Fiches outils - Contrôler les risques
L’appétit pour le risque
L’appétit pour le risque peut se baser sur différents critères de classifications. La finance et l’image sont les plus fréquentes.
Sur cette base, il est aisé de définir le niveau de risque en fonction des conséquences, en fonction du plus haut risque identifié dès que l’un des critères est rencontré :
Niveau de risque |
Impact financier |
Impact réputationnel |
Réduit |
< <valeur> euros < <nombre> utilisateurs impactes < <nombre> clients impactes |
< <nombre> clients impactes |
Important |
Entre <valeur> et <valeur> euros Entre <nombre> et <nombre> utilisateurs impactés Entre <nombre> et <nombre> clients impactés |
Publication de l’information vers une audience restreinte |
Critique |
> <valeur> euros > <nombre> utilisateurs impactés > <nombre> clients impactés |
Publication de l’information vers une audience élargie |
Sur cette base, il est aisé d’indiquer le niveau maximal autorisé ou tout du moins les actions à prendre en fonction du niveau de risque.
D’autres critères peuvent être utilisés comme le type de données sur lequel porte le risque. Dans tous les cas, l’impact pour l’organisation pourra généralement se mesurer...
Le registre des risques
Bien que déjà présenté dans le registre du RAID dans le chapitre « Fiches outils - Gérer les projets », il peut être intéressant d’avoir un registre des risques qui soit indépendant des projets. Le registre des risques est utilisé à différents moments et son contenu peut varier en fonction des enjeux et des objectifs. A minima, le registre des risques comportera :
-
Identifiant : un numéro ou un code unique utilisé pour identifier le risque de manière précise dans le registre.
-
Description : une description détaillée du risque, y compris son origine, ses conséquences potentielles et les facteurs de risque associés.
-
Catégorie : la catégorie à laquelle le risque appartient, par exemple « financier », « opérationnel », « technique », etc.
-
Probabilité : la probabilité que le risque se produise, évaluée sur une échelle allant de très peu probable à très probable, généralement de 1 à 5.
-
Impact : l’impact potentiel du risque sur l’organisation, évalué sur une échelle allant de très faible à très élevé, généralement...
Les clauses contractuelles liées à la protection des données
Voici un exemple de clauses qui pourraient être incluses dans un contrat visant à respecter le règlement général sur la protection des données (RGPD) :
Les données personnelles collectées et traitées dans le cadre du présent contrat seront utilisées exclusivement aux fins suivantes : [décrire les fins précises et limitées].
Les données personnelles collectées et traitées dans le cadre du présent contrat seront conservées pendant une durée maximale de [déterminer la durée adéquate en fonction des fins prévues dans la clause de finalité].
Le responsable du traitement s’engage à ne pas confier le traitement des données personnelles à un sous-traitant sans l’accord préalable et écrit de la personne concernée. Si le responsable du traitement souhaite confier le traitement à un sous-traitant, il devra obtenir l’accord préalable et écrit de la personne concernée et informer cette dernière de l’identité du sous-traitant, ainsi que des modalités de traitement qui seront mises en œuvre. Le responsable du traitement restera responsable du traitement en tant que responsable du traitement au sens...