L’affaire ORPEA analysée sous le prisme de l’ISO 27001

Il n’est pas si courant que l’actualité santé soit marquée par une tempête médiatique de cette ampleur, en l’occurrence les suites pour le groupe d’EHPAD ORPEA de la parution du livre « Les fossoyeurs », écrit par Victor Castanet, et de ses allégations de maltraitances. Il n’est surtout pas dans l’intention de votre serviteur d’avoir un avis sur le fond. Il est tout à fait entendu que dans le cas de l’ouvrage cité il est question d’humains et non pas d’ordinateurs ou de logiciels. Mais si on devait analyser la situation et ses développements récents au regard d’une norme ISO, cela donnerait quoi ?

Le débat porte clairement sur la question de savoir si les faits relatés par Victor Castanet relèvent de l’erreur – aucune organisation n’est parfaite – ou d’un système général et organisé. Si on calquait strictement l’ISO 27001 au management d’ORPEA, il lui serait demandé (chapitres 4, 5 et 6) :

D’identifier les Parties Intéressées (PI) : l’État, les résidents, les familles, la réglementation, etc.
De lister les besoins et les attentes de ces PI ;
Définir le management et formaliser son engagement ;
Et surtout, afficher les objectifs du top management. Dans le cas de l’ISO 27001 il s’agira d’objectifs de sécurité du SI, dans le cas de prestations de services envers des résidents, il s’agira de prestations d’hébergement, de soins, etc.

A ce stade on a juste défini le plan (du plan / do / check / act) : certes cela ne prouve pas la réalisation du « do », mais face à un argument du genre « ce ne sont pas les valeurs de la société » l’auditeur externe va s’en donner à cœur joie : « Ah bon, et quelles sont ces valeurs ? Pour quel type de PI ? Avec quel niveau de service ? Avec quel engagement écrit de la direction générale ? Comment ces valeurs sont-elles communiquées à l’ensemble du personnel ? »

On enchaîne avec les processus support. Pouvoir démontrer qu’il y a un plan général de formation des agents visant à diffuser les objectifs du plan ci-dessus est indispensable. Ce n’est pas très compliqué à prouver (support de formation, preuve des sessions, etc.). Idem pour la sensibilisation (version allégée de la formation et pas au même public).

Là où cela va commencer à piquer un peu, c’est quand on va s’attaquer au fonctionnement du système de management (chapitre 8 d’un SMSI). On est dans de l’ISO 27001 donc on parle d’analyse des risques et de plan de traitement des risques : quels sont les risques identifiés pour l’activité et le plan pour les réduire ? On rentre dans le dur, il s’agit de prouver l’existence d’un suivi d’actions liées à une appréciation des risques : mentir à ce niveau-là en produisant des faux documents relève de l’impossible.

Surtout que, dans le même chapitre du fonctionnement, il est question de plan de contrôles : quel système général de contrôle (conformité) l’entreprise a-t-elle mis en place pour pister les dérives et les erreurs, les traiter, identifier des actions dans le plan précédemment évoqué, etc. Pour les dirigeants d’ORPEA, il va falloir démontrer l’existence d’un service ou d’une équipe en charge de cette fonction : la simple évocation de FEI (Fiches d’Événements Indésirables) ne suffit pas. Les FEI et le système de management qui va avec sont, très clairement, un point dur dans un audit ISO.

Enfin la partie « check » de l’ISO comprend :

Un système de surveillance (contrôles) des mesures (processus) mis en place ; cela comprend un registre formalisé des contrôles, un calendrier, des preuves de la réalisation de ces contrôles, un système de remontée des non-conformités détectées, etc. ;
Un audit interne, qui a pour but de vérifier que le système global fonctionne, sur la forme (processus) et non pas sur le fond ;
Enfin une revue de direction ayant pour objectif de réviser les attentes des PI précédemment évoquées.
La phrase « ce ne sont pas les valeurs de notre entreprise » ne vaut pas grand-chose face à une analyse systématique à la sauce ISO. Le démontrer suppose la mise en place de toute une organisation de type « voiture-balais » chargé de pister les dysfonctionnements, de les traiter, de les analyser et les suivre, de capitaliser pour qu’ils ne se reproduisent pas, etc. Pour information, une analyse selon la norme ISO 9001 aurait déroulé des items différents mais les concepts de contrôle, d’audit, de revue des attentes des PI s’y trouvent aussi.

En revanche, il est intéressant de remarquer qu’une organisation conforme à une norme ISO (quelle qu’elle soit) doit être régulièrement auditée par une entité extérieure, qui est forcément l’une des PI identifiées dans le chapitre 4 précédemment évoqué. Là aussi cela risque de piquer : tous les acheteurs savent qu’il faut être très prudent avec la clause d’audit de son sous-traitant / fournisseur. En effet, en cas de défaillance dudit sous-traitant qui aurait pu / dû être relevée par un audit du client, le sous-traitant en question aura beau jeu de pointer la responsabilité dudit client. A bon entendeur…