions prioritaires et indispensables
- Compréhension du fonctionnement des activités prioritaires
- Mise en place des dispositions de continuité d’activité
- Test et opérationnalisation du plan
Vous souhaitez en savoir plus sur la continuité d'activité ? Vous pouvez retrouver plus d'information sur notre dossier thématique et vous inscrire à nos prochaines formations.
Pour bénéficier d’un accompagnement personnalisé gratuit, ou pour toute autre question, contactez-nous sur episeine@seinegrandslacs.fr !