
L’affaire ORPEA analysée sous le prisme de l’ISO 27001
Articles du même auteur :
3
4
Il n’est pas si courant que l’actualité santé soit marquée par une tempête médiatique de cette ampleur, en l’occurrence les suites pour le groupe d’EHPAD ORPEA de la parution du livre « Les fossoyeurs », écrit par Victor Castanet, et de ses allégations de maltraitances. Il n’est surtout pas dans l’intention de votre serviteur d’avoir un avis sur le fond. Il est tout à fait entendu que dans le cas de l’ouvrage cité il est question d’humains et non pas d’ordinateurs ou de logiciels. Mais si on devait analyser la situation et ses développements récents au regard d’une norme ISO, cela donnerait quoi ?
Le débat porte clairement sur la question de savoir si les faits relatés par Victor Castanet relèvent de l’erreur – aucune organisation n’est parfaite – ou d’un système général et organisé. Si on calquait strictement l’ISO 27001 au management d’ORPEA, il lui serait demandé (chapitres 4, 5 et 6) :
A ce stade on a juste défini le plan (du plan / do / check / act) : certes cela ne prouve pas la réalisation du « do », mais face à un argument du genre « ce ne sont pas les valeurs de la société » l’auditeur externe va s’en donner à cœur joie : « Ah bon, et quelles sont ces valeurs ? Pour quel type de PI ? Avec quel niveau de service ? Avec quel engagement écrit de la direction générale ? Comment ces valeurs sont-elles communiquées à l’ensemble du personnel ? »
On enchaîne avec les processus support. Pouvoir démontrer qu’il y a un plan général de formation des agents visant à diffuser les objectifs du plan ci-dessus est indispensable. Ce n’est pas très compliqué à prouver (support de formation, preuve des sessions, etc.). Idem pour la sensibilisation (version allégée de la formation et pas au même public).
Là où cela va commencer à piquer un peu, c’est quand on va s’attaquer au fonctionnement du système de management (chapitre 8 d’un SMSI). On est dans de l’ISO 27001 donc on parle d’analyse des risques et de plan de traitement des risques : quels sont les risques identifiés pour l’activité et le plan pour les réduire ? On rentre dans le dur, il s’agit de prouver l’existence d’un suivi d’actions liées à une appréciation des risques : mentir à ce niveau-là en produisant des faux documents relève de l’impossible.
Surtout que, dans le même chapitre du fonctionnement, il est question de plan de contrôles : quel système général de contrôle (conformité) l’entreprise a-t-elle mis en place pour pister les dérives et les erreurs, les traiter, identifier des actions dans le plan précédemment évoqué, etc. Pour les dirigeants d’ORPEA, il va falloir démontrer l’existence d’un service ou d’une équipe en charge de cette fonction : la simple évocation de FEI (Fiches d’Événements Indésirables) ne suffit pas. Les FEI et le système de management qui va avec sont, très clairement, un point dur dans un audit ISO.
Enfin la partie « check » de l’ISO comprend :
En revanche, il est intéressant de remarquer qu’une organisation conforme à une norme ISO (quelle qu’elle soit) doit être régulièrement auditée par une entité extérieure, qui est forcément l’une des PI identifiées dans le chapitre 4 précédemment évoqué. Là aussi cela risque de piquer : tous les acheteurs savent qu’il faut être très prudent avec la clause d’audit de son sous-traitant / fournisseur. En effet, en cas de défaillance dudit sous-traitant qui aurait pu / dû être relevée par un audit du client, le sous-traitant en question aura beau jeu de pointer la responsabilité dudit client. A bon entendeur…