Le panneau de détails du risque de confidentialité — statut, cotation inhérente et résiduelle, la fiche de gestion du risque avec acceptation encadrée, clôture et activité

Last updated: July 12, 2026 by Steve

Détails du risque

Le panneau de détails du risque est l'espace de travail complet du risque; il s'ouvre depuis l'onglet Risques de premier niveau, le registre des risques d'une évaluation, ou un incident. Il s'agit d'un outil aligné sur la norme ISO 31000 pour l'identification, la cotation, le traitement et la surveillance des risques liés à la confidentialité. Le panneau se divise en fiches de section visuellement distinctes — Détails du risque et Gestion du risque — chacune dotée de son propre crayon qui bascule uniquement cette fiche en mode édition, avec ses propres boutons Enregistrer et Annuler. Il n'existe pas de bascule de modification globale pour le panneau; vous modifiez une fiche à la fois, et chaque session de modification est réinitialisée à partir des dernières valeurs enregistrées, de sorte qu'Annuler est toujours sans risque.

Statut

L'en-tête présente le menu déroulant de statut du risque. Vous pouvez y faire passer un risque directement d'un état ouvert à un autre :

Statut Signification
Ouvert Identifié, pas encore activement traité
En traitement Contrôles ou tâches de traitement en cours
Sous surveillance Contrôles en place; indicateurs sous observation
Accepté Risque résiduel formellement accepté
Fermé Défini uniquement depuis l'onglet Clôture; rend le statut en lecture seule

Panneau de détails du risque

Cotation d'un risque

La fiche Détails du risque saisit l'identité du risque (titre, description, catégorie, source) ainsi que deux paires probabilité × impact :

  1. Inhérent — probabilité et impact avant les contrôles.
  2. Consignez vos contrôles / mesures d'atténuation entre les deux.
  3. Résiduel — probabilité et impact après les contrôles.

AccessPoint déduit de ces paires les cotes inhérente et résiduelle (Faible / Moyen / Élevé / Critique) et les affiche sous forme de badges colorés, accompagnés d'une flèche de tendance résiduelle — vers le haut en rouge, vers le bas en vert — par rapport à la dernière cote. Dans une évaluation des facteurs relatifs à la vie privée, vous pouvez également définir le niveau de préjudice aux personnes (Aucun risque / Minimal / Préjudice possible / Risque réel de préjudice grave). Pour un incident, la cote de préjudice est plutôt calculée par le serveur à partir des deux axes de l'atteinte, et affichée en lecture seule.

Gérer le risque

La fiche Gestion du risque contient :

  • La stratégie de traitement — Éviter / Réduire / Transférer / Accepter
  • Une justification du traitement
  • Le responsable du risque
  • Le niveau de risque cible et la date cible
  • Une cadence de révision — mensuelle, trimestrielle, semestrielle, annuelle ou ad hoc — avec la date de la prochaine révision
  • Des déclencheurs, un plan de contingence et des dépendances à l'égard de risques apparentés

Le choix de la stratégie Accepter fait apparaître un sous-formulaire d'acceptation intégré : approbateur, date d'expiration, conditions et justification. Si le risque dépasse votre appétit pour le risque, une justification et une date d'expiration sont obligatoires avant que l'enregistrement ne soit possible. Ce mécanisme impose une acceptation encadrée et limitée dans le temps plutôt qu'une approbation silencieuse.

Le risque peut comporter des actions de traitement assignables — voir Tâches de traitement des risques — ainsi que des indicateurs mesurables définis depuis son onglet Surveillance, voir Indicateurs de risque.

Clôture, activité et discussion

  • L'onglet Clôture est l'unique voie vers l'état Fermé : ajoutez une note de clôture et cliquez sur Fermer, ou plus tard sur Rouvrir en indiquant un motif. Les risques d'évaluation peuvent également être consignés comme incident à cet endroit.
  • L'onglet Activité est un flux d'audit en lecture seule des changements liés au cycle de vie, au traitement et aux indicateurs.
  • Le bouton Discussion ouvre un fil de commentaires à plusieurs niveaux, rattaché au risque, avec un compteur de messages non lus.