96 % des mairies de moins de 1 000 habitants et 73% des moins de 3 500 habitants n’ont pas d’adresse e-mail professionnelle. La plupart d’entre elles ouvrent des boîtes normalement destinées à un usage privé. Une pratique courante qui cependant pose question en termes d’image, de sécurité et de conservation de l’information.

Nombre de petites collectivités ont ouvert une adresse chez Orange, Free, Gmail ou autre alors qu’elles recevaient un ou deux messages électroniques par semaine ou par mois… Depuis, les citoyens utilisent de plus en plus ce mode de communication en lieu et place du courrier classique, et les secrétaires de mairie relèvent leur boîte à lettres électronique au moins une fois par jour. Mais les collectivités ont souvent gardé leur adresse grand public. Ainsi, selon le “Baromètre de la dématérialisation 2014” réalisé par JVS Mairistem, éditeur de logiciels de gestion à destination des collectivité, 96 % des villes de moins de 1000 habitants n’ont pas d’adresse e-mail professionnelle, 73% des moins de 3 500 habitants. Or, utiliser une adresse e-mail privée compte de nombreux inconvénients.

« Les boîtes e-mails privées sont associées à un certain amateurisme qui peut porter préjudice. A l’heure où le phishing est omniprésent, les nouveaux correspondants peuvent se méfier d’adresses e-mails non officielles. En effet, aujourd’hui, n’importe qui peut ouvrir une adresse de type nomdecommune@gmail.com ! », souligne Yann Duverdier, directeur marketing de JVS Mairistem.

Archivage

Lorsque les conseillers municipaux utilisent une adresse personnelle pour communiquer avec des administrés, partenaires ou prestataires, la collectivité n’a pas de trace des courriers qui pourraient être engageants, et donc devraient être archivés. Car la définition des archives issue du code du patrimoine est suffisamment large pour que l’on puisse considérer que les courriels constituent des archives publiques. De plus, lorsqu’un élu part, la collectivité n’a plus accès aux informations. « En mettant un e-mail professionnel à disposition de tous les agents et élus de la mairie, cette dernière garde le contrôle. Le conseiller municipal quitte la commune ? Pas ses e-mails », explique Yann Duverdier.

C’est d’autant plus important que les e-mails ont une valeur juridique. L’ordonnance du 8 décembre 2005 prévoit qu’une collectivité « peut répondre par voie électronique à toute demande d’information qui lui a été adressée par cette voie par un usager ou par une autre autorité administrative. » Elle impose également l’envoi d’un accusé de réception ou d’enregistrement.

Suspension du service

Utiliser une messagerie gratuite est aussi risqué. En général, les fournisseurs de ces adresses stipulent dans les conditions générales qu’elles sont à usage privé et que le service peut être suspendu. A l’inverse, avec une messagerie professionnelle, un contrat est établi avec l’hébergeur. Il prévoit des délais maximum de rétablissement du service en cas de dysfonctionnements, peut stipuler que les données doivent être hébergées en France… Yann Duverdier estime également que la confidentialité des adresses grand public peut-être sujette à caution : « une bonne partie des fournisseurs de messageries gratuites scrute le contenu des e-mails pour afficher des publicités ciblées. »

Autant de raisons pour professionnaliser son adresse e-mail.

Il est défini comme :

• le risque de pertes résultant de carences ou de défauts attribuables à des procédures, aux personnels et aux systèmes internes ou à des événements extérieurs. (Comité de Bâle)
• tout ce qui ne relève pas des risques financiers (crédits, marchés).

Le régulateur du dispositif Bâle II définit le risque opérationnel comme celui de pertes directes ou indirectes dues à une inadéquation ou à une défaillance des procédures, du personnel et des systèmes internes. Cette définition inclut le risque juridique; toutefois, le risque de réputation (risque de perte résultant d’une atteinte à la réputation de l’institution bancaire) et le risque stratégique (risque de perte résultant d’une mauvaise décision stratégique) n’y sont pas inclus.

Cette définition recouvre notamment les erreurs humaines, les fraudes et malveillances, les défaillances des systèmes d’information, les problèmes liés à la gestion du personnel, les litiges commerciaux, les accidents, incendies, inondations.

2 – Les composantes du risque opérationnel :

Selon la définition communément admise par Bâle II, le risque opérationnel se décompose en cinq sous-ensembles.

– Risque lié au système d’information : lié à une défaillance matérielle suite à l’indisponibilité, soit provisoire soit prolongée, des moyens nécessaires à l’accomplissement des transactions habituelles et à l’exercice de l’activité. Pannes informatiques résultant d’une défaillance technique ou d’un acte de malveillance ; panne d’un réseau externe de télétransmission rendant temporairement impossible la transmission d’ordres ; système de négociation ou de règlement de place défaillant ou débordé ; bug de logiciels et obsolescence des technologies.

– Risque lié aux processus : dû au non-respect des procédures, aux erreurs provenant de l’enregistrement des opérations: double encaissement de chèque, crédit porté au compte d’un tiers et non du bénéficiaire, versement du montant d’un crédit avant la prise effective de la garantie prévue, dépassement des limites et autorisations pour la réalisation d’une opération, etc.

– Risque lié aux personnes : né du fait que les exigences attendues des moyens humains (compétence, disponibilité, déontologie,…) ne sont pas satisfaites. Peut être lié à l’absentéisme, à la fraude, ou encore à l’incapacité d’assurer la relève sur les postes clés. Ce risque peut être involontaire ou naître d’une intention délibérée. Les erreurs involontaires sont souvent coûteuses ; leur prévention, comme leur détection précoce, dépendent de la qualité du personnel, de sa vigilance et de ses capacités d’adaptation aux évolutions techniques. Prendre en compte également la qualité du matériel à disposition et le niveau de connaissances requis pour son utilisation. Quant au risque volontaire, il va du simple enfreint des règles de prudence, au conflit d’intérêts entre opérations pour son propre compte et celles pour le compte de l’établissement, en passant par la malveillance.

– Risque lié aux événements extérieurs : peut avoir à l’ origine des risques politiques, environnementaux et réglementaires, ou encore une catastrophe naturelle.

– Risque juridique : risque de perte, résultant de l’application imprévisible d’une loi ou d’une réglementation, voire de l’impossibilité d’exécuter un contrat. Possibilité que des procès, des jugements défavorables ou l’impossibilité d’un droit perturbent ou compromettent les opérations ou la situation d’un établissement. Risque qu’une partie subisse une perte parce que le droit ou la réglementation ne cadrent pas avec les dispositions du système de règlement de titres, l’exécution des accords de règlement correspondants ou les droits de propriété et autres droits conférés par le système de règlement. Egalement présent lorsque l’application du droit et de la réglementation est imprécise.

3- Pour aller plus loin:

Le Comité de Bâle a retenu une classification qui institue sept catégories d’évènements :

1. Fraude interne : par exemple, informations inexactes, falsifications, vols commis par un employé et délits d’initié d’un employé opérant pour son propre compte.
2. Fraude externe : par exemple, braquages, faux en écriture et dommages dûs au piratage informatique.
3. Pratiques en matière d’emploi et sécurité sur le lieu de travail : par exemple, demandes d’indemnisation de travailleurs, violations des règles de santé et de sécurité des employés, plaintes infondées pour discrimination et responsabilité civile en général.
4. Clients, produits et pratiques commerciales : par exemple, violations de l’obligation fiduciaire, utilisation frauduleuse d’informations confidentielles, opérations malhonnêtes, blanchiement d’argent et vente de produits non autorisés.
5. Dommages aux actifs corporels : par exemple, actes de terrorisme, vandalisme, séismes, incendies et inondations.
6. Dysfonctionnement de l’activité et des systèmes : par exemple, pannes de matériel et de logiciel informatiques, problèmes de télécommunications et pannes d’électricité.
7. Exécution, livraison et gestion des processus : par exemple, erreur d’enregistrement des données, défaillances dans la gestion des sûretés, lacunes dans la documentation juridique, erreur d’accès aux comptes de la clientèle et défaillances des fournisseurs ou conflits avec eux.

Les normes Bâle II constituent un dispositif prudentiel destiné à mieux appréhender les risques bancaires et principalement le risque de crédit ou de contrepartie et les exigences, pour garantir un niveau minimum de capitaux propres, afin d’assurer la solidité financière. Ces directives ont été préparées depuis 1988 par le Comité de Bâle, sous l’égide de la Banque des règlements internationaux et ont abouti à la publication de la Directive CRD.

Sources
– http://fr.wikipedia.org/wiki/B%C3%A2le_II
– http://fr.wikipedia.org/wiki/Risque_op%C3%A9rationnel_%28%C3%A9tablissement_financier%29
– http://www.memoireonline.com/01/09/1920/m_le-processus-de-gestion-et-de-mesure-du-risque-operationnel-selon–les-exigences-de-comite-de-Bale3.html