1
Couvrez ces photos que je ne saurai voir, par de pareilles
actions, les systèmes sont contournés, et cela fait venir de
coupables pratiques ... : une étude de cas dans un
établissement de santé
1
Isabelle Bourdon*
Roxana Ologeanu-Taddei*
*MRM, Université de Montpellier, Montpellier, France
Résumé :
L’objectif de cette communication est d’explorer les systèmes d’information fantômes, leur
persistance et diminution dans les organisations. Ces systèmes regroupent les logiciels,
matériels et SI déployés de manière autonome au sein d’une organisation ou d’un département
sans la participation du service informatique de l'organisation (Haag & Eckhardt, 2017) et sont
de plus en plus répandus dans les organisations. Ils sont devenus incontournables dans le
paysage des SI décentralisés des organisations et constituent des défis majeurs pour la
gouvernance des systèmes d’information dans les organisations, qui cherchent souvent à les
limiter ou les éliminer. A l’aide d’une étude de cas unique dans un établissement de santé, nous
avons décrit les SI fantômes déployés par les praticiens pour gérer les images photographies,
ainsi que les problématiques de gouvernance des SI posées et les cycles de renforcement et
désactivation de ces derniers. Nous avons proposé d’interpréter ces données à l’aide du modèle
des forces de Furstenau et al. (Furstenau et al., 2017).
Mots clés :
SI fantôme, SI santé, gouvernance des SI
1
"Couvrez ce sein, que je ne saurais voir. Par de pareils objets les âmes sont blessées,; Et cela fait venir de
coupables pensées.", in Molière Le Tartuffe, III, 2 (v. 860-862).
2
1 Introduction
Les termes « shadow IT » et « feral system », que l’on peut traduire en français par systèmes
d’informations (SI) fantômes et systèmes sauvages retiennent de plus en plus l’attention des
praticiens (Gartner, 2014; Walters, 2013) et des académiques (Furstenau, Rothe, & Sandner,
2017) notamment depuis le développement du cloud computing, des technologies Saas ou
encore de la vague de BYOD (Bring Your Own Device) (Beimborn & Palitza, 2013), qui sont
devenus incontournables dans le paysage des SI décentralisés des organisations et des
innovations poussées par les utilisateurs. Ainsi, les ressources en technologies de l'information
(TI) adoptées et utilisées sans la validation du service informatique sont de plus en plus
répandues dans les organisations (Walters, 2013). En particulier, les appareils grand public,
comme les smartphones ou les services de cloud via les navigateurs Web, constituent en soi
des systèmes fantômes facilement accessibles pour des employés, même avec de faibles
compétences informatiques, et des défis majeurs pour la gouvernance des SI (Györy, Cleven,
Uebernickel, & Brenner, 2012; Haag & Eckhardt, 2015; Zimmermann & Rentrop, 2014). Une
grande partie de la littérature considère que ces TI fantômes et les contournements des usages,
voire des technologies et systèmes existants, sont plutôt néfastes. L'argument majeur est que
les usages détournés comportent des risques pour les organisations et qu’il serait plutôt
souhaitable de les identifier et de les supprimer (Walters, 2013). La plupart des organisations
tentent de diriger, restreindre et contrôler les systèmes fantômes utilisés par les unités ou
départements en dehors des systèmes formels et officiels, afin d’en minimiser les coûts et les
risques. Cependant, nombre d’organisations échouent à éliminer ou réduire ces derniers malgré
les efforts déployés (Walters, 2013). Furstenau et al. (Furstenau et al., 2017) notent que
souvent les systèmes fantômes persistent ou reviennent même si les DSI font des efforts pour
les supprimer. Pourtant les contournements d’usages et les SI fantômes sont une source
d’innovation fertile en termes d’identification des besoins des utilisateurs notamment (Alter,
2014). Furstenau et al. (Furstenau et al., 2017) montrent qu’il existe une dynamique à long
terme expliquant la persistance et l’évolution des systèmes fantômes parallèles dans les
organisations contemporaines avec des centaines de dispositifs et de systèmes décentralisés.
Cependant, peu d’études ont décrit le rôle de ces TI par rapport aux TI existantes (Furstenau et
al., 2017). La question de recherche est ainsi la suivante : Quels sont les enjeux des systèmes
fantômes à la fois pour les pratiques de travail et pour la gouvernance des SI ?
Afin d’explorer la réponse à cette question, nous avons conduit une étude de cas unique dans
un hôpital universitaire français public
2
, et identifiés des SI fantômes utilisés par son personnel
médical pour traiter les photographies médicales, ainsi que et leurs liens avec le SI officiel. A
l’aide d’observations et d’interviews, nous avons réalisé un état des lieux des pratiques et
systèmes « fantômes » déployés dans les services étudiés. Nous montrons les processus
dynamiques à l’œuvre dans l’établissement, de l’identification d’un « problème de
gouvernance » à la mise en œuvre d’un nouveau projet SI, à l’aide du modèle des forces de
Furstenau et al. (Furstenau et al., 2017).
Pour arriver à ces contributions, cet article est organisé comme suit : la section 1 présente le
cadre conceptuel relatif aux SI fantômes étudiés. Dans la section suivante, nous nous référons
aux méthodes de cette étude, puis présentons les résultats préliminaires. La dernière section
résume les résultats et discute des implications et des futures opportunités de recherche.
2
Le premier projet de recherche avec l’établissement a démarré en 2014 et les observations et interviews ont été
réalisées plus spécifiquement sur les processus de gestion des images photographiques depuis 2016
3
1 Systèmes sauvages, fantômes, contournements
3
et gouvernance des SI
Les SI fantômes et ceux décrits comme sauvages, ainsi que les contournements des systèmes
en place sont bien connus dans la littérature en SI (Alter, 2014; Behrens, 2009; Furstenau et
al., 2017). Ils soulèvent des questions prégnantes en termes de gouvernance des SI dans les
organisations et, malgré les efforts des organisations pour les limiter voir les éliminer, on
observe des dynamiques d’évolution propres des systèmes fantômes que nous présentons en
seconde partie de cette section. Le but de cette partie est de fournir un bref aperçu des différents
cadres conceptuels mobilisés pour l'étude de cas qui suit.
1.1 Les systèmes d’informations sauvages, fantômes et les contournements ….
La littérature sur « l’informatique fantôme » et les concepts s’y référant a produit une riche
compréhension contextuelle du sujet (Behrens, 2009; Haag & Eckhardt, 2017). Nous
présentons la définition retenue pour notre étude ainsi que les avantages et inconvénients
relevés par la littérature.
1.1.1 De la définition ….
De nombreux termes sont associés à la notion d’informatique fantôme très nombreux (Kopper
& Westner, 2016a). Tous les logiciels, matériels et services informatiques déployés de manière
autonome au sein d’une organisation ou d’un département sans la participation du service
informatique de l'organisation peuvent être considérés comme des SI fantômes (Haag &
Eckhardt, 2017). D’ailleurs, la plupart du temps, les services informatiques ne connaissent pas
l’existence de ces systèmes (Rentrop & Zimmermann, 2012). Le concept de SI fantôme décrit
un sous-ensemble principalement axé sur de petites applications non officielles complétant les
grands systèmes d'entreprise (par exemple un ERP) (Behrens, 2009; Blichfeldt & Eskerod,
2008; Huber, Zimmermann, Rentrop, & Felden, 2016). Les artefacts (Haag & Eckhardt, 2015,
2017) peuvent inclure des matériels, des applications ou des services (Gaß, Ortbach, Kretzer,
Maedche, & Niehaves, 2015; Rentrop & Zimmermann, 2012; Walters, 2013). Ce phénomène
prend de l’importance ces dernières années à mesure que les employés utilisent leurs appareils
mobiles privés pour le travail, parfois sans l'accord de leur organisation (Gaß et al., 2015), et
utilisent leurs applications auto-développées ou privées dans leur environnement de travail
(Gozman & Willcocks, 2015). La recherche existante sur ces systèmes est dispersée (Haag &
Eckhardt, 2015).
1.1.2 … du bon grain
Les SI fantômes peuvent être bénéfiques à bien des égards dans les organisations. D’abord, ils
répondant à des besoins individuels non comblés par les SI officiels (Behrens, 2009) et ils
fournissent une opportunité d'innovation à faible coût, ainsi qu’une réponse rapide aux besoins
changeants de l'entreprise (Kopper et Westner 2016).
1.1.3 … et de l’ivraie
Cependant, en raison de la nature typiquement décentralisée des systèmes fantômes, ils peuvent
créer des charges de travail redondantes, et poser des problèmes d’intégrité des données et de
qualité (Behrens, 2009). De nombreux travaux soulignent les risques de sécurité (Silic & Back,
2014), de conformité ou d'efficacité de ces systèmes (Behrens, 2009; Fürstenau & Rothe, 2014;
Zimmermann, Rentrop, Felden, & Freiberg, s. d.). Compte tenu des avantages et des
3
Shadow IT, feral IT, workaround
4
inconvénients de ces systèmes, chercheurs et praticiens discutent des approches à adopter allant
de l'autorisation totale, à des concessions spécifiques, voire à l'interdiction (Györy et al., 2012;
Haag & Eckhardt, 2017) et des implications managériales pour la gouvernance des SI
(Beimborn & Palitza, 2013; Furstenau et al., 2017; Györy et al., 2012).
1.2 … conduisent à un problème de gouvernance des SI et des dynamiques
d’évolutions antagonistes
Furstenau et al. (Furstenau et al., 2017) analysent notamment la dynamique à long terme
associée à l'informatique fantôme dans les organisations, en s’appuyant sur les théories du
pouvoir et la construction sociale du risque. Selon ces auteurs, l'émergence et la désactivation
des SI fantômes est un processus multi-facettes qui se déroule au fil du temps dans une double
dynamique cyclique antagoniste. Ils estiment que la notion de SI fantôme questionne
l’équilibre entre l'autonomie des unités décentralisées et la gouvernance centrale en matière de
SI (Brown et Magill 1994, Sambamurthy et Zmund 1999; Winkler et Brown 2014).
1.2.1 Du problème de gouvernance ….
Selon Furstenau et al. (Furstenau et al., 2017), plusieurs facteurs peuvent déclencher un
processus d'auto-renforcement des systèmes « fantômes », qui conduit à un problème de
contrôle de la gouvernance centrale (Beimborn & Palitza, 2013; Györy et al., 2012; Silic &
Back, 2014). Ils qualifient cette tendance ou force de « problème de gouvernance » parce
qu'elle entraîne un vide et un déséquilibre en faveur des objectifs et des priorités à un niveau
décentralisé (Alter, 2014, 2014; Beimborn & Palitza, 2013; Györy et al., 2012; Haag &
Eckhardt, 2015, 2017). Pour Furstenau et al. (Furstenau et al., 2017), l'émergence d’un SI
fantôme est déclenché par un cercle vicieux nommé « problème de gouvernance ». Pour ces
auteurs, la tendance pro-SI fantômes provient d’un renforcement du pouvoir des utilisateurs
finaux qui déclenche un processus graduel de déclin du pouvoir central exposé à une moindre
connaissance métier, induisant une décentralisation croissante.
1.2.2 … à la dynamique des forces antagonistes des systèmes « fantômes »
Face au problème de gouvernance renforçant les SI fantômes, selon Furstenau et al. il existe
un cycle antagoniste (Furstenau et al., 2017), décrit comme suit : face à la vulnérabilité aux
risques des SI fantômes existants, les programmes formels de gestion des risques peuvent être
utilisés par la gouvernance centrale afin de reprendre le pouvoir en identifiant des risques (qui
n'étaient peut-être pas évidents auparavant) conduisant à un processus de désactivation
progressive des SI fantômes. Pour ces auteurs, les deux cycles coexistent, dans des forces
antagonistes, et parfois une tendance peut surpasser l'autre. D’un côté, une tendance au
développement de SI fantômes - exprimant un besoin de solutions non standardisées et, d’un
autre côté une tendance à leur affaiblissement - déclenchée par la perception des risques qui
résulte de l'accent mis sur la non-conformité et la gouvernance des SI au niveau central.
Nous pensons que l’analyse de Furstenau et al. (Furstenau et al., 2017) peut être mobilisée de
façon pertinente pour examiner les SI fantômes mis en place et leur évolution dans l’hôpital
étudié.
2 Méthodologie de l’étude de cas qualitative
Afin d’explorer comment les systèmes fantômes conduisent à une reconfiguration des SI
existants, nous avons menés une étude de cas unique sur des SI « fantômes », dans un hôpital
universitaire, développés par les utilisateurs finaux pour gérer les images photographiques dans
5
leur pratiques cliniques (médicales et paramédicales). Nous nous sommes intéressées plus
particulièrement à l’usage des photos dans et hors du SI officiel de gestion du Dossier Patient
Informatisé (nommé DIPX) de cet hôpital (nommé CHU X), grâce à une étude de cas
qualitative (Benbasat, Goldstein, & Mead, 1987; Lee, 2001; Yin, 1993). L’étude de cas a été
conduite par les deux auteures, depuis 2014, aidés d’un étudiant stagiaire durant 3 mois (de
février à avril 2016), et le support du médecin responsable de la Délégation à l’Information
Hospitalière (DIH)
4
, instance de coordination des professionnels de santé pour l’appropriation
de DIPX.
2.1 Présentation du contexte organisationnel
L’établissement CHUX étudié a une capacité d’accueil de 3 000 lits et 11 000 collaborateurs.
Il y a plus de 600 000 hospitalisations et 500 000 consultations annuelles, ce qui représente
30 000 000 documents générés annuellement. Le DPIX gère actuellement via différents
modules la prise en charge des patients et constitue le SI central, pierre angulaire de
l’urbanisation du SI pour la prise en charge des patients. Le responsable de DIH était intéressé
par une étude sur l’usage des images photographiques dans la pratique clinique (médicale et
paramédicale), compte tenu de son « ressenti » quant à la diversité des pratiques et de sa
volonté de convaincre la Direction des Systèmes d’Information (DSI) d’implémenter
l’application XPhoto, développée par l’éditeur de DPIX. Cette application visait l’intégration
de photos médicales avec un smartphone et leur intégration automatique dans le DPIX avec le
respect de l’identito-vigilence (i.e. la gestion des identités des patients dans le dossier du
patient, sachant qu’une erreur d’identité peut entrainer des erreurs dans la prise en charge des
patients). Notre objectif initial était de faire un état des lieux des pratiques en matière d’image
photographique (hors imagerie radiologique) et de diffusion de celles-ci afin d’identifier ainsi
les pratiques en lien avec des SI « fantômes ».
2.2 Description de la méthodologie de l’enquête
2.2.1 Méthode de collecte de données
La collecte de données a été réalisée par des entretiens semi-structurés en face à face avec 9
professionnels de santé utilisateurs des photos dans leurs pratiques et 2 entretiens avec le chef
de projet (le responsable de la DIH). L’enquête directe auprès des utilisateurs est en effet une
méthode recommandée pour identifier des SI fantômes (Rentrop & Zimmermann, 2012). Ces
données ont été complétées par l’observation non participante de quatre réunions pour la mise
en place de XPhoto.
Les entretiens ont porté sur les pratiques d’utilisation des photos (prise de photo, stockage,
traitement, transmission) et sur les logiciels et technologies utilisés. Le point d’entrée a été
constitué par le responsable de la DIH, qui nous a donné des contacts d’utilisateurs de photos
médicales, puis nous avons eu recours à la méthode de la « boule de neige », en privilégiant la
diversité des départements médicaux.
2.2.2 Méthode d’analyse des données
Pour l'analyse et l'interprétation des données, nous avons choisi la méthode d'analyse de
contenu thématique (Berelson 1952; Grawitz 1996). Nous avons cherché à identifier les
4
Ce qui constitue une équipe de recherche de type interne-externe, comme recommandée par Eisenhardt
(Eisenhardt, 1989).
6
7
8
9
10
11
1
/
11
100%