Preventeo Periculum
50 nuances de risques

Et dire que le premier système d’analyse de risque est né du spatial et des problématiques de gestion des repas des astronautes…¹ De 1960 à nos jours, les approches en gestion de risques ont évolué et leur domaine d’application sont devenus plus divers. Risque industriel, santé et sécurité au travail, sécurité informatique, problématiques de sûreté… La gestion opérationnelle du risque couvre des champs infinis, avec des conséquences très diverses, de la mort d’homme au parapluie administratif en passant par l’arrêt forcé et coûteux d’une chaîne de production. L’enjeu bien sûr tourne autour de la maîtrise des coûts opérationnels et juridiques au cas où un incident survient, et dans ce domaine, les assurances fixent toujours les règles du jeu. Parfois même au-dessus des lois.

Preventeo s’est positionné depuis plusieurs années sur ces questions de prévention des risques et de gestion de la compliance. Pas moins de quinze juristes pour digérer la règlementation française en constante évolution, et surtout pour la traduire de manière opérationnelle à une diversité de clients. Vulgariser, sans dénaturer, pour pouvoir opérer de la manière la plus efficace possible. Dans une approche de pair à pair, Jean-Marc Rallo, le fondateur de la société, réunit régulièrement ses clients dans des clubs utilisateurs où les dernières règlementations sont débattues de manière pointue sur base des cas d’usage rencontrés par les entreprises. Dans une logique règlementaire où les textes s’empilent et se contredisent, ce retour à la pratique est rafraîchissant. C’est l’occasion de mettre sur la table les points épineux, les interrogations en suspens, et de chercher collectivement des solutions responsables et pragmatiques qui font sens pour les professionnels du secteur.

Est-on train de devenir parano ?

La question n’est pas si anodine. Andrea Marcolongo, Patrice Franceschi et Loïc Finaz font l’éloge du goût du risque dans leur dernier ouvrage éponyme. Refuser l’abus de normes, tuer le principe de précaution, ne pas chercher à fuir la mort… Le risque étant inhérent à la vie, est-ce complètement hors sol d’être un aventurier aujourd’hui ? D’un point de vue privé, professionnel, industriel et entrepreneurial, ça interroge.

Pour Jean-Marc Rallo, la question se pose moins en termes de risques qu’en termes de responsabilité. « On demande aux entreprises d’être de plus en plus responsables. Avant, s’il y avait un problème très grave, on avait recours à l’adage ″ce sont les risques du métier″. Aujourd’hui certaines choses sont inconcevables en France. Se blesser au travail par exemple ou mourir d’un accident ou d’une maladie professionnelle. Même les militaires en opérations extérieures, par l'entremise de leur famille, attendent que les responsabilités soient établies. Il y a aujourd’hui une exigence de responsabilité des institutions qui s’est doublée d’une prise de conscience environnementale et sociétale. »

Dans le langage courant, on note une certaine confusion entre la notion de prévention de risques et la notion de conformité/compliance, les termes d’ailleurs sont souvent utilisés de manière interchangeable. Or si la conformité renvoie à l’aspect légal et règlementaire, la prévention de risques renvoie aux pratiques opérationnelles et organisationnelles d’une institution donnée. Les deux notions en fait sont complémentaires. La règlementation se positionne en anticipation du risque et sur base de retour d’expérience, elle édicte des règles pour éviter l’occurrence d’un incident. C’est un début mais ce n’est pas suffisant, chaque organisation étant en effet unique, les obligations doivent toujours être contextualisées à l’entreprise. La clé d’une bonne prévention de risque vient donc de la maîtrise de son activité spécifique et donc de la maîtrise de ses processus opérationnels et organisationnels. « Les processus s’analysent par étape et chaque étape est importante à appréhender en matière de prévention de risques car la règlementation ne prévoit jamais tout. Nos juristes décortiquent les textes, identifient les obligations et les classent selon des principes de management. Telle obligation va relever de la formation, telle autre de la surveillance médicale, telle autre de l’exploitation... À la fin, on sort un référentiel d’évaluation de conformité, aussi appelé référentiel d’audit, où tout est très normé. Nos logiciels et nos services structurent les démarches de certification des entreprises (ISO 14001 pour les systèmes de management environnementaux, 45001 pour les systèmes de management de la santé et de la sécurité au travail, 27001 pour les systèmes de management de la sécurité de l’information ou 22000 (management de la sécurité des denrées alimentaires. »

Avons-nous tous conscience des obligations qui nous sont applicables ? Et dans l’affirmative, est-ce qu’on les met en œuvre de manière suffisante ? Si la pléthore de normes est toujours contreproductive, il faut reconnaître que l’existence de normes pousse à améliorer les pratiques d’entreprise. Un audit pousse à l’introspection organisationnelle et se regarder le nombril fait souvent rentrer dans un schéma vertueux. « Parce que c’est nécessaire, cela oblige à se poser les bonnes questions. Une entreprise ne s’appréhende plus aujourd’hui uniquement par ses performances financières. La conformité, c’est l’expression visible de son degré de responsabilité. C’est un peu comme un code de la route business. » À cela s’ajoute le fait que toute une chaîne de responsabilité se met en place. « Certains donneurs d’ordre décident de ne travailler qu’avec des sous-traitants certifiés. Vous imaginez donc les conséquences si un prestataire perd sa certification. »

Preventeo commercialise des logiciels et des bases de données légales vulgarisées. Ils ont choisi une part de qualitatif élevée, à rebours des modèles qui ne font que du scoring et des tableaux de bord colorés. Le plus important est le plan d’action réaliste qui va émerger des discussions et d’un paramétrage fin des données, contextualisé à l’entreprise. Les règlementations peuvent être les mêmes, mais en fonction de l’activité, la criticité peut s’avérer différente, le paramétrage ne sera donc pas le même. Une substance classée en criticité 5 chez un client pourra tout à fait être classé 1 ailleurs, voire ignorée.

Quand l’incident survient, il faut l’analyser pour éviter qu’il ne se reproduise. La méthode des cinq M et l’arbre des causes, entre autres, sont des méthodes qualitatives, utilisées aujourd’hui chez Preventeo, qui aident à identifier les causes d’un incident. Pour autant, ça commence à bouger. Jean-Marc Rallo souligne ici le fort potentiel de l’IA. « Je pense que beaucoup de méthodes existantes qui étaient utilisées jusqu’à présent, comme l’analyse des causes et des conséquences d’un accident, vont être remises en question. Une IA peut aujourd’hui être paramétrée pour analyser des déclarations d’incident et croiser en même temps avec des éléments de contexte et des données internes de l’entreprise. C’est à mon avis une révolution qui s’annonce dans notre secteur d’activité. En comparaison avec un expert humain, l’IA génère des descriptions plus précises des circonstances de l’incident et propose toujours à réflexion deux ou trois éléments de plus au gestionnaire de risque, ce qui le pousse à plus se questionner. Nous commençons à expérimenter cette approche en matière de gestion d’incident chez certains de nos clients. Les résultats sont plus qu’encourageants. »

Fort d’une clientèle de grands comptes à ancrage français, Preventeo continue sa croissance et devrait atteindre la soixantaine de salariés sous peu. Avec 7 millions d’euros de chiffre d’affaires aujourd’hui et un objectif de plus de 10 millions à trois ans, la France demeure son principal marché. Ses logiciels s’exportent par le jeu des implantations de filiales de ses clients partenaires à l’étranger. Angleterre, Roumanie, Portugal, États-Unis, Chine… Vive la fonctionnalité multilangue qui est loin d’être simple. L'entreprise fête ses 20 ans cette année. L’anniversaire marque aussi de fructueuses noces de porcelaine avec l’école des Mines de Paris et son centre de recherche sur les risques et les crises (CRC) qui depuis le début de l’aventure accompagne la société dans sa R&D. Ils sont vraiment dans tous les bons coups…

¹ Il s’agit de la méthode HACCP, Hazard Analysis and Critical Control Point.