Évaluer la démarche de management des processus

Management des processus

team-process-managementLe management des processus est un mode de gestion d’entreprise prenant en compte la stratégie de celle-ci et toutes les activités requises pour les orienter vers les clients, les structurer, les affecter, les documenter, les analyser, les maîtriser et les optimiser. Ceci afin d’améliorer la performance globale de l’organisation.

Chaque processus se caractérise par des objectifs clairs, des tâches, des responsabilités, des enchaînements et des interfaces entre services identifiés et correctement gérés. Il implique la mesure de l’efficacité individuelle et globale des processus dans une optique de recherche permanente d’amélioration et de performance.

Besoin d’évaluation

Il est souhaitable d’évaluer régulièrement la démarche de management des processus à l’occasion par exemple d’une inflexion de la stratégie ou bien pour les structures certifiées à l’occasion d’un changement de version de la norme de certification.

Pour cela il faut commencer par la réalisation d’un état des lieux de l’organisation de l’entreprise et de la démarche de management des processus que ce soit pour : la qualité, la sécurité ou l’environnement. En effet, avant d’intégrer de nouvelles exigences et, le cas échéant, de nouvelles pratiques dans l’entreprise, l’expérience montre qu’il est toujours utile de procéder à une évaluation de l’existant, qui plus est partagée par les acteurs de l’entreprise.

Principes d’évaluation

ProcessusCet état des lieux ou diagnostic peut être réalisé en interne ou bien par un prestataire externe pour en garantir une plus grande objectivité. Le but est d’identifier les points forts de l’organisation et ses points faibles, ou si l’on préfère ses points à améliorer, afin d’intégrer ces résultats dans le plan de mise à niveau du système de management des processus. Le principal facteur de succès d’un diagnostic est l’appropriation des résultats et des actions d’amélioration qui en découlent par l’ensemble des acteurs de l’entreprise.

Les éléments pouvant être évalués, par exemple dans chaque secteur de l’entreprise, peuvent porter sur les points suivants :

  • MISSION
    • Mission, responsabilités
    • Objectifs
    • Moyens humains, matériels, financiers
    • Perception de la stratégie de l’entreprise
    • Autorité sur le système
    • Horizon temporel, perspectives
  • INDICATEURS
    • Quantités (incidents, réclamations, performance, …)
    • Satisfaction client
    • Éfficacité, qualité
    • Coûts
  • PILOTAGE
    • Instances et moyens établis
  • MAÎTRISE DES ACTIVITÉS
    • Activités et points-clés (Risques)
    • Planification
    • Ressources
    • Critères de réalisation, d’évaluation
    • Retours d’expériences
  • DOCUMENTS, INFORMATIONS ET CONNAISSANCES
    • Documents, informations (reçus/émis)
    • Procédures, règles, savoir-faire et connaissances spécifiques
    • Normes et réglementations externes
  • FORCES / FAIBLESSES, DIFFICULTÉS / AMÉLIORATIONS

La synthèse et le plan d’action

A l’issue de ces évaluations une synthèse doit être établie afin de valider et partager les résultats dans l’entreprise. Cette synthèse doit permettre d’identifier des axes de travail et d’éventuels prérequis qui viendront enrichir le plan d’action de mise à niveau du système de management des processus de l’entreprise.

Le modèle d’organisation des processus doit accompagner en priorité la stratégie de l’entreprise avant de définir les processus par une approche issue de l’analyse fonctionnelle technique. Cette approche doit être prise en compte dans l’amélioration et la redéfinition des processus à la suite de l’évaluation globale.

competencesToutes les parties prenantes de l’organisation doivent être impliquées pour le plan d’action : les clients, les fournisseurs, les actionnaires, les salariés et la société en général. Une organisation bien équilibrée s’appuie sur trois piliers pour bien fonctionner : la technologie, les processus et les ressources humaines. Chacun de ces piliers doit aussi être analysés à l’occasion de cette revue des processus pour garder un bon équilibre.

L’amélioration continue et la gestion des risques

Une fois les processus redéfinis et alignés pour soutenir la stratégie de l’entreprise puis cartographiés avec le niveau de détail nécessaire pour piloter leur performance, il reste à expliciter l’approche risques. Il s’agit d’identifier les risques avérés et potentiels par rapport aux objectifs à atteindre, puis d’évaluer leur impact afin d’identifier les moyens de maîtrise nécessaires et suffisants.

eval-risquesCeci peut se faire, par exemple, au travers de revues de processus au cours desquelles les résultats des processus et les bilans des événements indésirables répertoriés permettront d’identifier les éventuels besoins de moyens de maîtrise complémentaires à ceux déjà existant.

Un plan de prévention des risques peut alors être établi, communiqué et suivi en accompagnement de la gestion du changement.

Services de consulting

Le consultant mettra en œuvre une méthodologie générique adaptable à toutes les situations de gestion de problèmes, de projets ou d’amélioration de processus de gouvernance ou de management. Cette méthodologie développée par Arts & Stratèges porte le nom de CASA© et est schématisée comme suit :

CASA

Pour obtenir plus d’informations sur cette méthodologie, veuillez SVP utiliser le formulaire de contact.

 

Publicités

Amélioration continue

Démarche d’amélioration continueamelioration

Mener une démarche d’amélioration continue ou de résolution de problème selon le cycle du « Plan-Do-Check-Act » ou PDCA permet d’avoir une méthode structurée pour mettre en oeuvre des solutions les plus adaptées et surtout pérennes.

Le PDCA est une démarche d’amélioration continue symbolisée par la roue de Deming.

Méthodes

Le PDCA se déroule en quatre grandes étapes.

Plan = Planifier ou Prévoir

La première étape est très importante, car elle consiste à bien définir le sujet ou le problème, on parle de périmètre ou de scope. Ceci afin d’identifier des solutions pérennes qui devront être évaluées et déployées. Cette étape est finalisée par un plan d’actions, incluant leur planification et les acteurs.

Do = Développer ou Réaliser

Cette étape consiste en la mise en oeuvre des actions définies précédemment. La rigueur dans le suivi du plan d’action au travers de mesures d’avancement et de jalons est un gage important de réussite.

Check = Contrôler ou Vérifier

Il s’agit de vérifier l’efficacité des actions menées. Ceci peut se faire par le biais de mesures, d’indicateurs, ou d’observations. Un délai peut-être défini selon la nature de l’action, un cas classique est d’évaluer les actions à 30,60 et 90 jours après le déploiement. Lorsque des actions se révèlent inefficaces suite aux vérifications, des ajustements pourront être réalisés, si nécessaire, en revenant à l’étape Plan dans une nouvelle itération.

Act = Ajuster, Assurer, Améliorer

Cette étape permet de finaliser la démarche afin d’assurer la pérennité des résultats des actions mises en oeuvre. Il s’agit le plus souvent d’élaborer ou mettre à jour des documents, tels que procédures, processus, guides de bonnes pratiques, ou formulaires.

Il s’agit également d’identifier des améliorations , en revenant à l’étape Plan dans une nouvelle itération pour les mettre en oeuvre. On peut ainsi exécuter plusieurs fois le cycle pour bien ancrer les changements.

Autres méthodes

Il existe d’autres méthodes d’amélioration continue des processus comme le DMAIC de Six Signa ou le Kaizen du Lean.

On peut aussi mettre en oeuvre des méthodes plus détaillées et expertes comme l’évaluation et l’étude d’impact, la résolution de problèmes ou un cycle de gestion de projet pour piloter des changements de grande échelle. Ou plus simplement des bonnes pratiques pour assurer le succès du changement.

Mission du responsable

Dans le cadre du déploiement d’un plan de progrès, la mission principale du responsable de l’amélioration consiste à piloter le projet et accompagner les managers opérationnels dans la mise en oeuvre et le suivi des chantiers de progrès avec des pilotes terrain, tout ceci en lien avec le programme global d’amélioration. Ceci est possible en :

  • en établissant le plan d’action correspondant et en suivant son exécution au travers des revues et à l’aide d’indicateurs,
  • en veillant au déploiement et à l’appropriation des objectifs de progrès,
  • en animant la communication sur les démarches de progrès et d’amélioration continue,
  • en rendant compte de l’efficacité des processus mis en place,
  • en faisant la promotion des bonnes pratiques entre entités.

Le sens du relationnel, l’autonomie et la rigueur sont des qualités essentielles pour cette fonction, complétées par :

  • Dynamique.
  • Curieux.
  • doté d’un bon sens de l’écoute.
  • Affirmé.
  • Force de conseil et de proposition.

Exemple de procédure d’Amélioration Continue

Cas du traitement des Actions Correctives et des Actions Préventives :

Services de consulting

  • Évaluation ou audit de processus opérationnels existants.
  • Assistance à la définition et au déploiement de plans d’action d’amélioration.
  • Définition du processus opérationnelle d’amélioration continue.
  • Coaching du responsable de l’amélioration.

Système de Management intégré

Les principes d’un Système de Management intégré

Pour une organisation, il est important de conduire ses activités métiers de manière responsable en assurant la qualité des produits et des services fournis et la conformité avec les réglementations applicables liées à la qualité et la sécurité des pays où elle opère.

Pour atteindre cet objectif, un système de management intégré des processus couvrant les aspects Qualité, Sécurité et Gouvernance de l’organisation peut être mis en place pour :

  • S’assurer de la conformité avec les réglementations applicables,
  • Fournir un référentiel conforme avec les exigences de ses clients,
  • Attribuer des rôles et des responsabilités clairs à toutes les parties prenantes,
  • Identifier, analyser et gérer tous les risques liés aux activités,
  • Fournir des outils de travail, des technologies appropriées et des procédures permettant la performance au service des clients,
  • Gérer et améliorer de manière continue le système de Management et sa performance, ceci incluant la réduction des impacts négatifs au travers d’une revue constante des objectifs, des cibles, des mesures, découlant sur la mise en œuvre d’action préventives et correctives.

Ces principes guident pour la réalisation des procédures opérationnelles pragmatiques et des accords commerciaux. Cette politique est applicable à tous les projets, opérations, contrats de sous-traitance, organisations et collaborateurs.

Cas pratique d’un modèle de processus générique

Un exemple, pour lequel j’ai géré la définition et le déploiement complet, concerne un système de gestion intégré de la qualité QMS (Quality Management System) construit en s’inspirant des bonnes pratiques du référentiel international ISO 9001.

L’organisation à mis en œuvre ce QMS détaillé et très large pour la gestion de ses produits et services client : les bonnes pratiques d’ITIL / ISO 20000 pour la gestion des Services IT et Métiers, celles du référentiel CMMI pour la gestion des projets et le développement des solutions logicielles. Les aspects plus spécialisés de la gestion de la sécurité sont repris de la norme ISO 27001, sans oublier les processus d’amélioration continue.

history

Armé d’une longue expérience acquise dans ces domaines, les pratiques les mieux adaptées à ces opérations et les plus pragmatiques ont été intégrées dans un modèle de maturité des processus CpMM (Common process Maturity Model) qui s’adaptait parfaitement aux besoins de l’organisation. L’objectif étant de standardiser les pratiques sans uniformiser.

La cartographie complète de ce modèle est présentée ci-dessous :

CpMM-card

Ce qui donne en détails :

CpMM-full-card
Cliquez sur l’image pour agrandir

La mise en place et le déploiement de ce modèle et des processus opérationnels déclinés pour une DSI internationale a été complété par une organisation dont voici le modèle :

 

orga
Cliquez sur l’image pour agrandir

Si vous souhaitez développer ces principes et méthodes dans votre organisation ou évaluer leur déploiement, je peux vous apporter conseils et expériences pour formaliser votre projet en utilisant par exemple le modèle CpMM ou les référentiels standards.

Services de consulting

  • Définir et mettre en place un système intégré de Management couvrant tous les domaines opérationnels de l’organisation, déclinaisons des bonnes pratiques en processus opérationnels.
  • Mise en place d’une gouvernance des processus et du système d’amélioration continue, définir les objectifs, les méthodes de suivi et de reporting.
  • Définir les objectifs du plan de Démarche de Progrès en fonction des objectifs stratégiques.
  • Identifier les sources potentielles de progrès  en terme de qualité, coût, délai.
  • Déployer les pratiques d’amélioration continue, organiser l’audit interne, préparer aux méthodes d’audit et d’amélioration type Kaizen.

MPP Management Par Projet

Cet article vous présente les définitions principales et le référentiel d’un système de gouvernance de projet au sein d’une DSI en charge du développement d’applications logiciel et de la mise en production des Systèmes d’Information résultants. Ce référentiel complet, dont j’ai coordonné le développement et le déploiement avec le soutien de ACDE Conseil, a été évalué et reconnu CMMI niveau 2.

Définitions

Le Management Par Projet est un ensemble de processus destiné à assurer que les projets sont entrepris en adéquation maximale avec les objectifs stratégiques de la société et que les risques encourus sont identifiés et contrôlés.

ProcessusUn projet se caractérise par une existence limitée dans le temps, un début, une fin et un objet parfaitement identifiés.

Lui est affecté un chef de projet ou Project Manager, responsable de la coordination de la production de l’ensemble des livrables, de l’organisation et de la bonne exécution de l’ensemble des tâches et intervenants concourant à la réalisation du projet, depuis son initialisation jusqu’à sa clôture.

Implicitement cela signifie qu’un projet inclue non seulement des travaux ayant trait au développement de logiciels, pour le cas qui nous intéresse, mais aussi toutes les activités de communication, de documentation et d’industrialisation du système d’information se tenant en amont ou en aval de la production du logiciel.

La décomposition en phases conclues par un jalon ou milestone permet d’évaluer les avantages potentiels et le niveau de risque des projets, de définir des responsabilités claires, de segmenter et d’organiser le travail à effectuer, d’impliquer avec pertinence l’intégralité des acteurs concernés, de maîtriser les engagements de ressources, de valider les travaux accomplis, de prononcer les arbitrages attendus, de décider de poursuivre, de stopper, de différer ou de recadrer certains projets.

Le franchissement du jalon marquant la fin de chaque phase est conditionné à l’approbation par la direction, ou par des instances agissant par délégation, d’un certain nombre de documents de gestions et livrables attestant que le travail convenu a été réalisé conformément aux objectifs fixés, dans les règles de l’art en terme de qualité, dans les limites de temps, de budget ou de charge convenus.

Remarque : Le processus global de management par projet se nourrit d’autres processus tels que les processus d’assurance qualité ou les processus d’ingénierie et de support.

Présentation du processus

Le processus global de Management Par Projet (MPP) se décompose en sept phases essentielles. Chaque phase se conclut par une réunion de revue évaluant la performance du projet en regard de ses objectifs et statuant sur sa continuation. Cette revue est marquée par le franchissement d’un jalon traduisant l’état de maturité du projet.

concepts-de-planificationLe franchissement de chaque jalon est conditionné à :

  • La production de certains livrables ou documents de gestion,
  • L’approbation d’une autorité prédéterminée (GO/NOGO).

Tous deux dépendant des caractéristiques du projet : produit, maîtrise d’ouvrage, catégorie, criticité.

Les phases d’un projet classique sont les suivantes :

1 – INITIALISATION

Cette phase a pour objet de préciser les raisons prévalant à l’engagement potentiel du projet. Elle se conclut par le jalon « Business Review » marquant l’accord sur la pertinence économique du projet.

2 – ÉVALUATION

Cette phase a pour objet d’apprécier la faisabilité du projet en regard des orientations stratégiques de l’organisation, de ses capacités et du retour sur investissement envisageable. Elle se conclut par le jalon « Faisibility Review » marquant l’accord sur la faisabilité du projet.

3 – SPÉCIFICATION ou  DÉFINITION

Cette phase a pour objet de définir le contenu précis et d’arrêter les choix techniques du projet, elle est l’occasion de développer les exigences avec le client ou la maîtrise d’ouvrage. Elle se conclut par le jalon « Definition Review » marquant l’accord sur la définition du projet.

4 – RÉALISATION ou CONSTRUCTION

Cette phase recouvre la plupart des opérations de réalisation des composants (logiciels et non logiciels) du projet. Elle se conclut par le jalon « Realisation Review » marquant l’accord sur la réalisation du projet.

5 – PRÉPARATION ou VALIDATION

Cette phase recouvre l’ensemble des opérations intermédiaires séparant la production d’un code testé de sa mise à disposition des clients sous forme d’un produit fonctionnel, maintenable, documenté et supporté. Elle inclut les dernières étapes de documentation et la plupart des étapes de recette, d’industrialisation, de production, de mise en exploitation, de mise à disposition à des clients-tests (partenaires de développement, beta-tests), de transferts de connaissance et de responsabilité envers les divisions opérationnelles. Elle se conclut par le jalon « Validation Review » marquant l’accord sur la validation du projet et sur le fait que l’organisation dans son ensemble est prête pour la commercialisation et le support de la version.

6 – LANCEMENT ou PRODUCTION

Cette phase recouvre l’ensemble des opérations marketing, commerciales et de relation client entourant la mise sur le marché d’un nouveau produit ou d’une nouvelle version : actions presse, conférences, formation des utilisateurs. Elle se conclut par le jalon « Launch Review » marquant l’accord sur le fait que les opérations de lancement sont terminées et que la version est maintenant pleinement en exploitation.

7 – CLÔTURE ou BILAN

L’objet de cette phase est d’effectuer un bilan technique et organisationnel du projet afin principalement de recenser les difficultés rencontrées et de suggérer des axes d’évolution ou d’amélioration pour de futurs projets. Elle se conclut par le jalon « Final Project Review » marquant l’accord sur la fin du projet.

Le cycle de vie projet

Ce cycle d’enchaînement de phases et de jalons se nomme Cycle de Vie Projet, il a été synthétisé dans un poster que chaque membre de l’équipe projet peut afficher comme aide mémoire pragmatique pour les prises de décision et les livrables attendus. Dans cette version du poster la définition et le nommage des phases du projet ont été adaptés à un cycle de vie de développement logiciel (SDLC).

Une autre représentation de ce cycle de vie peut être faite à l’aide du référentiel générique et intégré CpMM, les différents processus à mettre en place se répartissent tout au long du cycle Phases/Jalons sur une disposition classique en « V » entièrement couvert par le processus PM :

SDLC-Process-map
Cliquez sur l’image pour agrandir

Le déploiement pratique de cette cartographie de processus en procédures opérationnelles standards peut être représenté comme suit :

SDLC-SOP-map
Cliquez sur l’image pour agrandir

Organisation

Le choix a été fait de mettre en place une structure matricielle ou structure par projet, c’est une structure temporaire limitée à la durée d’un projet.

Son principe est le suivant : les services permanents, organisés par fonctions techniques (les ex silos), affectent leur personnel dans des équipes projet en fonctions de besoins. Quand le projet est achevé, chacun rejoint son service d’origine en attente d’une nouvelle affectation. Une ressource peut être affectée à plusieurs projets selon sa charge.

Dans une structure matricielle, la fonction de management n’est plus dans les mains d’une seule personne, mais d’au moins deux. Il est ainsi primordial que le partage des responsabilités, mais aussi et surtout de l’autorité, entre les managers soit clair et précis.

Les avantages de la structure matricielle par projet sont de:

  • permettre une grande flexibilité dans la gestion des ressources humaines et le management,
  • développer l’innovation par l’émulation des idées entre des profils différents,
  • favoriser la collaboration,
  • ouvrir des nouveaux champs de communication entre les fonctions.

Bref, elle est bien adaptée à un monde économique complexe qui exige adaptation, innovation, réactivité des entreprises.

Le référentiel MPP

Vous trouverez ci-dessous la documentation en anglais du référentiel de Management Par Projet tel qu’il a été utilisé pour l’évaluation CMMI, en particulier vous y découvrirez les instances de pilotage et de direction à mettre en place, ainsi que les rôles et responsabilités de tous les acteurs du projet. Enfin l’ensemble des processus et des livrables pour réaliser le projet est décrit.

Déploiement des processus ITIL

Dans cet article je présente une méthode projet à suivre pour réussir simplement le déploiement des processus de gestion et de support des Services IT en s’appuyant sur le référentiel ITIL. Dans ce domaine on parle de projet ITSM pour IT Service Management. Cette présentation est complétée par un document de retour d’expérience sur un projet ITSM majeur que j’ai coordonné au sein d’une DSI internationale.

L’état des lieux

Afin de démarrer un projet de type IT Services s’appuyant sur le référentiel ITIL, il est nécessaire de réaliser un état des lieux, si possible  avec l’aide d’un conseil externe qui apportera une vision objective de la situation.

La méthode utilisée classiquement est basée essentiellement sur des entretiens avec les dirigeants, les managers et des personnes clé de l’organisation. Elle est complétée par une analyse documentaire de l’existant.

Constats

ProcessusLes constats suite à cet état des lieux se découpent en deux parties :

  • Les points positifs,
  • Les points d’amélioration.

Ces points seront autant d’éléments en entrée du projet de définition et de mise en place des processus IT.

Il est important de synthétiser ces constats sur une cartographie de processus existants qui permet souvent de bien visualiser la complexité d’une organisation et sa maturité en terme de rationalisation.

Les verbatim capturés pendant les interviews sont aussi très importants à conserver, comme par exemple :

  • « On est dimensionnés pour des pics, on ne sait pas lisser la charge. »
  • « On réinvente la roue sans cesse, parce qu’on bosse dans l’urgence. »
  • « La culture interne n’impose pas de rendre des comptes sur l’activité. »

Fixation des objectifs

Un projet IT Services vise habituellement à accompagner la transformation d’une DSI en fournisseur de services en utilisant le référentiel ITIL comme guide.

Les principaux objectifs d’un projet doivent être clairement présentés à la direction pour obtenir son soutient, en voici quelques exemples :

  • Changer la culture des équipes.
  • Améliorer la qualité des services rendus et du support.
  • Aligner les services sur les besoins métiers et ceux des clients finaux.
  • Donner plus de visibilité à nos clients sur le fonctionnement de l’organisation.
  • Contrôler, refacturer et optimiser les coûts.
  • Centraliser le support afin de fournir un service de bout en bout.
  • Clarifier les rôles.

Afin de suivre ces objectifs, des indicateurs ou KPI doivent être mis en place pour mesurer les progrès, ces indicateurs seront des éléments importants à restituer à la direction pour faire une mesure de ROI, en voici quelques exemples :

  • Satisfaction des clients.
  • Couverture du Catalogue de services standardisés.
  • Pourcentage de services facturés et rationalisation de la capacité.
  • Mise à jour de la nomenclature métier et des fiches de poste.
  • Cartographie complète des processus.
  • Point d’entrée unique pour le support et indicateurs de gestion d’incidents.

Rôles et responsabilité

Dans tout projet de mise en oeuvre de processus il est important de définir plusieurs rôles, essentiellement au niveau de la gestion des processus, qui complètent les rôles opérationnels classiques d’une DSI :

  • Process Coordinator : Il anime la collaboration entre les responsables de processus du projet et contribue à la coordination dans le déploiement des processus. Il exerce un rôle de support des Process Owners et de responsable qualité du projet.
  • Process Owner : C’est le propriétaire d’un processus dont il a la charge. Ses responsabilités incluent le soutient, la conception, la gestion des changements et l’amélioration continue du processus et de ses métriques. Son rôle est principalement de s’assurer que le processus utilisé est adapté aux besoins opérationnels. Il y a un Process Owner par processus défini.
  • Process Manager : Il gére la bonne application de la mise en oeuvre opérationnelle des processus. Ceci en incluant la planification et la coordination de toutes les activités exigées pour effectuer, surveiller et rendre compte de l’application du processus en charge. Il peut y avoir plusieurs Process Managers pour un même processus.

La cartographie des processus

Une représentation de cette cartographie peut être faite à l’aide du référentiel générique et intégré CpMM, les différents processus à mettre en place se répartissent selon les cinq  domaines clefs du référentiel ITIL :

ITSM-process-map
Cliquez sur l’image pour agrandir

Voici un exemple pragmatique de cette cartographie de processus, sous forme de procédures opérationnelle standards, mise en place sous ma responsabilité en utilisant en grande partie les bonnes pratiques du référentiel ITIL et ISO 27001 regroupées et rationalisées dans un référentiel qualité interne :

ITSM-process-maps
Cliquez sur l’image pour agrandir

Retour d’expérience

Le document suivant est la présentation complète du projet ITSM réalisé sous ma coordination pour la DSI de Cegedim, l’organisation de départ était principalement structurée en silos technologiques. L’étude, la mise en place progressive et la stabilisation des nouveaux processus se sont déroulées sur un cycle de trois ans, cycle nécessaire au changement de culture pour l’ancrer dans l’organisation.

Vous trouverez dans l’article de solutions-numeriques.com un témoignage sur ce projet plus orienté vers le choix de l’outil initial de gestion ITSM, support de la démarche de déploiement des processus.

 

Agrément pour l’hébergement de données de santé à caractère personnel

Définition

« Une entité est soumise à l’obligation d’être hébergeur agréé dès lors qu’elle conserve des données de santé de personnes pour lesquelles elle n’intervient pas dans la prise en charge médicale. »

La confidentialité des données de santé à caractère personnel : une exigence légale

Data protectionLe système d’information de santé est un support indispensable dans l’amélioration de la prise en charge des patients, le développement de nouveaux services et des travaux de recherche. Parmi les prérequis essentiels à la mise en oeuvre de ce support, figurent des fondamentaux de sécurité de l’information de santé dont la garantie de protection des données des patients. Le législateur a donc encadré le stockage et la manipulation de ces données sensibles afin de garantir leur pérennité et leur intégrité.

Depuis la loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, l’hébergement des données de santé nécessite l’obtention de l’agrément HADS (Hébergeur Agréé de Données de Santé). Celui-ci est délivré par le Ministère de la Santé selon un processus défini par le décret du 4 janvier 2006, et sur la base du référentiel publié par l’ASIP santé.

L’article L1111-8 du Code de la Santé Publique prévoit que les professionnels de santé, les établissements de santé ou la personne concernée ne peuvent externaliser le dépôt de données de santé qu’auprès d’un hébergeur agréé.

Le processus d’agrément

Pour obtenir l’agrément, la politique de confidentialité et de sécurité doit être particulièrement rigoureuse sur les sujets suivants : le respect des droits des personnes concernées par les données hébergées, la sécurité de l’accès aux informations, la pérennité des données hébergées, l’organisation et les procédures de contrôle interne.

Pour prétendre à l’agrément, les hébergeurs ont à démontrer leurs ambitions et les processus mis en place pour atteindre les exigences de sécurité nécessaires à la protection des données de santé. Cette activité doit répondre aux contraintes de redondance, d’authentification et bien sûr de confidentialité des données personnelles de santé.

concepts-de-planificationL’agrément est obtenu pour trois ans et doit être renouvelé ensuite. Il impose une démarche d’audit en auto-évaluation chaque année, de la réalisation d’un audit tierce partie pour obtenir le renouvellement et peut donner lieu à des contrôles par la CNIL et l’IGAS.

Les candidats à l’agrément doivent avoir à l’esprit que l’agrément prévu par la loi n’est pas une simple déclaration d’activité, mais une démarche importante, tant sur le plan du dossier de demande qu’une fois l’agrément obtenu. Le dispositif d’hébergement en projet doit être mis en cohérence avec les exigences du décret. La formalisation et la documentation de l’existant et la construction du dossier de demande d’agrément doivent être effectuées en conformité avec le référentiel publié par l’ASIP santé.

Services de consulting

  • Assistance à la conception du dossier d’agrément,
  • Assistance à maîtrise d’ouvrage pour le choix d’un hébergement agréé,
  • Conseil pour l’analyse de risque avant la définition d’une Politique de Sécurité (PSSI),
  • Conseil sur a mise en oeuvre du système de management de la sécurité (SMSI),
  • Formation à la réalisation des audits d’auto-évaluation HADS,
  • Réalisation d’audit tierce partie de renouvellement HADS,
  • Audit de conformité aux exigences du référentiel d’agrément, de la PGSSI-S,
  • Audit d’amélioration des processus support de l’hébergement.

Exemple de prestation d’évaluation d’un référentiel HADS.

Lean et Kaizen en pratique

kaizenLean

La discipline Lean est marquée par la recherche de la performance en matière de : valeur ajoutée client, productivité, qualité, délais et enfin coûts. Cette performance est rendu plus facile à atteindre par l’amélioration continue des processus et l’élimination des gaspillages.

Kaizen

Au sein des disciplines Lean existe le Kaizen, c’est un processus d’amélioration continue basé sur des actions concrètes, simples et peu coûteuses. Le Kaizen est tout d’abord un état d’esprit qui nécessite l’implication de tous les acteurs concernés par le processus à améliorer. Le mot en lui même est composé de deux mot japonais : Kai pour changement et Zen pour bon, donc littéralement un « changement pour aller vers le meilleur ».

Mise en œuvre de ces méthodes

Vous trouverez ci-dessous dans ce document en anglais, l’approche pragmatique que j’ai utilisée avec succès à plusieurs reprises dans des projets d’amélioration de processus dans les domaines de la gestion de services IT ou de la gestion de projets informatiques.

Si vous souhaitez comprendre cette méthode ou avoir plus de détails, n’hésitez pas à me contacter via le formulaire de contact.

 

Comment standardiser sans uniformiser ?

harmonisationJ’ai contribué au Club PMO animé par ACDE Conseil en faisant un retour de mon expérience de standardisation pragmatique de processus au sein d’une organisation de services spécialisée en développement et hébergement de logiciels pour le monde de la santé.

Cegedim a souhaité définir un référentiel commun de bonnes pratiques, propre à l’entreprise, construit à partir de plusieurs méthodologies et référentiels : CMMI, Prince 2, ITIL, ISO 2701, ISO 9001, etc.

Cette approche de rationalisation interne des référentiels sert également à montrer aux clients de l’organisation comment sont gérés les projets et les services, cette standardisation aide à vendre la démarche de définition des processus internes aux Managers opérationnels.

Un point de vigilance qu’il ne faut pas négliger dans ce type de projet, c’est de rechercher et trouver le bon niveau de détails dans la définition des processus sans nuire à l’innovation.

Vous pouvez retrouver cette présentation sur le site du Club PMO ou directement en la téléchargeant ici.

Ma présentation

eric-2008-1

Je suis consultant et je souhaite accompagner les structures travaillant sur les données de Santé dans la recherche de solutions organisationnelles, managériales et stratégiques. Pour cela j’ai développé une méthodologie pour réaliser des prestations d’audit, de diagnostic, de conseil et de formations adaptées à ces structures et à leur secteur d’activités.

Une organisation efficace en terme de gestion de la sécurité des SI et de la qualité doit s’appuyer sur trois piliers : la Technologie, ses Processus et ses Ressources humaines. Mon activité de conseil met l’accent principalement sur le rééquilibrage de ces piliers au sein de l’organisation, en particulier sur l’axe humain, pour rendre la prévention des risques plus efficiente et pérenne.

Mon activité de conseil a pour ambition d’accompagner ces organisations dans leurs projets d’évolution en développant par exemple : la définition de structure de gouvernance, la conduite du changement, la mise en place ou l’amélioration du Système de Management de la Sécurité des SI et de la Qualité, le conseil en gestion du système intégré QSE et en gestion de projet, etc.

Parce que vos engagements seront aussi les miens, mes prestations de conseil et de formation/coaching sont conçues pour vous aider à accroître la performance de votre organisation de façon pérenne et opérationnelle.

Mon expérience

Depuis mon diplôme d’Ingénieur Arts & Métiers de l’ENSAM en 1986, j’ai travaillé pour le groupe Cegedim, leader mondial du CRM pharmaceutique, également fournisseur de logiciels et de données pour les professionnels de santé. Au cours de ma carrière j’ai tenu successivement les responsabilités de : Manager d’équipe de développement logiciel, Responsable Qualité et Sécurité IT et Directeur de la Compliance au sein de l’Excellence Opérationnelle.

Dans le cadre de cette dernière responsabilité j’ai coordonné plusieurs projets d’agrément d’hébergement de données de santé au sein du groupe Cegedim et contribué à la création et la gestion de l’association des Hébergeurs de données de santé AFHADS comme trésorier.

Je suis membre fondateur et Président de l’association du Management Équitable AFraME, j’oeuvre activement depuis sa création pour la promotion du label Management Équitable auquel j’ai activement contribué.

Mes domaines d’expertise

Mes spécialités

  • CMMI/PRINCE2 pour le Management de Projet et le Développement Logiciel.
  • ITIL/ISO20000 pour le Management des Services IT (ITSM).
  • ISO27001 pour la gestion de la Sécurité des Systèmes d’Information (PSSI).
  • ISO9001/GAMP/LEAN/KAIZEN pour le Management de la Qualité (QMS) et l’amélioration de processus.
  • ISO31000/EBIOS/EvRP pour la Gestion des risques SI/IT et du Document Unique de Prévention des Risques.
  • ISO22301 pour la Gestion de la Continuité d’activité (PCA/PRA/BCP/DRP)
  • SOC/SSAE16/ISAE3402 pour l’audit de Conformité à la loi US Sarbanes-Oxley

Mes valeurs

Pour soutenir cette ambition dans mes missions de conseil, mes valeurs sont :

Le réalisme : Il est au cœur de l’action. Il doit conduire à ne prendre en compte que les faits existants pour faire croître les activités de ses partenaires et surtout ses bénéfices. La conduite des projets doit se faire de manière rationnelle et objective, c’est dans la conduite des hommes que le cœur a toute sa place, mais avec discernement.

L’esprit entrepreneur : Il faut vouloir entreprendre. Cela implique de prendre des risques, d’être créatif, de se faire confiance et d’être mis en confiance. Cela nécessite de se sentir responsable. Pour s’exprimer pleinement, cet esprit nécessite une organisation décentralisée avec un niveau juste d’autorité et une responsabilisation poussée.

L’humilité : C’est la seule valeur qui permet de grandir. Elle implique de reconnaître qu’il existe toujours meilleur que soi et que l’on peut apprendre d’autrui. Elle pousse à ne pas se glorifier d’un succès et à ne pas s’en accorder tout le mérite. Elle conduit à ne pas considérer et ce quel que soit son titre ou sa fonction qu’il existe des petites tâches et de grandes tâches.

Le respect : C’est la base de toute relation humaine. Le respect de ce qui a été entrepris, de ce qui est en cours et de ce qui reste à faire. Le respect de son propre travail et de celui de l’autre. Le respect du caractère unique de chaque individu. Après le respect, vient la confiance puis le partage et enfin la reconnaissance.

Ces valeurs sont convergentes pour former les fondations des pratiques de Management Équitable.

Translation in English