Couvrez ces photos que je ne saurai voir, par de pareilles actions, les systèmes sont contournés, et cela fait venir de coupables pratiques ... : une étude de cas dans un établissement de santé1 Isabelle Bourdon* Roxana Ologeanu-Taddei* *MRM, Université de Montpellier, Montpellier, France Résumé : L’objectif de cette communication est d’explorer les systèmes d’information fantômes, leur persistance et diminution dans les organisations. Ces systèmes regroupent les logiciels, matériels et SI déployés de manière autonome au sein d’une organisation ou d’un département sans la participation du service informatique de l'organisation (Haag & Eckhardt, 2017) et sont de plus en plus répandus dans les organisations. Ils sont devenus incontournables dans le paysage des SI décentralisés des organisations et constituent des défis majeurs pour la gouvernance des systèmes d’information dans les organisations, qui cherchent souvent à les limiter ou les éliminer. A l’aide d’une étude de cas unique dans un établissement de santé, nous avons décrit les SI fantômes déployés par les praticiens pour gérer les images photographies, ainsi que les problématiques de gouvernance des SI posées et les cycles de renforcement et désactivation de ces derniers. Nous avons proposé d’interpréter ces données à l’aide du modèle des forces de Furstenau et al. (Furstenau et al., 2017). Mots clés : SI fantôme, SI santé, gouvernance des SI 1 "Couvrez ce sein, que je ne saurais voir. Par de pareils objets les âmes sont blessées,; Et cela fait venir de coupables pensées.", in Molière Le Tartuffe, III, 2 (v. 860-862). 1 1 Introduction Les termes « shadow IT » et « feral system », que l’on peut traduire en français par systèmes d’informations (SI) fantômes et systèmes sauvages retiennent de plus en plus l’attention des praticiens (Gartner, 2014; Walters, 2013) et des académiques (Furstenau, Rothe, & Sandner, 2017) notamment depuis le développement du cloud computing, des technologies Saas ou encore de la vague de BYOD (Bring Your Own Device) (Beimborn & Palitza, 2013), qui sont devenus incontournables dans le paysage des SI décentralisés des organisations et des innovations poussées par les utilisateurs. Ainsi, les ressources en technologies de l'information (TI) adoptées et utilisées sans la validation du service informatique sont de plus en plus répandues dans les organisations (Walters, 2013). En particulier, les appareils grand public, comme les smartphones ou les services de cloud via les navigateurs Web, constituent en soi des systèmes fantômes facilement accessibles pour des employés, même avec de faibles compétences informatiques, et des défis majeurs pour la gouvernance des SI (Györy, Cleven, Uebernickel, & Brenner, 2012; Haag & Eckhardt, 2015; Zimmermann & Rentrop, 2014). Une grande partie de la littérature considère que ces TI fantômes et les contournements des usages, voire des technologies et systèmes existants, sont plutôt néfastes. L'argument majeur est que les usages détournés comportent des risques pour les organisations et qu’il serait plutôt souhaitable de les identifier et de les supprimer (Walters, 2013). La plupart des organisations tentent de diriger, restreindre et contrôler les systèmes fantômes utilisés par les unités ou départements en dehors des systèmes formels et officiels, afin d’en minimiser les coûts et les risques. Cependant, nombre d’organisations échouent à éliminer ou réduire ces derniers malgré les efforts déployés (Walters, 2013). Furstenau et al. (Furstenau et al., 2017) notent que souvent les systèmes fantômes persistent ou reviennent même si les DSI font des efforts pour les supprimer. Pourtant les contournements d’usages et les SI fantômes sont une source d’innovation fertile en termes d’identification des besoins des utilisateurs notamment (Alter, 2014). Furstenau et al. (Furstenau et al., 2017) montrent qu’il existe une dynamique à long terme expliquant la persistance et l’évolution des systèmes fantômes parallèles dans les organisations contemporaines avec des centaines de dispositifs et de systèmes décentralisés. Cependant, peu d’études ont décrit le rôle de ces TI par rapport aux TI existantes (Furstenau et al., 2017). La question de recherche est ainsi la suivante : Quels sont les enjeux des systèmes fantômes à la fois pour les pratiques de travail et pour la gouvernance des SI ? Afin d’explorer la réponse à cette question, nous avons conduit une étude de cas unique dans un hôpital universitaire français public2, et identifiés des SI fantômes utilisés par son personnel médical pour traiter les photographies médicales, ainsi que et leurs liens avec le SI officiel. A l’aide d’observations et d’interviews, nous avons réalisé un état des lieux des pratiques et systèmes « fantômes » déployés dans les services étudiés. Nous montrons les processus dynamiques à l’œuvre dans l’établissement, de l’identification d’un « problème de gouvernance » à la mise en œuvre d’un nouveau projet SI, à l’aide du modèle des forces de Furstenau et al. (Furstenau et al., 2017). Pour arriver à ces contributions, cet article est organisé comme suit : la section 1 présente le cadre conceptuel relatif aux SI fantômes étudiés. Dans la section suivante, nous nous référons aux méthodes de cette étude, puis présentons les résultats préliminaires. La dernière section résume les résultats et discute des implications et des futures opportunités de recherche. Le premier projet de recherche avec l’établissement a démarré en 2014 et les observations et interviews ont été réalisées plus spécifiquement sur les processus de gestion des images photographiques depuis 2016 2 2 1 Systèmes sauvages, fantômes, contournements3 et gouvernance des SI Les SI fantômes et ceux décrits comme sauvages, ainsi que les contournements des systèmes en place sont bien connus dans la littérature en SI (Alter, 2014; Behrens, 2009; Furstenau et al., 2017). Ils soulèvent des questions prégnantes en termes de gouvernance des SI dans les organisations et, malgré les efforts des organisations pour les limiter voir les éliminer, on observe des dynamiques d’évolution propres des systèmes fantômes que nous présentons en seconde partie de cette section. Le but de cette partie est de fournir un bref aperçu des différents cadres conceptuels mobilisés pour l'étude de cas qui suit. 1.1 Les systèmes d’informations sauvages, fantômes et les contournements …. La littérature sur « l’informatique fantôme » et les concepts s’y référant a produit une riche compréhension contextuelle du sujet (Behrens, 2009; Haag & Eckhardt, 2017). Nous présentons la définition retenue pour notre étude ainsi que les avantages et inconvénients relevés par la littérature. 1.1.1 De la définition …. De nombreux termes sont associés à la notion d’informatique fantôme très nombreux (Kopper & Westner, 2016a). Tous les logiciels, matériels et services informatiques déployés de manière autonome au sein d’une organisation ou d’un département sans la participation du service informatique de l'organisation peuvent être considérés comme des SI fantômes (Haag & Eckhardt, 2017). D’ailleurs, la plupart du temps, les services informatiques ne connaissent pas l’existence de ces systèmes (Rentrop & Zimmermann, 2012). Le concept de SI fantôme décrit un sous-ensemble principalement axé sur de petites applications non officielles complétant les grands systèmes d'entreprise (par exemple un ERP) (Behrens, 2009; Blichfeldt & Eskerod, 2008; Huber, Zimmermann, Rentrop, & Felden, 2016). Les artefacts (Haag & Eckhardt, 2015, 2017) peuvent inclure des matériels, des applications ou des services (Gaß, Ortbach, Kretzer, Maedche, & Niehaves, 2015; Rentrop & Zimmermann, 2012; Walters, 2013). Ce phénomène prend de l’importance ces dernières années à mesure que les employés utilisent leurs appareils mobiles privés pour le travail, parfois sans l'accord de leur organisation (Gaß et al., 2015), et utilisent leurs applications auto-développées ou privées dans leur environnement de travail (Gozman & Willcocks, 2015). La recherche existante sur ces systèmes est dispersée (Haag & Eckhardt, 2015). 1.1.2 … du bon grain Les SI fantômes peuvent être bénéfiques à bien des égards dans les organisations. D’abord, ils répondant à des besoins individuels non comblés par les SI officiels (Behrens, 2009) et ils fournissent une opportunité d'innovation à faible coût, ainsi qu’une réponse rapide aux besoins changeants de l'entreprise (Kopper et Westner 2016). 1.1.3 … et de l’ivraie Cependant, en raison de la nature typiquement décentralisée des systèmes fantômes, ils peuvent créer des charges de travail redondantes, et poser des problèmes d’intégrité des données et de qualité (Behrens, 2009). De nombreux travaux soulignent les risques de sécurité (Silic & Back, 2014), de conformité ou d'efficacité de ces systèmes (Behrens, 2009; Fürstenau & Rothe, 2014; Zimmermann, Rentrop, Felden, & Freiberg, s. d.). Compte tenu des avantages et des 3 Shadow IT, feral IT, workaround 3 inconvénients de ces systèmes, chercheurs et praticiens discutent des approches à adopter allant de l'autorisation totale, à des concessions spécifiques, voire à l'interdiction (Györy et al., 2012; Haag & Eckhardt, 2017) et des implications managériales pour la gouvernance des SI (Beimborn & Palitza, 2013; Furstenau et al., 2017; Györy et al., 2012). … conduisent à un problème de gouvernance des SI et des dynamiques d’évolutions antagonistes Furstenau et al. (Furstenau et al., 2017) analysent notamment la dynamique à long terme associée à l'informatique fantôme dans les organisations, en s’appuyant sur les théories du pouvoir et la construction sociale du risque. Selon ces auteurs, l'émergence et la désactivation des SI fantômes est un processus multi-facettes qui se déroule au fil du temps dans une double dynamique cyclique antagoniste. Ils estiment que la notion de SI fantôme questionne l’équilibre entre l'autonomie des unités décentralisées et la gouvernance centrale en matière de SI (Brown et Magill 1994, Sambamurthy et Zmund 1999; Winkler et Brown 2014). 1.2 1.2.1 Du problème de gouvernance …. Selon Furstenau et al. (Furstenau et al., 2017), plusieurs facteurs peuvent déclencher un processus d'auto-renforcement des systèmes « fantômes », qui conduit à un problème de contrôle de la gouvernance centrale (Beimborn & Palitza, 2013; Györy et al., 2012; Silic & Back, 2014). Ils qualifient cette tendance ou force de « problème de gouvernance » parce qu'elle entraîne un vide et un déséquilibre en faveur des objectifs et des priorités à un niveau décentralisé (Alter, 2014, 2014; Beimborn & Palitza, 2013; Györy et al., 2012; Haag & Eckhardt, 2015, 2017). Pour Furstenau et al. (Furstenau et al., 2017), l'émergence d’un SI fantôme est déclenché par un cercle vicieux nommé « problème de gouvernance ». Pour ces auteurs, la tendance pro-SI fantômes provient d’un renforcement du pouvoir des utilisateurs finaux qui déclenche un processus graduel de déclin du pouvoir central exposé à une moindre connaissance métier, induisant une décentralisation croissante. 1.2.2 … à la dynamique des forces antagonistes des systèmes « fantômes » Face au problème de gouvernance renforçant les SI fantômes, selon Furstenau et al. il existe un cycle antagoniste (Furstenau et al., 2017), décrit comme suit : face à la vulnérabilité aux risques des SI fantômes existants, les programmes formels de gestion des risques peuvent être utilisés par la gouvernance centrale afin de reprendre le pouvoir en identifiant des risques (qui n'étaient peut-être pas évidents auparavant) conduisant à un processus de désactivation progressive des SI fantômes. Pour ces auteurs, les deux cycles coexistent, dans des forces antagonistes, et parfois une tendance peut surpasser l'autre. D’un côté, une tendance au développement de SI fantômes - exprimant un besoin de solutions non standardisées et, d’un autre côté une tendance à leur affaiblissement - déclenchée par la perception des risques qui résulte de l'accent mis sur la non-conformité et la gouvernance des SI au niveau central. Nous pensons que l’analyse de Furstenau et al. (Furstenau et al., 2017) peut être mobilisée de façon pertinente pour examiner les SI fantômes mis en place et leur évolution dans l’hôpital étudié. 2 Méthodologie de l’étude de cas qualitative Afin d’explorer comment les systèmes fantômes conduisent à une reconfiguration des SI existants, nous avons menés une étude de cas unique sur des SI « fantômes », dans un hôpital universitaire, développés par les utilisateurs finaux pour gérer les images photographiques dans 4 leur pratiques cliniques (médicales et paramédicales). Nous nous sommes intéressées plus particulièrement à l’usage des photos dans et hors du SI officiel de gestion du Dossier Patient Informatisé (nommé DIPX) de cet hôpital (nommé CHU X), grâce à une étude de cas qualitative (Benbasat, Goldstein, & Mead, 1987; Lee, 2001; Yin, 1993). L’étude de cas a été conduite par les deux auteures, depuis 2014, aidés d’un étudiant stagiaire durant 3 mois (de février à avril 2016), et le support du médecin responsable de la Délégation à l’Information Hospitalière (DIH)4, instance de coordination des professionnels de santé pour l’appropriation de DIPX. 2.1 Présentation du contexte organisationnel L’établissement CHUX étudié a une capacité d’accueil de 3 000 lits et 11 000 collaborateurs. Il y a plus de 600 000 hospitalisations et 500 000 consultations annuelles, ce qui représente 30 000 000 documents générés annuellement. Le DPIX gère actuellement via différents modules la prise en charge des patients et constitue le SI central, pierre angulaire de l’urbanisation du SI pour la prise en charge des patients. Le responsable de DIH était intéressé par une étude sur l’usage des images photographiques dans la pratique clinique (médicale et paramédicale), compte tenu de son « ressenti » quant à la diversité des pratiques et de sa volonté de convaincre la Direction des Systèmes d’Information (DSI) d’implémenter l’application XPhoto, développée par l’éditeur de DPIX. Cette application visait l’intégration de photos médicales avec un smartphone et leur intégration automatique dans le DPIX avec le respect de l’identito-vigilence (i.e. la gestion des identités des patients dans le dossier du patient, sachant qu’une erreur d’identité peut entrainer des erreurs dans la prise en charge des patients). Notre objectif initial était de faire un état des lieux des pratiques en matière d’image photographique (hors imagerie radiologique) et de diffusion de celles-ci afin d’identifier ainsi les pratiques en lien avec des SI « fantômes ». 2.2 Description de la méthodologie de l’enquête 2.2.1 Méthode de collecte de données La collecte de données a été réalisée par des entretiens semi-structurés en face à face avec 9 professionnels de santé utilisateurs des photos dans leurs pratiques et 2 entretiens avec le chef de projet (le responsable de la DIH). L’enquête directe auprès des utilisateurs est en effet une méthode recommandée pour identifier des SI fantômes (Rentrop & Zimmermann, 2012). Ces données ont été complétées par l’observation non participante de quatre réunions pour la mise en place de XPhoto. Les entretiens ont porté sur les pratiques d’utilisation des photos (prise de photo, stockage, traitement, transmission) et sur les logiciels et technologies utilisés. Le point d’entrée a été constitué par le responsable de la DIH, qui nous a donné des contacts d’utilisateurs de photos médicales, puis nous avons eu recours à la méthode de la « boule de neige », en privilégiant la diversité des départements médicaux. 2.2.2 Méthode d’analyse des données Pour l'analyse et l'interprétation des données, nous avons choisi la méthode d'analyse de contenu thématique (Berelson 1952; Grawitz 1996). Nous avons cherché à identifier les 4 Ce qui constitue une équipe de recherche de type interne-externe, comme recommandée par Eisenhardt (Eisenhardt, 1989). 5 pratiques de captation des photos, de stockage, de traitement, de transmission des photos, les logiciels ou autres technologies associés, ainsi que les raisons de leur utilisation. 2.2.3 Analyse des données Les pratiques actuelles L’étude de cas menée montre un usage parallèle aux TI officiels disponibles pour les étapes du processus d’utilisation des photos. Nous résumons dans le tableau ci-après les caractéristiques des pratiques de manière très synthétique. Etapes processus d’utilisation photos Captation du Stockage involontaire Transmission TI officiels - un ou plusieurs appareils photo personnels dédiés pour un service - smartphone personnel -Applications sécurisées dédiée dans le cadre de filières spécifiques de prise en charge. Exemple : l’utilisation d’une application et de tablettes dédiées pour la prise de photo, le stockage et la transmission pour la téléconsultation et télé-assistance des plaies chroniques et complexes. - Appareils photos des départements médicaux - espace de stockage local personnel (PC/mac, disque dur) - espace de stockage local (PC, serveurs gérés par autre institution que CHU : université, association) - cloud personnel (picasa et google photo) - cloud personnel (icloud, drive, iphoto, outlook) après synchronization automatique -stockage sur le smartphone personnel - smartphone personnel - tablette personnelle - DPIX des Stockage volontaire Diffusion présentiel TI fantômes en -Messagerie professionnelle personnelle -SMS - whatsup - picasa Tableau 1. Les pratiques d’utilisation de la photo ou -écran et projecteur - PC - répertoire partagé d’un service - dossier patient sur DIPX -messagerie professionnelle sécurisée (implémentée partiellement au moment de l’étude) L’analyse des entretiens et les observations menées montre que les médecins utilisent de plus en plus leur smartphone personnel et/ou professionnel pour différents usages : prise en charges des patients, enseignement, recherche. Les consignes officielles du CHUX préconisent l’intégration systématique des photos dans DIPX et la suppression des photos de patients sur les disques durs ou sur les smartphones. Plusieurs raisons sont avancées pour cela : - Pour la prise de décision médicale lors des réunions de concertation dans un départements ou concernant plusieurs départements, la résolution de la photo nécessaire 6 - - - pour le diagnostic est meilleure sur les appareils personnels que la résolution réduite automatiquement lors de l’intégration dans DIPX (du fait de la capacité de stockage limité de DIPX). ; La longueur de chaque processus d’intégration dans DIPX, la survenue de pannes, l’intégration manuelle pouvant comporter des erreurs d’identito-vigilence diminuent l’utilité de cette intégration pour les médecins, qui privilégient les tâches directement utiles pour la prise en charge des patients. ; Au-delà de la prise en charge du patient, les besoins des médecins sont variés. Ainsi, à visée de recherche et de publication, des médecins ont besoin de créer des banques de photos sur une pathologie spécifique, ce que DIPX ne permet pas de faire. ; La demande d’avis d’un pair étant une caractéristique du travail des professionnels que sont les médecins, cette demande informelle auprès de spécialistes hors du CHUX ne peut se faire via DIPX, d’où le recours au sms ou à des applications grand public comme Whatsapp. Certaines étapes peuvent reposer sur l’utilisation d’une TI officielle alors que d’autres reposent sur l’utilisation d’une TI fantôme. La même photo peut faire l’objet de son stockage ou sa transmission via des TI officiels (DPIX) et fantômes. Les smartphones personnels sont préférés aux smartphones professionnels en raison de leur performance technique meilleure (résolution de la photo, applications grand public telles Whatsapp). La gestion des risques liée aux TI fantômes Quatre réunions (entre septembre 2015 et février 2017) ont eu lieu à l’initiative du responsable de la DIH pour trouver des solutions au problème d’identito-vigilence, lié à l’utilisation de TI fantômes mais aussi au processus manuel actuel d’intégration des photos dans DPIX. L’application XPhoto permet d’automatiser ce processus et d’enlever ainsi les freins liés à la longueur du processus. Ces réunions ont rassemblé des représentants de la DIH, des représentants de la Direction des Systèmes d’Information (DSI), les responsable de l’identio-vigilence le responsable de la DIH, des représentants du service Qualité et Gestion des Risques, et ceux du service juridique. Alors que les responsables de l’identito-vigilence et les représentants de la DSI ont mis l’accent sur l’importance du respect des consignes officielles, les médecins de la DIH ont insisté sur la diversité des pratiques métier et sur la difficulté d’intégrer manuellement les photos dans DPIX, s’il faut respecter la consigne officielle qui est celle de prendre en photo l’étiquette du patient, comportant son identité, en même temps que la photo médicale. L’application XPhoto est apparue comme une solution acceptable à défaut de mettre en place un container sécurisé BYOD, dont le coût aurait été très élevé et qui aurait demandé un changement de fonctionnement de la DSI (qui contrôle actuellement les smartphones professionnels pour les médecins). Ce choix aurait demandé une priorisation stratégique des SI, or ces réunions concluent sur le manque d’une instance stratégique dans l’hôpital pour pouvoir faire de tels choix. Les représentants de la DIH ont par ailleurs souligné que, avant l’essor des smartphones, des médecins faisaient leurs propres bases de données dans les départements, pour étudier une pathologie. Or, cette pratique n’est pas prévue par les consignes officielles liées à l’utilisation de DIPX. 7 3 Discussion Comme nous l’avons montré dans la section précédente, nous avons identifié des pratiques d’utilisations de différentes TI non officielles. En effet, suite à la démocratisation des smartphones, la facilité de la prise de photo et de sa transmission ont permis l’essor de ces pratiques dans des départements qui, auparavant, utilisaient peu la photo prise avec un appareil photo. Le problème de gouvernance identifié a conduit, dans le cas étudié, à un processus de renforcement des SI fantômes déployés par les praticiens dans leurs pratiques cliniques (Furstenau et al., 2017). La multiplication des SI fantômes utilisés a conduit à une décentralisation croissante des processus impactés et à une désaffection des SI officiels ne répondant pas aux besoins métiers pour la gestion des images photographiques, induisant ainsi une diminution du pouvoir central de la DSI et une diminution notable de la standardisation des processus (de prise, de stockage et transmission des photos) et du respect des normes de sécurité et d’identito-vigilance relatives à l’usage des images photographiques, ainsi qu’à une fragmentation des SI du CHUX. Dans le même temps, l’identification des SI fantômes et la croissance des pratiques multiples et très hétérogènes au CHUX a conduit à l’identification de risques d’identito-vigilence, de sécurité et de perte des données. Or, l’analyse des pratiques montre que, du point de vue des médecins, c’est le SI central qui comporte des risques notamment pour le diagnostic, du fait de la faible résolution des photos ou de bugs et pannes rendant difficiles l’utilisation des photos. Par ailleurs, selon la spécialité, les besoins liés à la prise de photo (angle, éclairage, taille, résolution) sont différents selon les usages (diagnostic à un moment donné ou suivi transversal, enseignement ou recherche) et les spécialités (par exemple photo de l’oeil pour des diagnostics de la cataracte, photos dentaires pour l’identification de caries etc). L’étude de cas menée montre que, face à cette tendance de renforcement des TI fantômes utilisés dans les départements pour gérer les images photographiques, une tendance antagoniste alimentée par la présence de risques perçus sur l’ensemble du processus a conduit à l’émergence d’un cycle de désactivation des TI fantômes au sein du CHUX, tel que conceptualisé par Furstenau et al. (Furstenau et al., 2017). Ainsi, face à la perception des risques sur le processus de gestion des images photographiques, nous avons observé un cycle inverse de tentative désactivation des TI fantômes en place, et de recentralisation du processus, comme indiqué dans la Figue 1, qui est adaptée de Furstenau et al. (Furstenau et al., 2017).. D’abord, la DSI a mis en place en 2015 des consignes concernant l’identito-vigilance au CHUX, concernant notamment les processus de gestion des images photographiques dans DIPX. Ensuite, une nouvelle application, XPhoto, censée remplacer les TI fantômes et a été développée et déployée en phase de test auprès d’une quinzaine de praticiens hospitaliers (médecins et infirmières). Cependant, compte-tenu de la diversité des besoins exprimés par les médecins, que XPhoto ne permet pas de satisfaire, il est probable que les TI fantômes soient rapidement réactivées. Nous résumons dans la Figure 1 les résultats concernant les deux forces antagonistes participant à la dynamique des SI fantômes utilisés pour la gestion des images photographiques au CHUX. 8 problème de gouvernance en central risques perçus de la gestion des photos intention de désactivation des SI fantômes systèmes fantômes pour gérer les photos re-centralisation diminution de la standardisation décentralisation croisssante affaiblissement des systèmes fantômes Figure 1 : Forces antagonistes de dynamique des SI fantômes au CHUX (adapté de Furstenau et al., 2017) 4 Conclusion et perspectives de la recherche L’objet de cette communication était d’étudier la dynamique d’évolution des SI fantômes. Le cadre théorique mobilisé a porté sur la notion de SI fantôme et les questionnements relatifs aux enjeux de gouvernance de ces SI. L’étude de cas unique menée a porté sur les processus relatifs à l’usage des photos dans les pratiques cliniques. Nous avons identifié des pratiques en lien avec des TI fantômes utilisés, aux différentes étapes de l’utilisation de la photo, des TI officielles et non officielles pouvant être mixées dans le même processus, par un même utilisateur. Ces pratiques reflètent la diversité des besoins auxquels la TI actuelle ne répond pas. Nous pensons que la dynamique à l’œuvre vers et hors du SI officiel se heurtera à cette diversité des besoins, et que les problèmes de gouvernances et risques (en termes d’identitovigilence et sécurité) ne seront pas résolus par la nouvelle TI préconisée. Une recherche ultérieure permettra de confirmer ou pas cette hypothèse. 5 Références Alter, S. (2014). Theory of Workarounds. Business Analytics and Information Systems. Azad, B., & King, N. (2012). Institutionalized computer workaround practices in a Mediterranean country: an examination of two organizations. European Journal of Information Systems, 21(4), 358‑372. Behrens, S. (2009). Shadow Systems: The Good, the Bad and the Ugly. Commun. ACM, 52(2), 124–129. Beimborn, D., & Palitza, M. (2013). Enterprise App Stores for Mobile Applications Development of a Benefits Framework. AMCIS 2013 Proceedings. Benbasat, I., Goldstein, D. K., & Mead, M. (1987). The Case Research Strategy in Studies of Information Systems. MIS Quarterly, 11(3), 368. Blichfeldt, B. S., & Eskerod, P. (2008). Project portfolio management – There’s more to it than what management enacts. International Journal of Project Management, 26(4), 357‑365. 9 Eisenhardt, K. M. (1989). Building theories from case study research. Academy of Management Review, Vol. 14(No. 4), pp. 532‑550. Fürstenau, D., & Rothe, H. (2014). SHADOW IT SYSTEMS: DISCERNING THE GOOD AND THE EVIL. ECIS 2014 Proceedings. Furstenau, D., Rothe, H., & Sandner, M. (2017). Shadow Systems, Risk, and Shifting Power Relations in Organizations. Communications of the Association for Information Systems, 41(1). Gartner. (2014). Embracing and Creating Value From Shadow IT. Gaß, O., Ortbach, K., Kretzer, M., Maedche, A., & Niehaves, B. (2015). Conceptualizing Individualization in Information Systems – A Literature Review. Communications of the Association for Information Systems, 37(1). Gozman, D., & Willcocks, L. (2015). Crocodiles in the Regulatory Swamp: Navigating The Dangers of Outsourcing, SaaS and Shadow IT. ICIS 2015 Proceedings. Györy, A. A. B., Cleven, A., Uebernickel, F., & Brenner, W. (2012). Exploring The Shadows: IT Governance Approaches To User-Driven Innovation. In Proceedings of the 20th European Conference on Information Systems (ECIS 2012). AIS Electronic Library (AISeL): Association for Information Systems. Haag, S., & Eckhardt, A. (2015). Justifying Shadow IT Usage. PACIS 2015 Proceedings. Haag, S., & Eckhardt, A. (2017). Shadow IT. Business & Information Systems Engineering, 1‑5. Huber, M., Zimmermann, S., Rentrop, C., & Felden, C. (2016). The Relation of Shadow Systems and ERP Systems—Insights from a Multiple-Case Study. Systems, 4(1), 11. Kerr, D. V., Houghton, L., & Burgess, K. (2007). Power Relationships that Lead to the Development of Feral Systems. Australasian Journal of Information Systems, 14(2). Kopper, A., & Westner, M. (2016a). Towards a Taxonomy for Shadow IT. Kopper, A., & Westner, M. (2016b). Towards a Taxonomy for Shadow IT. AMCIS 2016 Proceedings. Lee, A. (2001). Validation in information systems research: a state-of-the-art assessment. Mis Quarterly, 25(1), xi. Miles, M. B., & Huberman, A. M. (1994). Qualitative Data Analysis, (2nd Edition). Thousand Oaks, California, SAGE Publications, Inc. Paré, G. (2002). Implementing clinical information systems: a multiple-case study within a US hospital. Health Services Management Research, 15(2), 71‑92. Rentrop, C., & Zimmermann, S. (2012). Shadow IT: Management and Control of unofficial IT. Silic, M., & Back, A. (2014). Shadow IT – A view from behind the curtain. Computers & Security, 45(Supplement C), 274‑283. Siponen, M., & Vance, A. (2010). Neutralization: New Insights into the Problem of Employee Information Systems Security Policy Violations. MIS Quarterly, 34(3), 487‑502. Thatte, S., Grainger, N., & McKay, J. (2012). Feral practices. ACIS 2012 : Location, Location, Location : Proceedings of the 23rd Australasian Conference on Information Systems 2012, 1‑10. Walters, R. (2013). Bringing IT out of the shadows. Network Security, 2013(4), 5‑11. Yin, R. (1993). Applications of case study research. Newbury Park, CA: Sage Publishing. Zimmermann, S., & Rentrop, C. (2014). On the emergence of shadow it - a transaction costbased approach. Ecis 2014. 10 Zimmermann, S., Rentrop, C., Felden, C., & Freiberg, T. B. (s. d.). Managing Shadow IT Instances – A Method to Control Autonomous IT Solutions in the Business Departments. 11