top of page

COVID-19 : peut-on encore se passer du Plan de Continuité d’Activité ?


La crise COVID-19 est particulièrement saillante dans sa forme graduelle et ses conséquences inédites à l’origines d’un cataclysme transnational. La caractérisation du coronavirus dans un premier temps épidémique puis dans un second temps élevé au rang de pandémie concerne directement les hommes en tant que personnes vulnérables et par extension les organisations, entreprises et administrations, en tant que biens indirectement impactés par l’urgence organisationnelle que la crise impose.



Pour appliquer des mesures de prévention, les organisations s’appuient notamment sur les directives du gouvernement. Or, nous admettrons que la communication de crise de l’Etat avec des annonces restrictives en cascades dans un tempo inhabituel rend la prise de décision pour les entreprises périlleuse. Cela montre bien que la préparation des entreprises face aux crises mérite d’être pointilleuse et adaptée à tous les types de crises et plus encore à l’évolution de celles-ci.


Les réactions exigeantes et indispensables des entreprises et administrations face à la crise COVID-19 permettent de mettre en lumière ce que nous appelons le Triangle de Résilience des Organisations (TRO) avec ses trois forces de liaisons que sont la sécurité, la gestion de crise et le Plan de Continuité d’Activité (PCA).


Comment protéger son organisation avec le Triangle de Résilience des Organisations (TRO) ?


Figure 1: Triangle de Résilience des Organisations - © CARINEL


Revenons sur les trois forces qui composent le Triangle de Résilience des Organisations (TRO) en reprenant des définitions clés pour mettre en perspective leurs mise en œuvre.


Dans un rapport de 1998 intitulé Sécurité et promotion de la sécurité : aspects conceptuels et opérationnels rédigé par des collaborateurs de l’OMS, la sécurité [1] est définie comme «un état où les dangers et les conditions pouvant provoquer des dommages d'ordre physique, psychologique ou matériel sont contrôlés de manière à préserver l’intégrité et le bien-être des individus et de la communauté. C’est une ressource indispensable à la vie quotidienne qui permet à l’individu et à la communauté de réaliser ses aspirations. »


Quelles sont les conditions pour atteindre un niveau de sécurité optimal ?


Ces conditions sont multiples et nécessitent la compréhension des mécanismes de prévention à mettre en place d’une part et la préparation aux imprévus d’autre part. Nous listons trois types de préventions qui permettent de créer un modèle de sécurité et de sûreté cohérent :


  • La prévention primaire (mesures de dissuasion et de détection)

  • La prévention secondaire (mesures de réaction)

  • La prévention tertiaire (mesures de suivi)


En s’appuyant sur le Security Circle Model (SCM) qui combine l’audit, le conseil et la formation, ces trois types de préventions permettent d’intégrer à la stratégie de sécurité et de sûreté la prise en compte des imprévus grâce à une modélisation graduelle.


L’objectif du Security Circle Model est de s’assurer que les mesures de sécurité et de sûreté mises en place correspondent aux besoins courants de l’organisation en temps normal comme en temps de crise afin de permettre à cette dernière de fonctionner normalement ou en mode dégradé durant les moments incertains.

Figure 2 : Security Circle Model - © CARINEL


Une crise est un changement brusque ou une modification importante du quotidien. Prenons la définition du gouvernement français qui est au centre de la crise actuelle COVID-19 qui définit la crise comme « une rupture dans le fonctionnement normal d’une organisation ou de la société, résultant d’un événement brutal et soudain, qui porte une menace grave sur leur stabilité voire sur leur existence-même. En raison de son caractère brutal et soudain, l’élément déclencheur appelle une réaction urgente. »


Selon la gravité de la crise et le niveau de préparation de l’entreprise ou de l’administration et de ses collaborateurs, les conséquences d’une crise peuvent s’avérer plus ou moins néfastes. Toutefois, des conséquences dramatiques pour un secteur d’activité peuvent se transformer en opportunités pour un autre secteur. Il est certain que chaque crise va permettre à l’entreprise de sortir plus aguerrie pour affronter les prochaines perturbations avec plus d’aplomb à condition que celle-ci a pris le temps d’analyse nécessaire lors du RETEX avec une méthodologie pertinente. On s’en remettra donc à l'adage du philosophe allemand Nietzsche : « Ce qui ne nous tue pas nous rend plus forts ! ».


La gestion de crise [2] nécessite un savoir-faire et la capacité de reconnaître les différentes étapes d’une crise, à savoir à minima la période d’incubation, l’élément déclencheur, la phase aiguë avec les réponses opérationnelles et la sortie de la crise, mais aussi le retour d’expérience (RETEX) et les réajustements nécessaires. Bien sûr ce savoir-faire peut s’acquérir à la suite de crises vécues et surmontées mais ce sont davantage les exercices et simulations de crises qui vont permettre à l’organisation et ses instances dirigeantes d’évaluer sa résilience et d’ajuster ses protocoles. Dans la phase de préparation d’une crise il est important de mettre en place le Plan de Gestion de Crise comme pièce maîtresse avec ces différents éléments :


· Cellule de veille associée ;

· Cartographie des risques ;

· Cartographie des acteurs ;

· Cellule de crise ;

· Processus d’alerte ;

· Fiches de postes ;

· Fiches actions-réflexes ;

· Manuel de gestion de crise ;

· Les diverses procédures ;

· Annuaire des contacts prioritaires ;

· Plan de communication de crise ;

· Retour d’expérience.

· Etc.


Chaque élément a son importance et permet de maîtriser les effets non désirables d’une crise. Le Plan de Gestion de Crise permet de gagner du temps en organisation et en coordination lorsque survient la crise.


Toute société a été ou sera en crise. La crise est désormais un phénomène susceptible de concerner tout type d’organisation, quels que soient son secteur d’activité et sa taille. Edgar Morin

Enfin, si la gestion de crise intervient dans l’urgence avec une opérationnalité décisive, le Plan de Continuité d’Activité [3] va généralement intervenir certes en pleine crise mais avec l’objectif majeur de maintenir les activités essentielles de manière continu lorsque l’évolution de la crise le permet.


Selon le SGDSN, « un plan de continuité d’activité (PCA) a par conséquent pour objet de décliner la stratégie et l’ensemble des dispositions qui sont prévues pour garantir à une organisation la reprise et la continuité de ses activités à la suite d’un sinistre ou d’un événement perturbant gravement son fonctionnement normal. Il doit permettre à l’organisation de répondre à ses obligations externes (législatives ou réglementaires, contractuelles) ou internes (risque de perte de marché, survie de l’entreprise, image…) et de tenir ses objectifs. »


Ainsi, la mise en place et l’existence d’un PCA est indispensable pour permettre à une organisation de traverser, voire survivre une crise et reprendre son activité à la sortie de crise. Nous conseillons de mettre à jour le PCA tous les 3 ans.


Par exemple, dans le contexte de la crise du coronavirus le secrétaire d'État auprès du ministre de l’Action et des Comptes publics, Olivier Dussopt, a rappelé que "chaque employeur public territorial ou hospitalier doit aussi mettre en œuvre les plans de continuité d’activité des services avec l’identification des fonctions stratégiques minimum".


Le PCA doit contenir les objectifs et obligations de l’organisation, les risques retenus comme les plus graves pour la continuité d’activité, la stratégie de continuité d’activité qui établit et décrit en précisant, pour chaque activité essentielle, les niveaux de services retenus et les durées d’interruptions maximales admissibles. Il doit également faire apparaître les ressources et procédures permettant d’atteindre les objectifs, en tenant compte des ressources critiques qui peuvent avoir été perdues, jusqu’à la reprise de la situation normale. De même, le rôle des différents responsables, le dispositif de gestion de crise ainsi que le maintien opérationnel du PCA font partie intégrante du Plan de Continuité d’Activité. Sans oublier le volet communication, indispensable pour informer les salariés des mesures adoptées.


Aussi il est important de rappeler que le code du travail oblige les employeurs à mettre en place des mesures protégeant la santé et la sécurité des salariés et le PCA doit intégrer pleinement cette dimension tout comme l’actualisation du document unique d’évaluation des risques prévue à l’article R. 4121-2 du code du travail qui est indispensable dans le cas de la crise COVID-19. Ces obligations permettent de prévoir les mesures de prévention et de protection adaptées comme la mise en sécurité des installations en mode dégradé et la possibilité de travail à distance pour les salariés.


Une bonne articulation entre les besoins optimales de sécurité, le PCA et une gestion intelligente et professionnelle d’une crise majeure permet à une entreprise ou une administration d’évaluer les risques qu’elle encourt d’une part mais aussi de maîtriser les crises qu’elle peut être amenée à traverser d’autre part.


Pour conclure, nous mettons l’accent sur le fait que outre la nécessité pour une organisation d’élaborer les différents documents qui rentrent dans le cadre du Triangle de Résilience des Organisations (TRO), il est essentiel de se préparer face aux événements incertains et d’adapter ses procédures non pas orientées pour une crise particulière mais pour l’ensemble des risques internes ou externes pouvant impacter ponctuellement ou durablement l’organisation.


Inscrivez-vous à notre blog pour être alerté dès la publication d'un nouvel article relatif à la sécurité, sûreté, gestion de crise, terrorisme...

Comments


bottom of page