Lëtzebuerger Gemengen

CONSEIL

Gouvernance des administrations publiques: vers une optimisation des procédures et une conformité renforcée

PwC Luxembourg

Comment répondre aux attentes grandissantes des citoyens en matière d’efficacité, de responsabilité et de transparence tout en faisant face à des exigences réglementaires croissantes? La question se pose inévitablement à tous les échelons du secteur public. Selon Jacques-Félix Wirtz, David Bernard et Ingrid Feller, respectivement Senior Manager et Manager au sein du département «Industry & Public Sector Advisory» et Senior Manager du département «Financial Services Consulting» chez PwC Luxembourg, les éléments de réponse les plus appropriés résident dans une gestion adéquate des procédures et une mise en conformité renforcée par rapport aux exigences réglementaires.

 

De la maîtrise des procédures

Pour remplir leur mission de service public, les administrations étatiques ou communales ont à résoudre des défis complexes qui requièrent un bon enchaînement de tous leurs rouages. Un défaut dans l’engrenage peut les exposer à des risques ou simplement compromettre la continuité de leurs activités. Des difficultés qui sont évitables grâce à une bonne gestion de leurs procédures. «Lorsqu’une institution a le sentiment qu’il y a un potentiel d’amélioration dans l’un de ses départements, nous pouvons lui proposer de réaliser une revue organisationnelle. Au terme de l’analyse de ses structures, de ses procédures et des contrôles mis en place, nous aurons identifié ses éventuels points d’amélioration, mis au point des recommandations, voire déterminé la stratégie à déployer. Nous travaillons toujours selon une approche collaborative qui permet d’impliquer l’administration en question via des ateliers d’idéation et de cocréation», indique Jacques-Félix Wirtz.

À la clé: une amélioration certaine du fonctionnement de la structure. Mais l’exercice nécessite une documentation appropriée des processus, laquelle fait souvent défaut. Or, un manque de documentation sur des processus clés peut s’avérer néfaste à la continuité des opérations: «En cas de démission, d’arrêt maladie ou de départ à la retraite d’un collaborateur, par exemple, les activités ne pourront pas reprendre de façon fluide si les processus n’ont pas été minutieusement documentés. En outre, une documentation appropriée conduit à une utilisation plus efficace des ressources humaines car elle permet d’identifier certaines redondances dans la répartition des tâches. PwC Luxembourg dispose d’un grand nombre d’experts qui accompagnent ses clients non seulement dans la rédaction de leurs processus mais aussi dans leur modélisation selon la convention Prometa», détaille David Bernard.

Ainsi, des procédures internes bien définies sont indispensables, mais inutiles si elles ne sont pas respectées. «Il faut que les processus soient facilement compréhensibles de tous, aisément accessibles et mis à jour continuellement. Il est important que les collaborateurs comprennent en quoi respecter ces politiques internes est critique pour leur organisation. C’est pourquoi la culture du risque doit être intégrée par toute institution publique. Et les risques sont multiples: certains sont liés aux prestataires de services ou aux fournisseurs, d’autres aux collaborateurs, comme le risque de fraude, de mauvaise conduite ou même d’erreur humaine. Identifier ces dangers et comprendre les processus clés qui doivent permettre de les atténuer est fondamental pour assurer le service aux citoyens. À cet égard, nous pouvons accompagner nos clients dans l’identification des risques clés pour leur organisation, dans leur évaluation en termes de probabilité et d’impact, puis dans la définition des mesures de contrôle nécessaires pour réduire leur exposition», déclare Ingrid Feller.

 

Un traitement des données conforme au règlement y afférent

Atténuer les risques, c’est également se mettre en conformité avec d’éventuelles nouvelles règles juridiques; un processus qui peut s’inscrire dans la durée, comme c’est le cas avec le règlement général sur la protection des données (RGPD). «Celui-ci est entré en vigueur en mai 2018. Quatre ans plus tard et alors que les administrations ont eu énormément de temps pour s’y préparer, nous n’observons pas une conformité totale à ce règlement», constate Jaques-Félix Wirtz. «L’erreur est de croire la tâche achevée une fois ses exigences mises en place. En réalité, la conformité au RGPD n’a rien de statique et demande certaines actualisations. Par exemple, le règlement prévoit la tenue d’un registre des activités de traitement destiné, entre autres, à identifier le responsable et les finalités du traitement, les éventuels transferts de données, la durée de leur stockage ou les mesures de sécurité les entourant. Ce registre se doit donc d’être mis à jour à mesure que les activités d’une administration évoluent», poursuit-il.

Pour soutenir les institutions dans leur mise en conformité, PwC Luxembourg propose aujourd’hui des analyses d’écart. Le cabinet compare les mesures adoptées par l’entité aux exigences du règlement, ce qui lui permet d’identifier d’éventuelles lacunes et, dès lors, de prendre les mesures qui s’imposent pour renforcer sa conformité. Via certaines formations, il sensibilise également les employés au respect de ce règlement. «Chacun traite des données personnelles sans avoir forcément conscience de ce qui est permis et de ce qui ne l’est pas. C’est pourquoi la sensibilisation est importante», rappelle Ingrid Feller.

 

«Whistleblowing»: anticiper les nouvelles exigences

Autre texte qui devrait avoir un impact en matière de gouvernance et nécessiter la création de nouvelles procédures: la directive sur la protection des personnes qui signalent des violations du droit de l’Union qui sera prochainement transposée dans la législation nationale. Le projet de loi prévoit la mise en place, au sein de toute administration communale représentant plus de 10.000 habitants, d’un canal de signalement interne qui permettrait à un lanceur d’alerte («whistleblower») de déposer un avertissement dans la plus stricte confidentialité. «Inutile d’attendre la fin de la procédure législative pour s’attaquer à la problématique. La directive existe, les exigences sont claires, et il est déjà temps de s’y préparer», estime Jacques-Félix Wirtz. «Il convient d’identifier en interne la personne ou le département auquel confier cette responsabilité et de déterminer son fonctionnement car, faute d’un tel canal ou de réponse appropriée de sa part, le lanceur d’alerte a la possibilité de recourir à des canaux de signalement externes voire à la divulgation publique, avec les risques réputationnels que cela comporte. Il est donc dans l’intérêt de toute entité de se conformer à cette directive», continue-t-il.

«La mise en conformité avec le RGPD est un défi auquel le secteur public est confronté depuis quelques années déjà. Le «whistleblowing» en est un autre arrivé en fin d’année dernière. Quant à la documentation des procédures et à l’atténuation des risques, ce sont des challenges de tous les instants, mais qui s’avèrent d’autant plus importants avec la refonte de la loi communale qui engendrera certains changements auxquels les administrations communales devront se préparer. Le secteur a indéniablement du travail pour prévenir tout abus ou dysfonctionnement éventuel!», conclut Jacques-Félix Wirtz.

Lire sur le même sujet: