A la fin de l’année 2014, le règlement 97-02 relatif au contrôle interne des établissements de crédit et entreprises d’investissement était remplacé par l’arrêté du 3 novembre 2014. Il n’est pas dans mon propos de faire une analyse de ces 2 textes mais plutôt de me pencher sur une évolution sémantique intéressante. Dans le règlement 97-02, il était fait obligation aux établissements de crédit, d’avoir un plan de continuité d’activité[1] (PCA). Dans le nouvel arrêté du 3 novembre 2014, le PCA a disparu au profit du Plan d’Urgence et de Poursuite de l’Activité[2] (PUPA).
A y regarder de plus prés, les définitions, données par le CRBF comme par l’arrêté, restent très proches, seul un objectif de limitation des pertes en cas de déclenchement du PUPA apparaît de manière explicite alors qu’il était implicite jusqu’alors dans le PCA.
Pourquoi changer alors et renommer le PCA en PUPA, alors que ce premier est maintenant connu dans tous les secteurs d’activité ?
Bien que cela ne soit pas explicité dans les deux textes auxquels je fais référence, j’aime cependant à penser que ce changement est beaucoup plus profond qu’il n’y paraît et que le législateur est arrivé aux même conclusions que beaucoup de professionnels de la continuité d’activité :
- le PCA est la plupart du temps inadapté à la crise,
- le PCA n’est pas opérationnel,
- le PCA est sous-utilisé et est vécu comme une solution de dernier recours plutôt que comme une solution d’escalade vers des moyens exceptionnels.
Du plan de continuité au plan d’urgence
Ainsi, lors d’animation d’exercice de crise en entreprise (du secteur financier ou pas), il est courant d’observer une cellule de crise interdite devant un PCA, certes complet et réalisé avec les meilleurs intentions du monde, mais totalement hermétique pour toute personne (qui généralement ne l’a pas lu) devant décider en situation de crise. Il manque en général la fiche réflexe qui permettra au décideur de savoir s’il doit déclencher ou pas son PCA.
L’énormité du document, son organisation monolithique sont autant de freins à la décision auxquels s’ajoutent tous les éléments non maîtrisés tel que le coût du déclenchement qui serait d’ailleurs à mettre en regard avec le coût du retard dans le déclenchement. Pour ces raisons, le PCA n’est en général pas déclenché au cours des exercices, on préfère attendre que cela soit vraiment nécessaire !
Il est intéressant de comparer cette situation avec celle connue des plans ORSEC (quand il s’agissait encore de plan). En effet, il était difficile de décider du déclenchement d’un plan ORSEC, forcément coûteux, alors que la décision d’engager les mêmes moyens que ceux décrits dans le plan était plus facile. Le problème a été réglé, ORSEC n’est plus un plan mais l’organisation d’une réponse de sécurité civile qui est toujours déclenchée (seul l’engagement des moyens évolue).
Ainsi espérons que cette notion d’urgence, qui apparaît dans l’arrêté du 3 novembre 2014, conduise les entreprises assujetties (et les autres) à un travail de fond sur leur PCA pour le rendre plus opérationnel pour la cellule de crise. Dans cette optique, le stade ultime du PCA sera de ne plus avoir à le déclencher parce que l’entreprise sera en permanence en continuité d’activité ; le chemin à parcourir est encore long.
De la continuité de l’activité à la poursuite de l’activité
Dans les deux définitions, il n’est pas fait de différence entre la continuité de l’activité et la poursuite de l’activité. A contrario d’autres pays, comme le Canada par exemple, la France a choisi de ne pas distinguer les termes continuité d’activité et reprise d’activité. On trouve ainsi des plans de continuité d’activité pour les aspects métier, des plans de reprise d’activité (qui bien souvent ne concernent que les activités informatiques) sans distinction de sens. Pour un canadien, la continuité ne s’applique qu’aux activités qui, soumises à un choc extrême, ne subissent ni arrêt ni diminution de leur qualité. Dans tous les autres cas, il s’agira de reprise d’activité. En France, nous parlons de PCA, alors qu’il s’agit en fait d’une reprise ordonnée et hiérarchisée de l’activité. Le choix du législateur de parler de poursuite de l’activité met fin au débat. Dans tous les cas, le PCA cherche à assurer la poursuite de l’activité, soit en la rendant continue, soit en organisant sa reprise.
Le PUPA vise à limiter les pertes de l’entreprise qui le met en place
Toutes les études réalisées sur le sujet l’ont démontré : l’entreprise préparée et entraînée à faire face à un choc extrême limitera les dégâts et permettra même, dans certains cas, à l’entreprise dans tirer quelques profits,- comme disait Louis Pasteur, le hasard ne favorise que les esprits préparés. La limitation des pertes était jusqu’à présent un avantage espéré du PCA, c’est maintenant un objectif affiché du PUPA.
Mais c’est aussi un constat : le PCA ne peut pas tout. S’il est nécessaire, il ne sera pas suffisant pour permettre, à l’entreprise en situation de crise, de se relever. Il faut donc que cette dernière se dote d’un arsenal de mesures, de dispositifs, et de solutions qui lui permettra d’être efficace en cas situation de péril. Ainsi, comme le suggère le terme urgence, il faut aussi que l’entreprise se dote d’un dispositif de gestion de crise, mais aussi qu’elle s’assure que son personnel connaisse les plans et les procédures d’urgence et surtout qu’il soit entraîné à réagir en cas de crise et sache par exemple déclencher son PUPA.
Il me semble ainsi que l’exercice de crise et plus généralement l’entrainement devient maintenant indissociable du Plan de Continuité de l’Activité… Pardon du Plan d’Urgence et de Poursuite de l’activité.
[1] PCA : Plan de continuité de l’activité : ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des « prestations de services ou d’autres tâches opérationnelles essentielles ou importantes » (Arrêté du 2 juillet 2007) de l’entreprise puis la reprise planifiée des activités. (Définition du CRBF 97-02).
[2] PUPA : Plan d’urgence et de pour suite de l’activité : ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant, de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la reprise planifiée des activités et à limiter ses pertes. (Définition de l’arrêté du 3 novembre 2014).