Qu’est-ce que la gestion des non-conformités ?
La conformité est “la capacité d’un processus, d’un produit ou d’un service de satisfaire les exigences auxquelles il est censé répondre.”
Une non-conformité signale que quelque chose a été défaillant, et que le résultat ne coïncide par conséquent pas aux exigences initiales.
La gestion des non-conformités est une priorité dans notre métier et elle fait partie de du quotidien des Entreprises de Services de Numérique (ESN).
Le processus de gestion des non-conformités est partie intégrante de la stratégie d’Assurance Qualité.
En identifiant rapidement et en résolvant efficacement les non-conformités, le prestataire de service :
- sécurise sa renommée sur le marché
- renforce sa compétitivité
- augmente la satisfaction de ses clients
- favorise l’amélioration continue en son sein.
Autant d’enjeux qui placent la gestion des non-conformités au cœur des préoccupations de la Delivery.
Pourquoi gérer les non-conformités ?
Viser les 100% de conformité est l’objectif affiché, malheureusement les incidents sont quasi-inévitables… Il peut s’agir dans le cas le plus fréquent de la non-conformité relative à un produit digital (exigence non couverte, défaillance, etc.)
Cela relève communément de la qualité, mais également de tout autre déviation par rapport au cadre normatif en vigueur au sein de l’entreprise, c’est-à-dire les normes, règles et principes qui s’y appliquent.
Le cadre normatif de la Delivery, et par extension de l’entreprise, est par essence pluriel. En effet, ce cadre s’articule autour de plusieurs axes interdépendants qui sont plus ou moins prégnants dans le quotidien des équipes projet.
En voici quelques-uns parmi les plus importants :
- La qualité de service
- Les politiques et les processus internes
- La protection des données personnelles
- La sécurité informatique
- Les dispositions contractuelles
- Les lois et les réglementations
- Les obligations de l’entreprise
- Les obligations des salariés
Un produit livré au client qui ne fonctionne pas lorsqu’il le manipule
❌ Non-conformité par rapport aux exigences et à la qualité de service
Un contrat important signé par un manager qui n’a pas de délégation de pouvoir
❌ Non-conformité par rapport aux règles de gouvernance du Groupe
Un projet en régie pour lequel il manque une ressource depuis des mois
❌ Non-conformité par rapport au contrat et à l’obligation de moyens
Une solution de l’entreprise sur laquelle n’a pas été appliqué le dernier patch de sécurité
❌ Non-conformité par rapport à la sécurité informatique
Un collaborateur qui utilise les données non-anonymisées du client pour faire des tests
❌ Non-conformité par rapport à la réglementation (RGPD)
Un collaborateur qui publie des photos de ses collègues sur un réseau social à leur insu
❌ Non-conformité par rapport au droit à l’image et au respect de la vie privée
Un employé en télétravail qui est injoignable entre 10h et 12h, et entre 14h et 16h
❌ Non-conformité par rapport à la charte de télétravail de l’entreprise
Un commercial qui invite un prospect à un match en loge VIP en pleine avant-vente
❌ Non-conformité par rapport à la loi (corruption et pratique anticoncurrentielle)
Prévenir les non-conformités
Gérer les non-conformités, c’est en premier lieu prévenir leur survenance .
Elles peuvent avoir d’importantes conséquences à la fois sur l’entreprise et sur ses clients, autant les anticiper.
Dans cette perspective, un ensemble de leviers sont activés au sein de l’entreprise :
1. La gestion de la connaissance
Entre pairs sachants qui participent de la cross-fertilisation et au partage du savoir, mais également au travers des contenus mis à la disposition des collaborateurs (sites SharePoint, politiques, chartes, etc.).
Les sessions de partage d’information :
- comités projets
- webinars
- RetEx (feedback)
- rétrospectives
contribuent également à diffuser la connaissance. Cette dernière est essentielle pour rester alerte sur le cadre normatif et pour appréhender les non-conformités en connaissance de cause.
2. L’apprentissage
Recouvre plusieurs aspects : il s’agit bien évidemment d’approfondir et d’étendre ses compétences métier mais plus largement et de manière continue, d’être sensibilisé aux enjeux généraux de la conformité.
Les webinars (p. ex. Data Privacy), les réunions de sensibilisation (p. ex. Cyber Sécurité par la DSSI), la visite régulière des sites de partage métiers ou équivalent au sein de l’entreprise, les sollicitations auprès des sachants de l’entreprise, etc.
3. La gestion des risques
Mais également des opportunités, qui a pour vocation d’anticiper les événements potentiellement impactant pour le projet (et au-delà l’entreprise).
C’est une composante essentielle de la Delivery (voir la page dédiée à la pratique), mais qui ne saurait se limiter strictement aux frontières des projets.
Toute non-conformité détectée, qu’elle soit potentielle ou avérée, doit être adressé en tant que risque.
4. Le contrôle
Contribue à prévenir les non-conformités, qu’il s’agisse de l’effectuer en instances de gouvernance, dans le cadre du reporting (p. ex. au management hiérarchique et/ou fonctionnel) ou au-travers d’actions ciblées comme les check-ups projets.
A noter qu’il ne s’agit pas nécessairement de contrôle imposé – contraignant – et que cette démarche s’inscrit bien dans une logique de prévention bénéfique.
5. L’amélioration continue
Est par définition un moyen de prévenir les non-conformités. Parce que l’on a appris des expériences passées, et éventuellement des erreurs ou manquements rencontrés, l’on est plus à même d’éviter leur reproduction.
Ce principe est vertueux et il s’appuie sur la capacité des collaborateurs à capitaliser sur leurs enseignements et leurs bonnes pratiques en les mettant à disposition de leurs collègues.
Gérer les non-conformités :
1/3 Détecter les non-conformités
La première étape du processus de gestion des non-conformités consiste à identifier ces dernières.
Elles peuvent être potentielles (c.-à-d. la non-conformité est “anticipable” et possiblement acceptée comme telle) ou avérées (c.-à-d. la non-conformité est “constatable“).
La détection peut provenir de plusieurs sources :
- Internes : lors des:
- instances de gouvernance de projet internes
- check-ups projets, au travers d’audits (CySec, Legal, Finance, etc.), ou plus simplement parce qu’une suspicion de non-conformité est mentionnée par un collaborateur de manière informelle et mérite d’être vérifiée.
- Externes : lors des :
- Instances de gouvernance de projet externes
- Phases projet dédiées (p. ex. une recette client)
- Echanges informels avec les interlocuteurs client ou tout autre partie prenante
- Audits à l’initiative du client
Une fois identifiée, chaque non-conformité doit être documentée afin de disposer des éléments nécessaires à son analyse.
Le minimum requis en la matière est de fournir les deux vues : celle qui est conforme et celle qui ne l’est pas.
Dans le cas d’une non-conformité relative à un produit livré, par exemple, l’on comparera ce qui a été produit avec l’attendu qui était spécifié.
Il s’agira en complément d’évaluer la portée de la non-conformité, ainsi que son impact, de sorte à pouvoir guider les actions correctives.
Points d’attention
Détecter ne veut pas dire communiquer
Il convient, lors de la détection, de bien mesurer la portée de la non-conformité.
Une non-conformité relevée par l’interne peut ne pas concerner directement le client et elle doit dans ce cas rester à la discrétion du prestataire.
De même, certaines non-conformités sont sensibles par nature et doivent être adressées avec toutes les précautions d’usage en termes d’information.
Détecter rime avec consigner
Qu’elle que soit la nature de la non-conformité, elle doit être enregistrée pour être traitée et suivi par la suite.
Une non-conformité ne doit pas être oubliée ou rester lettre morte.
2/3 Traiter les non-confirmités
Une fois qu’une non-conformité a été identifiée, elle doit être traitée de la manière appropriée.
Elle fait alors l’objet de mesures correctives ou de mesures préventives, en fonction de la nature de la non-conformité.
Dès qu’une non-conformité survient, il est nécessaire de réagir rapidement en deux temps :
A. Maîtriser la non-conformité
L’enjeu est de limiter au possible les risques et/ou l’impact de la non-conformité par une prise d’action rapide. L’on privilégie par cette action la réactivité et l’efficacité.
Pour exemples :
- Dans le cas d’une non-conformité identifiée consistant en une suspicion de violation de données personnelles sur une solution informatique, le réflexe sera d’informer immédiatement la DSSI et le Legal (le pôle Privacy) qui décideront et prendront les mesures adéquates.
- Dans le cas d’un développeur qui déroge au process et qui n’effectue pas ses tests unitaires avant livraison au client, impactant de ce fait la qualité et la satisfaction client, le réflexe sera d’alerter en interne les managers et de gérer la situation vis-à-vis du client.
B. Prévenir ou corriger la non-conformité
Il s’agit dans un temps court d’initier les actions préventives et les actions correctives pour éliminer la non-conformité et revenir à une situation normale.
- Cela peut être immédiat, pour une non-conformité précisément identifiée et aisément traitable.
P. ex. un paramétrage de configuration qui résout une problématique d’accès à un système. - Cela peut être palliatif, c’est-à-dire reposer sur un contournement ou une parade temporaire.
P. ex. l’isolation d’une machine virtuelle infectée par une attaque de vulnérabilité. - Cela peut être planifié, c’est-à-dire reposer sur une démarche en plusieurs étapes qu’il faut piloter.
P. ex. un processus qui présente des faiblesses et qui doit être retravaillé avant d’être redéployé.
Dans tous les cas, une non-conformité doit être traitée et de manière durable.
Il est donc essentiel d’analyser les causes profondes de la non-conformité et de ne pas rester « en surface » : appliquer une méthode d’analyse causale peut aider à comprendre la ou les causes sous-jacentes d’une non-conformité.
Cette compréhension oriente les actions préventives qui permettront d’éviter la reproduction de la non-conformité ou l’’apparition de non-conformités similaires.
3/3 Suivre les non-conformités
Une fois mis en œuvre un traitement de non-conformité , il est essentiel de suivre les actions entreprises pour confirmer l’efficacité de la démarche.
C’est-à-dire entériner le retour à la conformité, d’une part, et avoir la garantie qu’il n’y aura pas de récurrence de la non-conformité à l’avenir, d’autre part.
En ce sens, une période d’observation pourra permettre de rester vigilant durant un laps de temps donné.
Cette étape vise également à capitaliser sur l’expérience car, au-delà de la non-conformité en tant que telle, c’est la démarche qui est éprouvée.
Il s’agit donc de procéder à une rétrospective du process de gestion des non-conformités et du Système de Management de la Qualité (SMQ).
Cette rétrospective permet d’identifier puis d’apporter les évolutions qui permettront, in fine, d’adresser plus efficacement encore les non-conformités futures.
Cette méthode est utile pour cheminer vers la cause source (la root cause) d’un problème.
Le principe est simple : il faut partir du constat et poser 5 fois successivement la question « pourquoi ? » en rebondissant sur les réponses apportées au fil de l’eau.
Voici un exemple :
- Pourquoi y a-t-il un fichier corrompu dans le dossier sur le serveur ? Parce que le publicateur n’a pas vérifié le fichier avant de le déposer sur le serveur.
- Pourquoi le publicateur n’a pas vérifié le fichier avant de le publier ? Parce qu’il n’a pas le logiciel nécessaire pour ouvrir ce type de fichier.
- Pourquoi il n’a pas le logiciel nécessaire pour vérifier le fichier alors qu’il le publie ? Parce que d’habitude, il ne manipule pas ce type de fichier et qu’on lui a demandé un service.
- Pourquoi lui a-t-on demandé ce service ? Parce qu’il fallait publier rapidement et que l’auteur ne pouvait pas le faire dans les délais.
- Pourquoi l’auteur ne pouvait pas le faire dans les délais ? Parce qu’on était vendredi à 15h et qu’il voulait partir en week-end à la campagne.
Les 5P, dans cet exemple, démontrent qu’à partir d’un constat traitable immédiatement (la suppression ou le remplacement dudit fichier corrompu), plusieurs causes sous-jacentes sont à l’origine de la non-conformité constatée et devront être traitées :
- Le publicateur a pris une responsabilité qu’il n’aurait pas dû prendre,
- L’auteur a manqué de professionnalisme et dérogé à un process qualité,
- L’auteur n’a pas respecté la politique RH de l’entreprise.
Cette méthode consiste en une représentation visuelle d’un problème. Cette représentation permet de mettre en évidence les différentes causes du problème et leurs effets.
Le diagramme est dît en arêtes de poisson (fishbone diagram) ; chacune de ces arêtes représente une des causes du problème.
L’intérêt ? La prise de recul sur le problème et sur l’interdépendance/l’influence des facteurs entre eux.
Le diagramme d’Ishikawa s’appuie (en français) sur les 5M, les 6M ou les 7M pour catégoriser les causes, en fonction du contexte client/projet :
Main d’œuvre, Matières, Machines, Méthode, Milieu, Management er/ou Moyens financiers.
La représentation est effectuée, dans la mesure du possible, en session de cotravail, de sorte à obtenir une cartographie exhaustive des causes.
S’ensuivent la priorisation des causes (analyse ABC ou notation sur 5 points, par exemple), et la mise en œuvre d’un plan d’action.
0 commentaires