De la liste de contrôle au fil conducteur : 5 ans de certification ISO chez Apps with love

En 2022, nous avons obtenu notre première certification ISO 9001 (système de management de la qualité) et ISO 14001 (système de management environnemental). À l'époque, beaucoup de choses choses restaient floues. Nous venions de passer six mois en consultation externe et nous essayions d'aligner nos structures existantes – de l'organigramme aux rôles et responsabilités, en passant par les processus et leur documentation – sur le langage et les règles ISO. Notre mission, nos concepts stratégiques et les objectifs de l'entreprise devaient également être transposés dans l'univers des normes ISO.

Mais ce n'est là qu'une partie de l'histoire. La question cruciale était surtout : pourquoi en avons-nous besoin, au fond ?

Pourquoi les certifications ISO sont importantes pour nous

D’un côté, notre clientèle exigeait – et exige toujours plus – ces certifications : c’est la réalité externe. Mais ce qui est intéressant, c’est que la demande est aussi venue de l’intérieur. Une enquête interne menée il y a quelques années auprès de notre équipe a mis en lumière un élément qui est venu bousculer notre discours de longue date. Pendant des années, nous avions vécu selon le credo : « Nous avons besoin de peu de processus, tout le monde les connaît déjà ».

Si vous m’aviez demandé à l’époque comment nos structures étaient configurées, je n’aurais probablement pas pu vous donner de réponse bien claire. Comment analysions-nous et évaluions-nous les risques ? Chaque équipe aurait sans doute donné une réponse différente. Allions-nous atteindre nos objectifs stratégiques ? Il aurait été presque impossible de l’anticiper à temps. Quelles règles s’appliquaient et où se trouvaient les modèles et les check-lists ? Il aurait été difficile de dire précisément ce qui était en vigueur à ce moment-là, même si beaucoup de choses existaient et étaient documentées.

C’est exactement là que l’enquête interne a parlé : de nombreux membres de l'équipe souhaitaient un peu le contraire de notre pratique jusqu'alors. Ils et elles voulaient plus de clarté, de structure et de processus documentés. L'équipe voulait savoir comment les choses fonctionnaient. Où trouver des réponses ? Quelles règles s’appliquent ? Où et comment les décisions sont-elles prises ?

Dès lors, les certifications ISO ont pris une tout autre dimension. Elles ne représentaient plus seulement une exigence de conformité externe de la part de notre clientèle, mais l’opportunité de répondre à de nombreuses questions internes que notre équipe se posait depuis longtemps.

Aujourd’hui, après cinq ans et la réussite de notre audit de renouvellement en 2026, nous pouvons affirmer une chose avec certitude : un fil conducteur à travers toute l’entreprise ne se contente pas de simplifier les audits externes, il rend surtout notre travail quotidien plus clair et plus transparent. Ce billet de blog n’est pas un simple rapport sur ce que nous avons accompli pour l'audit externe. Je souhaite montrer comment des exigences externes nous ont aidés à mettre en place des structures et des processus sur lesquels nous pouvons nous appuyer en tant qu’entreprise. La certification ISO nous a aidés à établir de manière ciblée un cadre de référence (framework) et des règles du jeu qui nous permettent de nous piloter de façon stable, efficace, durable et sûre – avec toujours le même objectif en ligne de mire : créer des emplois sûrs et attractifs sur le long terme.

Notre parcours ISO de 2022 à aujourd'hui

2022 : la phase de structuration

Pour beaucoup d’entreprises, le cycle d’audit ISO typique se résume à une année où il ne se passe pas grand-chose, suivie d’une vague de panique au sein de l’équipe deux à trois semaines avant l’audit externe. Toutes les documentations doivent alors être mises à jour et les processus documentés à la hâte. Notre objectif a été, dès le départ, de ne pas nous laisser entraîner dans cette dynamique. Nous voulions intégrer les exigences de l'ISO dans notre quotidien de manière à instaurer des routines grâce aux structures. Le travail nécessaire à l’audit annuel est effectué de manière continue tout au long de l’année.

La certification initiale a surtout été pour nous une question de forme. Le langage ISO est en effet très différent de celui et des concepts que nous utilisons au quotidien. Nous avons donc dû, pour ainsi dire, traduire la langue d’Apps with love dans celle de l’ISO, ce qui n’a pas été une mince affaire. Voici quelques exemples de la manière dont nous avons jeté des ponts :

• La « politique qualité » correspond à notre stratégie et à notre charte d'entreprise : Notre vision, notre charte et notre stratégie ne sont pas des documents destinés à l’audit, mais notre boussole quotidienne qui indique la direction du voyage commun avec les membres de notre équipe.

• La « direction » correspond chez nous au Management Board : Nous vivons des hiérarchies plates au sein de rôles et de tâches clairs. Le Management Board assume les fonctions d’une direction classique.

• La « maîtrise des informations » s'appelle chez nous la traçabilité : Toutes les preuves liées aux projets, telles que les offres, les contrats et les procès-verbaux de réception, doivent être archivées de façon lisible, traçable et documentée.

• Les « objectifs qualité » sont nos objectifs stratégiques : Nous les pilotons de manière transparente dans notre cockpit de gestion.

• Les « résultats des surveillances et mesures » sont nos KPI opérationnels : Les coûts et les taux horaires, les structures de prix, les dépenses, le taux d'occupation – c'est-à-dire tout ce que nous mesurons et pilotons en continu.

• La conformité des produits et des services correspond chez nous au degré de satisfaction des exigences de notre clientèle.

Un système de management de la qualité est évalué selon son niveau de maturité. L’avantage est qu'il n'est pas nécessaire de remplir pleinement chaque point de la norme ISO dès le départ. Cela signifie que nous n’avons pas à tout faire parfaitement d’un coup, mais que nous pouvons mûrir étape par étape et y travailler continuellement.

2023/24 : ISO 27001 – Règles et conséquences réelles

Avec la norme ISO 27001, la signification d'une certification a fondamentalement changé pour nous. Elle nous a obligés à nous poser une question inconfortable : comment définir des règles assorties de conséquences réelles ? Ce fut un défi immense – d'autant plus au sein d'une culture d'entreprise basée sur l'harmonie et le respect mutuel. Soudain, nous devions mettre par écrit : quelles sont les conséquences si quelqu'un ne respecte pas les mesures de sécurité informatique ? De l'avertissement jusqu'à la résiliation du contrat de travail.

Liberté vs Sécurité

Dans une entreprise qui mise sur l'harmonie et des hiérarchies plates, l'idée de règles explicites associées à des conséquences a d'abord été perçue comme une ingérence dans la liberté personnelle de l'organisation du travail. De nombreux membres de l'équipe se sont demandés : en avons-nous vraiment besoin ? Cela ne va-t-il pas devenir trop restrictif ?

Il a fallu beaucoup de persuasion, mais nous avons appris que la clarté recrée aussi des espaces de liberté. Savoir où se situent les limites permet entre autres d'agir avec plus d'assurance. Les règles explicites ne doivent pas être vues comme une forme d'infantilisation, mais, dans ce cas précis, comme une protection mutuelle.

Jusqu'alors, la sécurité informatique reposait sur le bon sens et une grande expérience. Avec la norme ISO 27001 et les points de contrôle SoA, nous avons dû mettre par écrit nos méthodes de travail. Cela a conduit à la mise en place de nouveaux processus, structures, rôles et directives :

• Directives et stratégies : Nous avons défini et implémenté des directives de protection des données, des stratégies de sauvegard) et des chartes de sécurité informatique.

• Gestion des données et des données personnelles : Des consignes claires pour la conservation et la suppression des données, ainsi que l'extension continue des mesures techniques et organisationnelles.

• Analyse de risques spécifique : Nous réalisons une évaluation systématique des risques de la BSI (Office fédéral pour la sécurité informatique) et les intégrons directement dans notre portefeuille de risques.

• Contrôle et apprentissage : Nous vérifions régulièrement les points de contrôle SoA et et menons des analyses des causes racines en cas d'incidents.

• Équipe CERT et cellule de crise : Grâce à une équipe d'urgence dédiée et à un concept d'urgence remanié, nous sommes aujourd'hui nettement plus armés et réactifs en cas d'urgence.

Un système nerveux pour l'entreprise

Lorsque nous avons commencé notre démarche ISO il y a cinq ans, l’obtention des certificats était au centre de nos préoccupations. Mais nous avons rapidement réalisé que ce système permettait des avancées que nous n'avions pas anticipées :

• Une visibilité accrue sur les améliorations en cours : Dans le tableau Kanban dédié au processus d’amélioration continue (PAC), nous rassemblons et coordonnons les mesures d’amélioration les plus diverses – qu'il s'agisse de l'optimisation des processus, de la définition des rôles ou des objectifs d’équipe. Cela nous donne une vue d’ensemble sur les tâches de chacun et chacune et offre la transparence nécessaire pour voir ce qui se passe dans l’entreprise, en dehors de la gestion quotidienne des projets. Lorsque nous prenons une décision, comme l’investissement dans une taskforce IA, tout le monde en connaît la raison : parce que l’analyse des risques démontre qu’il s’agit d’une opportunité majeure pour notre entreprise.

• Des améliorations dans le travail quotidien : L'enquête de satisfaction menée année après année auprès de notre clientèle nous montre ce que nous faisons bien et où se situent les axes d’amélioration. Les audits internes sont comparables et ne sont pas de simples photographies instantanées. Nous voyons précisément où nous progressons et où nous devons redoubler de vigilance.

• Plus de clarté, moins d'hypothèses : Nous savons par exemple exactement où sont documentées les directives de protection des données, où se trouvent les lignes directrices sur l'IA et où chercher les règles de sécurité informatique. Les nouvelles recrues assimilent les règles immédiatement et les équipes disposent d’une boussole claire.

• Une protection renforcée plutôt que des surprises : La conformité fait partie de notre quotidien. Le portefeuille de risques nous alerte rapidement dès qu'une situation devient critique. L’évaluation des fournisseurs est objective et les exigences en matière de protection des données sont directement intégrées dans nos processus.

Les défis rencontrés en chemin

Tout cela semble probablement très positif et sans doute plus simple que ce ne l’était en réalité. Sur le chemin de la certification initiale, nous pensions devoir tout réinventer. En réalité, il s’agissait avant tout de structurer et de documenter ce que nous faisions déjà.

Ce travail continu a un coût. Le PAC, les revues mensuelles, les entretiens de rôle, la documentation des processus et les formations nécessitent des ressources. Mais cela en demande moins que la situation d’autrefois, car les règles sont plus claires qu'il y a quelques années. L’échéance de l’audit externe fait office de date limite nécessaire pour prioriser des éléments que nous souhaitions de toute façon mettre en œuvre. Sans cette pression externe, nous aurions sans doute repoussé à plus tard certaines améliorations.

Le fil conducteur : la planification stratégique annuelle

Le cœur de notre démarche d’amélioration continue est aujourd’hui notre planification stratégique annuelle. Elle couvre nos obligations entrepreneuriales, réglementaires et organisationnelles, et comprend globalement les éléments suivants :

Orientation stratégique

Chaque année, nous analysons notre environnement et en déduisons notre focus stratégique, en nous appuyant sur des analyses telles que le SWOT et le PESTLE. Sur cette base, nous fixons des objectifs stratégiques et opérationnels, desquels découlent ensuite les objectifs d’équipe.

Gouvernance

Une analyse continue des risques garantit que nous identifions les menaces et les opportunités de manière précoce. Les enquêtes de satisfaction auprès de notre clientèle, l’évaluation des fournisseurs et les entretiens de développement avec notre équipe apportent régulièrement des enseignements qui alimentent directement la planification. L’examen de la clôture annuelle, la révision ainsi que le suivi des évolutions réglementaires font également partie intégrante de ce processus.

Développement organisationnel

La planification annuelle comprend l’évaluation de nos KPI, des audits internes et externes ainsi que du PAC. De même, la révision et l’évolution de nos manuels ISO, de notre cartographie des processus et de nos wikis internes sont fermement planifiées.

Un investissement rentable – et un défi permanent

Nous investissons, selon une estimation globale, environ 5 % des heures de travail disponibles de notre équipe dans cette amélioration continue. C’est un investissement dans un système qui, au bout du compte, permet d'économiser des ressources, car les rôles, les processus, les modèles et les règles sont plus clairs pour tout le monde, ce qui nous permet de progresser constamment.

Ce qui reste un défi, c’est de trouver le juste équilibre. Malgré la documentation des processus et les audits, c’est une tâche et un challenge permanents que de réussir d'un côté à apporter de la clarté et de la structure, tout en encourageant de l'autre la liberté et la créativité qui font notre identité en tant qu’agence.

Conclusion : des processus certifiés comme partie intégrante du système d'exploitation d'Apps with love

Les certifications ne sont pas un mal nécessaire pour nous, mais font partie intégrante du système d’exploitation d’Apps with love. L’audit externe est la confirmation que nos processus fonctionnent de manière stable.

De plus, les certifications ne se contentent pas de vérifier le respect des exigences externes. Elles aident également à répondre à des questions internes : comment fonctionnons-nous réellement et qui porte quelle responsabilité ? Nous avons appris que les certifications sont une confirmation de notre qualité et de notre exigence de qualité.

Tu veux en savoir plus ?

C’est avec plaisir que nous t’en dirons plus sur notre parcours vers les certifications ISO et sur ce que cela représente pour nous.