Et si nous pouvions exploiter l’intelligence collective pendant nos déplacements quotidiens ?
La période Covid a libéré certains d’entre nous, des déplacements professionnels et des contraintes quotidiennes des transports pour se rendre sur son lieu de travail. Mais ces obligations restent une réalité. Et si c’était une opportunité pour contribuer à faire avancer des projets qui ont du sens, avec des objectifs orientés santé, éducation, économie, développement durable, et tout cela collectivement.
Le constat d’aujourd’hui : beaucoup de temps passé dans les transports
Nous nous déplaçons pour être sur le lieu de travail qui présente les conditions optimums (se rapprocher de nos collègues, avoir accès à tout le matériel adéquat, etc.). Pour cela nous utilisons nos jambes, notre vélo, notre scooter/moto, notre voiture et/ou les transports en commun (train, RER, tram, métro, bus).
À l’échelle de la France en 2019, il y a 181 millions de déplacements par jour, du lundi au vendredi ;
En moyenne les français y consacrent 1h02 dont 41 minutes dans les transports en commun ;
Et les transports en commun sont empruntés pour 9.1% des déplacements.
Ainsi, au total ce sont 16,5 millions de déplacements (9.1% de 181 millions) réalisés dans les transports en commun, chaque jour, et 675 millions de minutes pour la totalité des voyageurs (41mn x 16,5 millions), c’est-à-dire 11 millions d’heures.
Comment mettons-nous à profit ce temps de trajet ?
Sur tout ce temps qui représente finalement une bonne partie de notre vie, que faisons-nous ? Nous lisons, nous somnolons, certains arrivent à dormir (je ne suis pas sûr de la qualité du sommeil), nous écoutons de la musique ou regardons des vidéos. En somme, nous ne sommes pas des plus productifs. Et surtout nous utilisons souvent notre smartphone. Peut-être vous reconnaissez vous dans cette description ?
Ainsi que fait réellement notre cerveau, se repose-t-il ? pas vraiment, réfléchit-il ? peut-être, mais à quoi ?
Voici un rapide résumé de la situation :
Nous nous regroupons par obligation ;
Nous sommes connectés par besoin ou envie ;
Nous avons des capacités intellectuelles que nous sous-estimons pendant cette période.
C’est en réfléchissant à comment utiliser pleinement mon temps de transport, qu’il m’est venu l’idée : « et si durant mon trajet, je pouvais mettre à contribution mon savoir et mon enthousiasme sur des projets collectifs qui me tiennent à cœur ?”
Tout cela me fait penser à l’intelligence collective. Cela peut paraître tirer par les cheveux, néanmoins de quoi avons-nous besoin pour appliquer l’intelligence collective ? D’après mon expertise et mes propres expériences, particulièrement tirées des ateliers de design thinking, voici les prérequis :
Une communauté : elle existe partout, colocalisée, ou pas. Nous sommes connectés jour et nuit grâce à nos smartphones.
Des connaissances : chacun de nous possède des connaissances venant de ses expériences professionnelles, de ses passions ou encore de sa vie privée.
Un but commun : l’approche serait de dispatcher un but par l’intermédiaire de nos smartphones via les applications des réseaux sociaux.
De l’intelligence : c’est implicite et le plus important. Nous la possédons tous.
Quelle est la vision de demain ?
Hypothétiquement, imaginez pouvoir utiliser la moitié du temps passé dans les transports en commun par un concept d’intelligence collective avec la moitié des voyageurs. Cela représenterait une capacité de 114 500 jours homme par jour (11 millions d’heures divisées par 24, divisé par 2×2 pour ne prendre en compte que la moitié du temps de la moitié des voyageurs), c’est-à-dire une capacité 114 500 fois plus puissante qu’un seul homme/femme.
Cela pourrait être utilisé à réfléchir, à penser, à analyser et à élaborer des solutions innovantes, par exemple, sur les sujets suivants :
Des recherches sur des problématiques médicaux ou financier ;
Problématiques organisationnelles pour rendre les entreprises plus humaines ;
Amélioration l’éducation de demain pour nos générations futures ;
Challenge sur l’impossible en cherchant un moyen de résorber le trou de la sécurité sociale ;
Et beaucoup d’autres sujets orientés créativité et innovation.
Et vous,
Que feriez-vous d’une telle ressource ?
À votre échelle, quelle serait votre contribution pour faire émerger cette intelligence collective ?
Seriez-vous volontaire pour expérimenter en participant à une conception/recherche collectivement la prochaine fois que vous empruntez les transports en commun ?
Voudriez-vous entreprendre une startup venant d’un concept d’intelligence collective en partant d’un wagon de RER. Cette start-up fonctionnera chaque matin et soir au fil des voyageurs entrants et sortants du train ?
En fait, cela n’est pas une utopie car en réalité il existe d’autres approches similaires avec un objectif de collecter l’intelligence humaine :
P.S. : un problème qui n’a pas été abordé ici est la confidentialité des données qui pourraient avoir besoin d’être partagées pour exploiter l’intelligence collective dans ce contexte. Ce sujet est très compliqué à aborder et il ne le sera pas ici car il mérite un article entier..
Les grands enjeux de l’humanité sont la faim, la pauvreté, le développement durable, la paix, la santé, l’éducation, l’économie, les ressources naturelles… et notre capacité à élaborer de nouvelles organisations capables de les résoudre. C’est l’intelligence collective, la révolution invisible.
Le rapport « Stratégies de migration dans le Cloud” a été publié en janvier 2023 par le Club Informatique des Grandes Entreprises Françaises (CIGREF) ; une association française qui regroupe plus de 150 entreprises, avec en commun, l’usage stratégique des technologies de l’information et de la communication (TIC).
Il traite des différentes approches à prendre en compte lors de la planification et de l’exécution des migrations cloud, en s’appuyant sur les résultats, observations, recommandations et alertes d’expériences concrètes, en cours ou achevées.
Dans cet article nous allons voir différents sujets :
La plupart des membres CIGREF sont engagés dans un processus de migration vers le cloud, a minima par des solutions SaaS, mais son usage se répand de plus en plus vers tous les secteurs d’activités.
Aujourd’hui, les entreprises se lancent dans la migration pour gagner en agilité, réactivité, flexibilité et time-to-market, tout en bénéficiant des évolutions technologiques en continu, le tout avec une couverture mondiale.
Mais une fois la migration engagée, de nouveaux avantages apparaissent ; à savoir l’optimisation des coûts IT, l’inventorisation du SI, l’autonomie des équipes de développement.
Le groupe de travail a aussi relevé une multitude d’obstacles/freins à anticiper et à prendre en considération dans la stratégie de migration :
Protection juridique et technique des données et actifs ;
Exposition aux lois extraterritoriales s’il s’agit d’un fournisseur international ;
Manque de compréhension des enjeux du cloud par les dirigeants ;
Déséquilibre des relations avec les grands fournisseurs ;
Gestion de la réversibilité lors de la migration vers un autre fournisseur ;
Maturité interne de l’organisation vis-à-vis du cloud, en termes de ressources et de compétences.
Périmètre de la migration
Aussi, la migration exige d’effectuer d’importants choix stratégiques, en commençant par le périmètre de la migration : soit des applications, soit des données.
Développement du Cloud hybride
Le cloud hybride est la solution la plus recommandée par les membres, il présente plusieurs avantages :
Optimise les relations fournisseurs et ouvre de nombreuses possibilités ;
Facilite l’optimisation des coûts, surtout avec une bonne démarche FinOps ;
Changement relatif à la perméabilité, les providers fournissent de plus en plus de solutions quasi uniques pour le cloud hybride ;
Recherche d’équilibre entre Cloud privé et public :
Certaines entreprises sont soumises à des règlementations spécifiques et doivent avoir un cloud privé ;
La migration du parc applicatif vers le cloud public est de plus en plus facile ;
Le développement de toutes les nouvelles applications se fera nativement dans le cloud public sauf contraintes spécifiques.
Il faut prendre en compte l’enjeu des données sensibles et critiques.
Le ratio des données sensibles dans l’ensemble des données est déterminant dans l’appréhension de la migration vers du cloud public. S’il est faible, l’entreprise peut migrer la majorité des actifs IT dans le cloud, et garder la partie données sensibles en interne.
L’étude CIGREF sur le “Besoin cloud de confiance” indique que 15% à 25% des données, en fonction du secteur d’activité, sont suffisamment sensibles pour devoir être protégées des risques de services cloud extra-européens.
En parallèle, on remarque une diminution du besoin cloud privé interne :
L’évolution technologique du cloud public exige d’utiliser les solutions les plus standards possibles et d’être en capacité de tenir le rythme de toutes les feuilles de route techniques des logiciels et des composants du SI ;
Pénurie de compétences pointues et rétention des équipes difficile ;
Investissements considérables liés à l’obsolescence des infrastructures ;
Enjeux de sécurité numérique à garantir ;
Exigences environnementales contraignantes sur les équipements.
On se retrouve face à trois différentes hypothèses pour l’avenir du cloud privé :
Option 1 : maintien d’une plateforme cloud privé dans les infras de l’entreprise, basée sur une plateforme spécialisée.
Option 2 : disparition du cloud privé interne au profit d’un cloud unique avec une composante “cloud public” et une “cloud privé” consistant à installer dans le domaine privé, une réplique du cloud public via une solution convergée, proposée par les fournisseurs de cloud public (ex: Azure Stack, AWS Outspot…).
Option 3 : établissement d’un modèle cloud public unique.
Enjeux du multi cloud
Deux acceptations du multi cloud sont admises :
L’utilisation dans le même SI de plusieurs fournisseurs de cloud ;
La capacité de changer facilement de fournisseur sur un plan technique, l’aspect contractuel étant le plus souvent le point d’achoppement. Cela nécessite l’interopérabilité des plateformes d’hébergement, et la portabilité des applications d’une plateforme à l’autre.
Les entreprises expriment quand même quelques doutes/réticences à se lancer dans du multi cloud :
Pour un bon niveau de sécurité, il ne faut pas mettre ses données et ses applications chez un seul fournisseur ;
Complexité du management ;
Utiliser plusieurs cloud publics signifie que les prix seront potentiellement moins avantageux chez chacun des fournisseurs.
Modalités de la migration applicative
Une entreprise participante de l’étude distingue 5 grandes étapes pour gérer sa migration applicative :
La migration applicative pose aussi la question du choix de transformation à effectuer sur les applications, à décider pour chaque application. On distingue plusieurs chemins de transformation :
Reinstall/lift & shift : est l’action de migrer l’application telle quelle.
Rehost : « lift & shift » mais avec un minimum de remédiation du système d’exploitation et des bases de données de l’application.
Replateform : permet de remplacer le niveau bas de l’application (passage vers PaaS).
Redeploy : redéploiement de l’application sur une nouvelle plateforme technique.
Rearchitect/Refactoring/Rewriting : modifie le code de l’application, avec un passage en Continuous Integration and Continuous Delivery (CICD) par exemple.
Replace : correspond à la mise en place d’une alternative.
Repurchasing : correspond aussi à l’achat de nouvelles solutions sur le marché.
Retain : maintien de l’application avec une consolidation des environnements.
Retire (Décommissionnement) : permet de se séparer de l’application.
Accenture avait publié en 2021 les niveaux de bénéfices réalisés par les entreprises en fonction du chemin de migration choisi :
Pour autant, à ce jour, seulement 30% des applications développées par les entreprises sont déployées sur le cloud. Seules les applications les plus simples ou les applications cloud natives le sont. Cet échec qui peut s’expliquer par plusieurs raisons, identifiées par Gartner :
Wrong Team : mauvais choix de partenaire ou manque d’expérience des équipes internes.
Wrong emphasis : mauvais chemin de transformation sur les applications.
Rushed Application Assessment : étude insatisfaisante du parc applicatif et de sa cloud readiness (capacité à migrer vers cloud). Pas de prise en compte de la sécurité de la migration, donc augmentation de la surface d’attaque.
Poor Landing Zone design : mauvaise configuration des environnements dans lesquels les charges de travail sont migrées peut augmenter les coûts de sécurité et de conformité.
Mistimed Work Effort : mauvaise anticipation du temps nécessaire à la transformation, faute d’échéancier réaliste.
Hidden Indirect Costs : mise en place du budget sans considérer les coûts indirects (coûts de formations, coûts des centres de données abandonnés…).
A cela, vient s’ajouter les cas des applications en Legacy, qui, dans ⅓ des cas, nécessitent un rapatriement vers les solutions on-premises de départ.
Enfin, les discussions sur la migration dans le cloud ont aussi mis en lumière 4 points clés à prendre en compte :
Suivi financier de la migration
Approche d’Accenture : évitement des coûts
Le cabinet Accenture propose une approche de comparaison financière de deux scénarios futurs :
L’organisation effectue la migration dans le cloud de son SI,
Le projet de migration n’est pas choisi et la DSI continue avec les projets et les infrastructures actuelles.
Accenture distingue ainsi 5 grandes familles de dépenses de la DSI, qu’il est nécessaire d’identifier pour avoir la cartographie des gains et coûts engendrés par la migration :
En outre, plusieurs types de coûts de pilotage sont associés à la migration dans le cloud :
Réalisation du business case ;
Intégration du FinOps ;
Conduite du changement ;
Nouveau catalogue de services ;
Niveau d’investissement nécessaire des directions métiers ;
Travail avec les métiers sur la roadmap applicative ;
Coûts de transformation des équipes et talents (upskilling en continu).
Suivi financier du passage dans le Cloud
Plusieurs éléments sont à prendre en compte pour la gestion financière des migrations :
Il paraît donc nécessaire d’adopter une démarche “FinOps”, qui permettrait de renouveler les pratiques de gouvernance par les coûts en l’alignant sur les enjeux stratégiques de l’entreprise.
Un des membres du Cigref a défini 3 piliers à cette démarche :
A la clé, les entreprises pourront tirer le maximum de bénéfices du cloud :
Maîtrise des dépenses d’exploitation OPEX ;
Rationalisation des achats ;
Amélioration du contrôle des fournisseurs de services Cloud ;
Elimination des silos organisationnels ;
Renforcement des relations de la DSI avec les services financiers et les directions métiers.
Réorganisation des équipes IT
La migration Cloud ne doit pas être considérée comme une stratégie IT, mais comme une stratégie globale d’entreprise.
Il est donc nécessaire de former une équipe cloud aux compétences multiples, qui constitue à la fois le noyau et le moteur de la migration.
Gestion des fournisseurs
Market share des fournisseurs Cloud
En 2022, le cabinet Gartner a publié son estimation de la répartition des parts de marché entre les différents fournisseurs cloud :
Les Hyperscalers
Si l’on considère les trois grands hyperscalers, Amazon Web Services, Google Cloud et Microsoft, il est intéressant de connaître les points forts et spécificités techniques ou non-techniques des fournisseurs.
Difficultés rencontrées et pistes pour réussir
Les entreprises participantes à l’étude ont identifié plusieurs difficultés quant à la gestion de ces fournisseurs cloud :
La négociation pour obtenir une offre de paiement à l’usage intéressante est plus difficile que pour obtenir des bons prix sur les instances réservées.
L’absence d’estimation fiable de la consommation réelle du service rend difficile la projection sur le nombre d’instances à réserver.
Les intégrateurs bâtissent leur expertise grâce aux connaissances acquises dans leurs REX clients, alors que les expériences achevées sont rares, à fortiori en France, puisque les projets sont récents.
D’un autre côté, leur expérience a permis de ressortir des pistes pour optimiser ses relations avec les fournisseurs :
La coordination avec l’intégrateur est primordiale.
Veiller à préparer le sprint 0 avec l’intégrateur, le faire à posteriori augmente le risque d’un sprint 0 sous-estimé.
Un accompagnement par un intégrateur, voire par un cloud provider, permet de progresser dans le domaine de la sécurité.
Pour une gestion confortable des coûts, le coût de migration cloud présenté par l’intégrateur devrait être doublé, par précaution.
Conclusion
Le sujet cloud reste riche en questions et en perspectives. La capitalisation des connaissances et des retours d’expériences est essentielle, et chaque DSI devrait étudier et analyser ces informations avant de se lancer dans un projet de migration cloud.
Les autres articles qui peuvent vous intéresser
10 février 2025
Pilotage & Performance Opérationnelle et Contractuelle
10 questions à poser pour transformer l’expérience collaborateur
10 questions à poser pour transformer l’expérience collaborateur
En quelques années, le poste de travail a cédé la place à une digital workplace collaborative, mobile, ouverte, rapide… Une révolution pour le support, qui doit repenser sa valeur autour de la qualité de l’expérience collaborateur.
En quelques années, le poste de travail a cédé la place à une digital workplace collaborative, mobile, ouverte, rapide… Une révolution pour le support, qui doit repenser sa valeur autour de la qualité de l’expérience collaborateur.
Dynamité, dispersé, ventilé, éparpillé façon puzzle. Quelle que soit votre expression favorite, elle décrira assez bien ce qui est arrivé en quelques années à l’environnement de travail de l’utilisateur. Bien sûr, le poste physique – l’ordinateur – existe encore ; mais les usages des collaborateurs auparavant très centrés sur ce poste le dépassent largement. Ce que l’on nomme désormais l’expérience collaborateur – et qui s’avère tout aussi critique pour l’entreprise que l’expérience client – repose sur le parcours de l’utilisateur au sein du système d’information qui lui est proposé. Et le Service Support, sans surprise, s’impose comme un pilier de cette expérience globale.
L’évolution de l’environnement de travail a finalement suivi celle des organisations et des modes de travail (nouveaux usages) – à moins que ce ne soit l’inverse. À l’ordinateur de bureau associé à des collaborateurs attachés à un site – voire à un bureau – a succédé le PC portable, levier de la mobilité externe mais aussi interne avec l’allocation libre des espaces. Aux applications explicitement estampillées « métier » se sont ajoutés des services et plateformes (réseaux sociaux, chatops, la connectivité généralisée…) à travers lesquels les frontières entre usages personnels et professionnels sont plus flous. Aux « données d’entreprise » pas toujours très partagées ont succédé des services analytiques plus largement accessibles pour mettre la donnée au cœur du quotidien de chacun.
Ces environnements plus mobiles, plus collaboratifs, plus ouverts, plus « data-centric » font chaque jour un peu plus du « collaborateur augmenté » une réalité. Et stimulent des organisations plus matricielles, plus agiles aussi. Ne sous-estimons pas cette transformation : même si quelques éléments perdurent (un poste de travail individuel, une suite bureautique…), l’environnement de travail a bien été bouleversé et, avec lui, le support. Là où les équipes IT dédiées géraient un parc et des incidents, elles doivent aussi piloter aujourd’hui la cohérence du parcours utilisateur et l’efficacité de la mise à disposition d’une grande variété d’informations et de services collaboratifs.
La satisfaction est-elle au rendez-vous ? Pas vraiment encore. Ces fonctions de supports (internes ou pas) sont considérées comme trop onéreuses, leur gouvernance s’avère difficile et, surtout, les utilisateurs et métiers sont loin d’être satisfaits… Résultat, les DSI se déclarent majoritairement mécontents des performances des partenaires auxquels ils font appel, et selon une étude IDC menée en mars 2018 près de la moitié d’entre eux (49%) envisagent d’en changer. Il faut dire que la pression monte et que le temps presse…
À l’heure où le système d’information des entreprises se consumérise – entendez que les utilisateurs l’évaluent avec le même regard que celui qu’ils portent sur Facebook ou Amazon – le service support devient la véritable vitrine de la DSI. Se joue donc ici la perception de sa valeur, de son aptitude à se transformer…
Comment assurer un support à la hauteur des nouvelles exigences ? Tout d’abord, en posant les bonnes questions :
Comment redonner de l’autonomie aux utilisateurs et leur permettre d’auto-résoudre leurs sollicitations ?
Comment apporter le bon niveau de support aux utilisateurs selon leurs métiers et leurs problématiques ?
Comment aligner les services proposés sur l’évolution des principes d’usage du web ?
Comment améliorer l’expérience utilisateur, renforcer l’attractivité, augmenter les chances d’aller au-delà du premier clic ?
Comment apporter de la visibilité sur le suivi des sollicitations ?
Comment apporter un maximum de fonctionnalités (par exemple pour la recherche, la consultation d’informations, la mise en relation…) ?
Comment proposer un accès au support 24/7/365 multi-devices, et omnicanal, donc « sans coutures » ?
Comment développer l’assistance fonctionnelle et la prise en charge des processus métier ?
Comment avoir une efficacité collaborative ?
Comment aller vers plus de centres de services tout en gardant la maîtrise ?
À travers ces questions, se dessinent en fait 4 grands chantiers : développer l’autonomie des utilisateurs, différencier le support selon les métiers ou l’utilisateur, intégrer les nouveaux usages et développer l’assistance fonctionnelle. Des chantiers qui dessinent une nouvelle Digital Workplace.
Repenser la chaîne de support en intégrant la dimension digitale liée à des innovations technologiques et des nouvelles pratiques est une réelle opportunité pour la DSI. Elles verraient ainsi leur service support amélioré et leur relation client renforcée.
Depuis quelque temps, la question de la conformité interne prend une place indéniable dans les entreprises. En effet, même si le RGPD est un règlement datant de 2018, l’attention a été portée aux données clients, aux besoins des équipes marketing, data ou digital et fournisseurs, délaissant de fait les données RH des organisations.
Une conformité RGPD permet cependant d’améliorer l’image employeur de son entreprise (pour les employés mais aussi pour les candidats) au travers du respect de la confidentialité et de la gestion des risques sur la vie privée, par une politique de protection des données.
De plus, c’est un moyen d’améliorer la gestion des employés et de mettre à la disposition du DRH, des informations à jour, complètes et centralisées qui permettront d’améliorer la prise de décision et de planification des ressources humaines.
Enfin, c’est aussi un moyen d’éviter à l’entreprise des sanctions financières et des poursuites en cas de violation des données des employés, sans compter les conséquences sur la réputation de l’entreprise.
Cet article a pour but de donner quelques conseils aux équipes RH et aux consultants. J’ai procédé à un exercice de collecte d’informations qui, je l’espère, vous sera utile pour vous guider dans votre mise en conformité.
Cependant, je n’aborderai pas tous les sujets nécessaires pour se mettre complètement en conformité, mais uniquement les points récurrents qui me sont souvent demandés.
Les 3 points à respecter pour que votre RH soit conforme à la RGPD
La base légale des traitements des données
Chaque traitement de données personnelles doit respecter une base légale.
Bases légales envisageables (sous réserve de choix différents justifiés par un contexte spécifique)
Recrutement
Traitement des candidatures (CV et lettre de motivation) et gestion des entretiens
Mesures précontractuelles
Constitution d’une CV-thèque
Intérêt légitime
Gestion administrative du personnel
Gestion du dossier professionnel des employés, tenu conformément aux dispositions législatives et réglementaires, ainsi qu’aux dispositions statutaires, conventionnelles ou contractuelles qui régissent les intéressés.
Exécution du contrat
Réalisation d’états statistiques ou de listes d’employés pour répondre à des besoins de gestion administrative.
Intérêt légitime
Gestion des annuaires internes et des organigrammes.
Intérêt légitime
Gestion des dotations individuelles en fournitures, équipements, véhicules et cartes de paiement.
Intérêt légitime
Gestion des élections professionnelles.
Obligation légale
Organisation des réunions des instances représentatives du personnel.
Obligation légale
Gestion des rémunérations et accomplissement des formalités administratives
Etablissement des rémunérations, mise à disposition des bulletins de salaire
Exécution du contrat
Déclaration sociale nominative.
Obligation légale
Mise à disposition des personnels d’outils informatiques
Suivi et maintenance du parc informatique.
Intérêt légitime
Gestion des annuaires informatiques permettant de définir les autorisations d’accès aux applications et aux réseaux.
Intérêt légitime
Mise en œuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applications informatiques et des réseaux.
Intérêt légitime
Gestion de la messagerie électronique professionnelle.
Intérêt légitime
Réseaux privés virtuels internes à l’organisme permettant la diffusion ou la collecte de données de gestion administrative des personnels (intranet).
Intérêt légitime
Organisation du travail
Gestion des agendas et projets professionnels.
Intérêt légitime
Suivi des carrières et de la mobilité
Évaluation professionnelle des personnels, dans le respect des dispositions législatives, réglementaires ou conventionnelles qui la régissent.
Intérêt légitime
Gestion des compétences professionnelles internes.
Intérêt légitime
Gestion prévisionnelle de l’emploi et des compétences (GPEC)
Intérêt légitime
Gestion de la mobilité professionnelle.
Exécution du contrat
Formation
Gestion des demandes de formation et des périodes de formation effectuées.
Exécution du contrat
Organisation des sessions de formation et évaluation des connaissances et des formations.
Intérêt légitime
Gestion des aides sociales
Gestion de l’action sociale et culturelle directement mise en œuvre par l’employeur, à l’exclusion des activités de médecine du travail, de service social ou de soutien psychologique.
Intérêt légitime
La durée de conservation des données RH
Les données personnelles ne pouvant pas être conservées à vie, il est nécessaire de mettre en place des purges automatisées ou non (selon la taille de vos espaces de stockage, il est parfois indispensable de passer par une purge automatisée).
Les durées de conservations sont généralement à définir par le métier, selon son besoin (la personne utilisant la donnée ou la collectant) ; dans votre cas : le DRH ou le responsable administratif en collaboration avec votre DPO ou le référent RGPD de votre organisation. Cependant, certains documents doivent respecter des durées légales de conservation déjà prévues par le droit.
Le tableau ci-dessous vous permet d’avoir une liste (non exhaustive) des documents les plus souvent demandés/collectés en interne :
Activités de traitement
Détails du traitement
Base active
Archivage intermédiaire
Textes de référence
Gestion de la paie
Bulletin de salaire
1 mois
5 ans
L. 3243-4 du code du travail
Bulletin de salaire
1 mois
50 ans (en version dématérialisée)
D. 3243-8 du code du travail
Eléments nécessaires au calcul de l’assiette
1 mois
6 ans
L. 243-16 du code sécurité sociale
Saisie des données calculées (DSN)
Le temps nécessaire à l’accomplissement de la déclaration
6 ans
L. 243-16 du code sécurité sociale
Ordre de virement pour paiement
Le temps nécessaire à l’émission du bulletin de paie
10 ans à compter de la clôture de l’exercice comptable
L. 123-22 du code du commerce
Registre unique du personnel
Ordre de virement pour paiement
La durée pendant laquelle le salarié fait partie des effectifs
5 ans à compter du départ du salarié de l’organisme
R. 1221-26 du code du travail
Gestion des mandats des représentants du personnel
Nature du mandat et syndicat d’appartenance
6 mois après la fin du mandat
6 ans (prescription pénale pour délit)
L. 2411-5 du code du travail
Les données relatives aux sujétions particulières ouvrant droit à congés spéciaux ou à crédit d’heures de délégation (ex: exercice d’un mandat électif ou représentatif syndical)
Le temps de la période de sujétion de l’employé concerné
6 ans (prescription pénale pour délit)
L. 2142-1-3 du code du travail
La gestion des droits des personnes (candidats et employés)
La gestion des droits des personnes est une obligation sur toutes les données personnelles, il faut donc prendre en compte le processus de réponse à ces demandes. Les droits sont : le droit d’accès (avoir une copie des données personnelles), le droit de suppression (demander la suppression de tout ou partie de ses données personnelles), le droit de modification (demander la modification de ses données personnelles en cas d’erreur), le droit de portabilité (demander une copie sous format lisible par une machine (ex. : csv) de ses données personnelles), le droit de limitation (demander la non utilisation de ses données personnelles pour un traitement spécifique).
Des règles simples sont à respecter :
La réponse à une demande doit se faire au maximum 30 jours après la réception de celle-ci. Il peut y avoir une exception si la demande est complexe (si on vous demande une copie de la totalité des données personnelles que vous avez en votre possession), dans ce cas le délai monte à 3 mois, mais il faudra prévenir la personne que la durée est augmentée de 23 mois, un mois maximum à partir de la réception de la demande.
La confirmation de l’identité du demandeur est nécessaire afin d’éviter d’envoyer/modifier/supprimer les données d’une une tierce personne. Si ça arrive, il s’agit alors d’une fuite de donnée qui doit être notifiée auprès de la CNIL. La confirmation est nécessaire seulement en cas de doute sur l’identité de la personne, elle n’est donc pas obligatoire. Enfin, une fois l’identité de la personne confirmée, la preuve doit être supprimée.
La réponse doit être sous le format de la demande, c’est-à-dire qu’une demande par courrier doit avoir une réponse par voie postale, et une demande par mail, par mail.
Il est possible de refuser une demande si celle-ci n’est pas fondée ou paraît excessive, ou encore si les données de la personne concernée ont été effacées. Ou enfin, s’il est demandé de supprimer des documents légaux ou devant être conservés obligatoirement (ex. : fiche de paie, contrat, …).
Mettre en place la conformité RGPD de vos Ressources Humaines
Pour bien commencer, il est important d’avoir une équipe dédiée à la conformité, en complément du DPO et du DRH qui sont indispensables. Cette équipe devra être formée et aura des rôles précis. Cette formation peut se faire directement par le MOOC de la CNIL, régulièrement mis à jour, qui est complet et qui donne de très bonnes bases (testé et approuvé par mon équipe).
En interne, il est indispensable de pouvoir sensibiliser les collaborateurs sur leurs droits (droits des personnes, bases légales, limitations, …), mais aussi leurs devoirs vis-à-vis des données personnelles qu’ils traitent (sécurité des postes de travail, sécurité des documents, politique de mot de passe, …).
Enfin et afin de pouvoir être totalement conforme, il est nécessaire de créer un registre de traitement, de faire une revue des process de gestion des droits des personnes, d’analyser les applications internes, les contrats de sous-traitance et les mesures de sécurité de la DSI. Il est également nécessaire de s’assurer du bon fonctionnement des purges et archivages ou encore de mettre en place des analyses d’impacts sur la vie privée et des audits.
ArchiMate est un langage de modélisation développé par l’Open Group, basé sur les concepts TOGAF, qui permet de partager un langage commun pour décrire, analyser et visualiser l’architecture d’entreprise. Le but ? Aider à la prise de décision des transformations de l’entreprise.
Résultat d’années de réflexions (travaux débutés en avril 2020), la nouvelle spécification ArchiMate 3.2 est publiée le 18 octobre 2022.
L’objectif de cet article est de montrer l’exhaustivité des modifications apportées par la spécification 3.2 d’ArchiMate.
Voici une synthèse de ces modifications qui seront détaillées plus bas :
La couche physique devient un composant de la couche technologie
Modification de la notation
L’ensemble des éléments ont maintenant deux notations : sous forme de boite et d’icône
Tous les éléments de la couche Implémentation et Migration sont désormais de la même couleur
Modification des méta-modèles
Reformulation des définitions de Outcome, Constraint, Business Function, Product et Technology Interface
Modification des relations dérivées
Ajout d’une règle de dérivation pour un élément Grouping
Modification majeure des restrictions
La couche physique devient un composant de la couche technologie
Jusqu’ici indépendantes, Archimate 3.2 intègre la couche Physique dans la couche Technologie.
Les modifications de la notation
Deux changements majeurs dans la notation ArchiMate sont apportés par la spécification 3.2 :
L’ensemble des éléments ont maintenant deux notations : sous forme de boite et d’icône
Tous les éléments de la couche Implémentation et Migration sont de la même couleur
Nous avons fait le travail de synthèse des modifications de la notation dans le tableau suivant :
Modification de la notation ArchiMate 3.2
Voici donc la nouvelle notation Archimate 3.2 :
Notation ArchiMate 3.2
La modification de définitions
ArchiMate 3.2 clarifie et simplifie les définitions des concepts Outcome, Constraint, Business Function, Product et Technology Interface.
Issu de la spécification ArchiMate, nous avons synthétisé l’ensemble des modifications de définitions dans ce tableau (rouge : supprimé ; vert : ajouté) :
Couche
Élément
ArchiMate 3.1
ArchiMate 3.2
Motivation
Outcome
Represents an end result.
Represents an end result, effect, or consequence of a certain state of affairs.
Motivation
Constraint
Represents a factor that limits the realization of goals.
Represents a limitation on aspects of the architecture, its implementation process, or its realization.
Business
Business Function
Represents a collection of business behavior based on a chosen set of criteria (typically required business resources and/or competencies), closely aligned to an organization, but not necessarily explicitly governed by the organization.
Represents a collection of business behavior based on a chosen set of criteria such as required business resources and/or competencies, and is managed or performed as a whole.
Business
Product
Represents a coherent collection of services and/or passive structure elements, accompanied by a contract/set of agreements, which is offered as a whole to (internal or external) customers.
Represents a coherent collection of services and/or passive structure elements, accompanied by a contract, which is offered as a whole to (internal or external) customers.
Technology
Technology Interface
Represents a point of access where technology services offered by a node can be accessed.
Represents a point of access where technology services offered by a technology internal active structure can be accessed.
La modification des méta-modèles
La spécification 3.2 modifie les méta-modèles des couches Business, Technologie, Physical, et des liens entre la couche Implémentation et Migration et l’aspect Motivation.
Voici les évolutions de ces méta-modèles :
Business Composite Elements
Technology Layer Metamodel
Technology Passive Structure Elements
Physical Elements Metamodel
Relationships of Implementation and Migration Elements with Motivation Eléments
En synthèse, les modifications des méta-modèles apportent les changements suivants :
Ajout des relations
Agrégation et Composition du Product au Contrat
Agrégation et Composition entre Node, Device, System Software, Equipment et Facility
Assignation du Device à l’Artifact
Assignation du System Software à l’Artifact
Réalisation du Matériel à l’Equipement
Composition et Agrégation du Plateau à l’Outcome
Réalisation et Influence du Work Package au Requirement
Suppression des relations
Réalisation entre des Nodes
Assignation des éléments technologiques de structure active à l’Artifact
Modification des liens d’héritage
System Software, Device, Equipment et Facility n’héritent plus du Node et héritent des éléments technologiques de structure active
Artifact, Material et Path sont des éléments technologiques de structure passive
Évolution des relations dérivées
Dans le but de réaliser des analyses d’impacts plus poussées, la spécification ArchiMate 3.1 avait introduit la notion de relation dérivée :
Si on a deux relations p(b,a):S et q(b,c):T avec a, b, c des éléments, p et q des relations respectivement de type S et T, alors on cherche à connaître la relation r de type U tel que r(a,c):U.
ArchiMate 3.1 définit :
Des règles de dérivation strictes, qui s’applique quel que soit le modèle
Des règles de dérivation potentielles, qui peuvent s’appliquer en fonction du modèle
Des restrictions sur les règles de dérivation
En complément, Archimate 3.2 :
Réécrit totalement les restrictions sur les règles de dérivation, qui étaient jusqu’ici difficiles à lire
Ajoute une règle de dérivation potentielle pour un élément Grouping : S’il existe deux relations p(b,a):S et q(b,c):T, avec S une relation de type Agrégation ou Composition, b un élément de type Grouping et T une relation de type Realization ou Assignment, alors une relation r(a,c):T pourrait être dérivée seulement si le métamodèle permet une relation T de a à c.
Conclusion
Les modifications du langage de modélisation Archimate apportées par la spécification 3.2, bien que mineures, permettent d’homogénéiser la notation, d’améliorer le méta-modèle et de supprimer des ambiguïtés par la clarification à la fois des définitions et des règles de restrictions des relations dérivées.
