Auteur(s) : Vincent Bénard et Elie Sloïm
Publié le : 18-12-2001
Résumé : Comment mettre en place une politique de gestion de la fiabilité de l'information, sans pour autant monter une usine à gaz ? Quelques éléments de méthode pour déterminer les priorités essentielles.
Les dernières nouvelles de la société, notre analyse de certains événements ou articles sur la qualité, la conformité ou l'accessibilité :
1. Trouver l'équilibre entre recherche de la fiabilité et opérationnalité
2. Les étapes de la méthode
3. Etape 1 - identifier les risques existants, leurs causes et leur probabilité
4. Etape 2 - analyse approfondie
5. Etapes 3 et 4 - déterminer les actions susceptibles de circonscrire chaque foyer de risque et estimer leur intérêt réel
6. Etape 5 - déterminer quels risques traiter en priorité
7. Conclusion
Dans le premier article de ce dossier, nous avons vu quelles étaient les types de non-fiabilité de l'information que l'on pouvait rencontrer (information soit inexacte, ou obsolète, ou désynchronisée) et quels types de solutions pouvaient permettre de les circonvenir.
Mais il ne suffit pas de mettre des solutions techniques ou des procédures en oeuvre pour améliorer la qualité de l'information. Les solutions évoquées dans le premier article, si elles sont mal déployées, peuvent conduire à la construction "d'usines à gaz" non fonctionnelles, coûteuses, et n'atteignant finalement pas le but recherché.
La question qui se pose au chef de projet Internet est donc de savoir comment trouver le bon équilibre dans la lutte contre deux risques opposés :
Pour cela, il convient d'intégrer le choix des méthodes évoquées au premier article (ou d'autres) dans une démarche projet visant à les coordonner entre elles.
1. Identifier les risques existants de non-qualité de vos information : ceux qui se sont hélas déjà concrétisés, et ceux auxquels vous avez échappé mais qui sont bien réels. Identifier les causes réelles de ces dysfonctionnements, et estimer leur probabilité.
2. Analyser les conséquences liées à chaque risque, et notamment :
3. Analyser les actions en terme de processus, les outils, les moyens humains et financiers qu'il conviendrait de mettre en oeuvre pour circonscrire chaque risque à un niveau jugé acceptable, en agissant si possible directement sur leurs causes.
4. En cas de changements d'outils, d'infrastructure, de processus, évaluer les progrès réels que chaque nouvel élément permet d'accomplir vis à vis de chaque risque. L'amélioration envisageable justifie-t-elle l'investissement ?
5. En fonction d'une analyse coût/risques/avantages, découlant de ce qui précède, déterminer les risques à traiter, et avec quel niveau de priorité.
L'article numéro un décrit les différents risques de non-fiabilité rencontrés. Pour chaque information présente dans votre site, il faudra déterminer s'il existe des risques d'inexactitude, d'obsolescence ou de désynchronisation.
Pour ce faire, il convient de recenser les risques qui se sont déjà matérialisés, parce que ce sont les plus facilement repérables, et parce que ces problèmes identifiés sont la meilleure source pour repérer des problèmes potentiels mais non survenus, par analogie.
En revanche, certains ennuis potentiels non survenus seront plus difficiles à repérer. Quelques pistes : analysez les problèmes d'utilisabilité à la production initiale de l'information, ainsi que les ruptures de charge entre les données de votre SI et votre site Internet, car tout transfert manuel entre ces deux éléments est source d'erreur. Enfin, regardez les cas ou la production des données dépend d'une seule personne (fragilité). Vous devriez ainsi pouvoir soulever des lièvres bien cachés.
En recherchant les causes exactes de chaque risque identifié, vous devrez essayer de déterminer une probabilité d'occurence pour chacun d'eux. Pas d'illusion à se faire ici, vos estimations seront nécessairement approximatives, mais cette démarche est essentielle pour la suite.
Cette deuxième étape doit vous permettre de déterminer les conséquences liées à chaque risque et à les chiffrer.
Quelques unes des typologies de risques liés au manque de fiabilité sont les suivantes (il y en a sûrement d'autres, mais tenons nous en à l'essentiel) :
- Risque physique : Une information erronée sur un traitement médical, une mauvaise description d'une procédure de sécurité, peuvent entraîner des conséquences humaines fâcheuses.
- Risque juridique : Une administration qui publierait sur son site des interprétations fondées sur des textes juridiques obsolètes pourrait voir sa responsabilité engagée. De même, une entreprise qui changerait ses conditions de ventes ou les caractéristiques de ses produits mais oublierait de signaler ces changements via son site web pourrait subir des poursuites.
- Risque financier : une information inexacte peut vous coûter de l'argent en faisant échouer des ventes. Pire même, elle peut vous faire perdre de l'argent en concluant des ventes : ainsi un constructeur d'ordinateurs a publié pendant quelques heures un prix de portable 10 fois moins élevé que le prix réel (erreur de saisie de virgule), ce qui a engendré un contentieux lourd à gérer.
- Risque en terme d'image : une information trop visiblement inexacte peut nuire à votre crédibilité, à votre image de sérieux, et éloigner durablement de votre site des visiteurs ou des prospects.
Cette phase de caractérisation vous aidera à estimer le coût (financier, ou pire, humain, ce qui est heureusement plus rare) que vous aurez à supporter si le risque se matérialise.
Il pourrait être tentant de croiser les probabilités et les coûts déterminés aux étapes précédentes, et de n'étudier les actions à mettre en oeuvre pour les seuls "risques forts et probabilités fortes". A ce stade, ce serait une erreur, car :
1. En réfléchissant aux moyens de réduire un risque, vous pouvez trouver des solutions qui en résolvent d'autres.
2. Plus rarement, la mise en place d'un dispositif inadapté pour traiter un risque peut augmenter la probabilité qu'un autre apparaisse.
Aussi, à l'aide de l'article 1, ou en faisant preuve d'originalité, pouvez vous imaginer des actions à mettre en oeuvre pour réduire chaque risque. D'une façon générale, commencez par imaginer les moyens les plus simples et voyez s'ils présentent des garanties suffisantes avant de passer, si c'est nécessaire, à des solutions, plus évoluées. Avant d'imaginer des solutions coûteuses de suivi de workflow, voyez si une procédure à base d'échanges d'e-mails ne suffit pas à régler certains problèmes. Certes, il ne faut pas se faire d'illusion, aucun problème de fond ne supporte le bricolage, et mettre en place une politique de qualité nécessite parfois un investissement significatif.
Mais ne l'oublions pas, la méthode ici exposée intègre à la source la mesure des coûts de non qualité, potentiels ou avérés. En comparant ces coûts à ceux des solutions envisagées, vous aurez une idée du retour sur investissement envisageable. Et dans tous les cas, donnez vous une chance de trouver des solutions astucieuse qui minimiseront la dépense.
D'autre part, évitez de raisonner en terme d'outils. La mise en oeuvre de solutions de gestion de la qualité nécessitent de réfléchir à tous les points suivants :
Vous pourrez ainsi chiffrer précisément les investissements nécessaires pour limiter chaque risque, et aussi évaluer d'éventuels bénéfices indirects liés à la mise en oeuvre de chaque mesure : meilleure intégration du système d'informations, meilleure utilisation des RH, plus grande confiance en eux des producteurs d'information, etc...
En ce qui concerne les outils que vous envisagerez, vous devrez être certains qu'ils résolvent effectivement les problèmes que vous aviez envisagé de traiter par leur entremise. Dans ce domaine, méfiez vous des promesses des éditeurs de "solutions". Ne vous privez pas de faire des tests, et/ou d'exiger des références dans lesquelles les outils envisagés ont résolu le même problème, et faites jouer le téléphone pour vous renseigner sur leur efficacité, et leurs effets pervers éventuels (par exemple : coûts cachés, dépendance vis à vis d'un prestataire, intégration au SI).
Vous avez en étape 1 et 2 pu établir un classement des risques en 4 catégories :
Les risques fortement probables doivent être traités en priorité. Parmi ceux-ci, il faut bien évidemment traiter dans un premier temps ceux qui couteraient le plus cher à votre organisation s'ils venaient à survenir.
Problème, que faire si le coût traitement d'un tel risque est trop élevé pour vos moyens ? Dans ce cas, vous devrez vous poser clairement la question de savoir si vous devez assumer le risque ou non, en publiant ou non l'information en question.
Ainsi, de nombreuses administrations devraient beaucoup plus sérieusement étudier les risques qu'elles prennent en publiant sur leurs sites des informations juridiques sans système de gestion de la qualité de ces informations. Et si les budgets ou leurs rigidités ne leur permettent pas de mettre en place un système qualité pour ces informations, alors elles doivent s'abstenir, ou se contenter de liens vers le Journal Officiel (qui lui, est censé savoir gérer la qualité de ces informations dans le temps).
Pour les autres risques, vous déciderez de les traiter en fonction du produit "probabilité X coût de survenance", mis en rapport avec le coût de traitement d'un problème et la réalité du bénéfice lié au traitement. Ne vous privez pas de traiter un risque faiblement probable et peu coûteux si vous pouvez le faire à coût nul, par exemple. Mais bien sûr, plus un la matérialisation d'un risque est susceptible de vous coûter cher, plus vous devrez être prêt à investir pour le réduire.
Ce qui précède peut paraître effrayant de lourdeur à certains responsables de site. Mais en fait, l'application d'une démarche d'analyse méthodique de ce genre conduit le plus souvent à faire des tris et des choix qui simplifient grandement les solutions à mettre en oeuvre. Dans bien des cas, vous découvrirez que certains risques dont vous vous faites une montagne sont surestimés, que des solutions simples sont possibles, et vous pourrez très vite vous concentrer sur la solution d'un ou deux problèmes critiques sans que votre réflexion ne soit polluée par des questions d'ordre secondaire.
Vincent Bénard est l'éditeur du remarquable veblog.com sur lequel cet article est également publié.Ce dossier sur la fiabilité de l'information comporte trois parties.
