Comment le plan de continuité d'activité peut-il devenir un outil opérationnel au service de la gestion de crise ? François Faure, spécialiste du sujet, nous livre son analyse de l’évolution des PCA vers une prise en compte renforcée de la gestion des crises et des urgences.
À la fin de l’année 2014, le règlement 97-02 relatif au contrôle
interne des établissements de crédit et entreprises
d’investissement était remplacé par l’arrêté du 3 novembre 2014.
Il n’est pas dans mon propos de faire une analyse de ces 2 textes
mais plutôt de me pencher sur une évolution sémantique
intéressante. Dans le règlement 97-02, il était fait obligation
aux établissements de crédit, d’avoir un plan de continuité
d’activité (PCA). Dans le nouvel arrêté du 3 novembre 2014, le
PCA a disparu au profit du « plan d’urgence et de poursuite de
l’activité » (PUPA).
À y regarder de plus près, les définitions, données par le CRBF
(Comité de la réglementation bancaire et financière) comme par
l’arrêté, restent très proches, seul un objectif de limitation
des pertes en cas de déclenchement du PUPA apparaît de manière
explicite alors qu’il était implicite jusqu’alors dans le PCA.
Pourquoi changer, renommer le PCA en PUPA, alors que ce premier
est maintenant connu dans tous les secteurs d’activité ?
Bien que cela ne soit pas explicité dans les deux textes auxquels
je fais référence, j’aime cependant à penser que ce changement
est beaucoup plus profond qu’il n’y paraît et que le législateur
est arrivé aux même conclusions que beaucoup de professionnels de
la continuité d’activité :
- le PCA est la plupart du temps inadapté à la crise ;
- le PCA n’est pas opérationnel ;
- le PCA est sous-utilisé et est vécu comme une solution de dernier recours plutôt que comme une solution d’escalade vers des moyens exceptionnels.
Du plan de continuité au
plan d’urgence
Ainsi,
lors d’animation d’exercice de crise en entreprise (du secteur
financier ou pas), il est courant d’observer une cellule de crise
interdite devant un PCA, certes complet et réalisé avec les
meilleures intentions du monde, mais totalement hermétique pour
toute personne (qui généralement ne l’a pas lu) devant décider en
situation de crise.
Il manque en générale la fiche réflexe qui permettra au décideur
de savoir s’il doit déclencher ou pas son PCA. L’énormité du
document, son organisation monolithique sont autant de freins à
la décision auxquels s’ajoutent tous les éléments non maîtrisés
tels que le coût du déclenchement qui serait d’ailleurs à mettre
en regard avec le coût du retard dans le déclenchement.
Pour ces raisons, le PCA n’est en général pas déclenché au cours
des exercices, on préfère attendre que cela soit vraiment
nécessaire ! Il est intéressant de comparer cette situation avec
celle connue des plans Orsec (quand il s’agissait encore de
plan). En effet, il était difficile de faire décider du
déclenchement d’un plan Orsec, forcément coûteux, alors que la
décision d’engager les mêmes moyens que ceux décrits dans le plan
était plus facile. Le problème a été réglé, Orsec n’est plus un
plan mais l’organisation d’une réponse de sécurité civile qui est
toujours déclenchée (seul l’engagement des moyens évolue).
Ainsi espérons que cette notion d’urgence, qui apparaît dans l’arrêté du 3 novembre 2014, conduise les entreprises assujetties (et les autres) à un travail de fond sur leur PCA pour le rendre plus opérationnel pour la cellule de crise. Dans cette optique, le stade ultime du PCA sera de ne plus avoir à le déclencher parce que l’entreprise sera en permanence en continuité d’activité ; le chemin à parcourir est encore long.
De la continuité de l’activité à la poursuite de l’activité
Dans les deux
définitions, il n’est pas fait de différences entre la continuité
de l’activité et la poursuite de l’activité. A contrario d’autres
pays, comme le Canada par exemple, la France a choisi de ne pas
distinguer les termes continuité d’activité et reprise
d’activité, on trouve ainsi des plans de continuité d’activité
pour les aspects métier, des plans de reprise d’activité (qui
bien souvent ne concernent que les activités informatiques) sans
distinction de sens. Pour un Canadien, la continuité ne
s’applique qu’aux activités qui, soumises à un choc extrême, ne
subissent ni arrêt ni diminution de leur qualité.
Dans tous les autres cas, il s’agira de reprise d’activité.
En France, nous parlons de PCA, alors qu’il s’agit en fait d’une
reprise ordonnée et hiérarchisée de l’activité.
Le choix du législateur de parler de poursuite de l’activité met
fin au débat, dans tous les cas le PCA cherche à assurer la
poursuite de l’activité soit en la rendant continue, soit en
organisant sa reprise.
Limiter les pertes de l’entreprise avec le PUPA
Toutes les études réalisées sur le sujet l’ont démontré :
l’entreprise préparée et entraînée à faire face à un choc extrême
limitera les dégâts et permettra même, dans certains cas, à
l’entreprise d'en tirer quelques profits. Comme disait Louis
Pasteur, le hasard ne favorise que les esprits préparés. La
limitation des pertes était jusqu’à présent un avantage espéré du
PCA, c’est maintenant un objectif affiché du PUPA.
Mais c’est aussi un constat : le PCA ne peut pas tout, s’il est
nécessaire il ne sera pas suffisant pour permettre, à
l’entreprise en situation de crise, de se relever. Il faut donc
que cette dernière se dote d’un arsenal de mesures, de
dispositifs, et de solutions qui lui permettra d’être efficace en
cas de situation de péril. Ainsi, comme le suggère le terme
urgence, il faut aussi que l’entreprise se dote d’un dispositif
de gestion de crise, mais aussi qu’elle s’assure que son
personnel connaisse les plans et les procédures d’urgences et
surtout qu’il soit entraîné à réagir en cas de crise et sache par
exemple déclencher son PUPA.
Il me semble ainsi que l’exercice de crise et plus généralement
l’entraînement devient maintenant indissociable du plan de
continuité de l’activité. Pardon, du plan d’urgence et de
poursuite de l’activité…
PCA, PUPA, quelques définitions…
PCA, Plan de Continuité de l’Activité : ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des « prestations de services ou d’autres tâches opérationnelles essentielles ou importantes » (arrêté du 2 juillet 2007) de l’entreprise puis la reprise planifiée des activités (définition du CRBF 97-02).
PUPA, Plan d’Urgence et de Poursuite de l’Activité : ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant, de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la reprise planifiée des activités et à limiter ses pertes (définition de l’arrêté du 3 novembre 2014).
Merci à François Faure, Directeur de
Sernoptes
Conseil, pour cette
analyse.
Article extrait de Préventique, numéro 141
