Suggestion d‟actions spécifiques pour gérer les risques

L‟approche qui a été présentée dans la section précédente permet à un utilisateur métier d‟identifier des risques d‟utilisation inappropriée des données géospatiales en répondant à diverses questions qui portent sur l‟usage envisagé mais aussi sur les données elles-mêmes. Par contre, suite à l‟identification de risques, l‟utilisateur ne sait pas nécessairement quelles actions spécifiques il peut entreprendre afin de gérer les risques identifiés. Cette section montre comment nous en sommes arrivés à suggérer des actions spécifiques permettant de gérer les risques identifiés. Dans un premier temps, l‟apport du questionnaire pan-canadien sur la qualité et la gestion du risque est présenté, questionnaire dans lequel plusieurs actions spécifiques de gestion du risque ont été identifiées. Puis, l‟intégration de ces actions spécifiques à la solution proposée sera présentée.

4.2.1 Questionnaire pan-canadien portant sur la qualité et la gestion du risque Tel que mentionné précédemment, la réalisation de ce questionnaire s‟inscrivait dans le cadre du projet GEOIDE IV-23 (Gervais et al., 2012) dans lequel l‟auteure du mémoire était impliquée. Le but de cette section n‟est pas de faire une présentation exhaustive de la conception de ce questionnaire ni

maîtrise. L‟apport de ce questionnaire se rapporte surtout au processus de création des questions, mais aussi dans une plus faible mesure à l‟analyse des réponses obtenues auprès des répondants. Le questionnaire s‟adressait à des intervenants canadiens en géomatique, et les répondants devaient utiliser des données géospatiales dans le cadre de leur travail (il ne s‟agissait donc pas d‟utilisateurs grand public mais d‟utilisateurs métier tel que ciblés dans notre objectif de recherche). Le questionnaire s‟adressait à la fois aux producteurs, aux utilisateurs et aux utilisateurs-producteurs de données géospatiales.

4.2.1.1 Apport de la création du questionnaire

Le questionnaire a été créé au sein d‟un groupe de travail de cinq personnes faisant partie du projet GEOIDE IV-23. Le groupe de travail était composé de deux professeurs (Marc Gervais et Yvan Bédard) et deux professionnelles de recherche (Suzie Larrivée et Sonia Rivest) du Département des sciences géomatiques de l‟Université Laval, de même que de l‟auteure de ce mémoire. Le contenu de ce questionnaire a également été validé à l‟externe par le Service de consultation statistique de l‟Université Laval, ainsi que par des experts en qualité des données géospatiales et en gestion des risques d‟utilisation inappropriée des données. La conception de ce questionnaire s‟est étalée sur une période de plus d‟un an avant sa diffusion auprès des répondants en avril et mai 2012. Parmi les 513 répondants canadiens ayant débuté la réponse aux questions du sondage, 232 l‟ont complété en entier. Le fait que le questionnaire soit long à répondre (35 minutes en moyenne), explique ce taux d‟abandon. À notre avis, il s‟agit du plus important questionnaire portant sur la qualité des données géospatiales à avoir été réalisé, et un article scientifique est en cours de préparation pour diffuser les résultats.

Plusieurs questions de recherche avaient été identifiées, mais celles étant le plus reliées à ce mémoire sont présentées ici :

 Quelles sont les stratégies de gestion du risque adoptées par les utilisateurs afin de minimiser les risques d‟usages inappropriés de l‟information géospatiale?

 Pour chacune des stratégies de gestion du risque adoptées, quelles sont les actions spécifiques mises en œuvre?

 Quelles sont les stratégies que les utilisateurs aimeraient pouvoir adopter?

n‟allaient pas nécessairement savoir de quoi il s‟agissait s‟il leur était demandé s‟ils utilisaient des stratégies de contrôle, transfert, évitement, ou indifférence. En effet, il était possible que ce vocabulaire ne soit pas nécessairement connu. Ces stratégies ont alors été verbalisées (dans le cas de l‟évitement et de l‟indifférence), et il est alors apparu nécessaire d‟identifier des actions spécifiques de gestion du risque mettant en œuvre des stratégies de contrôle et de transfert. Le Tableau 5 présente les actions spécifiques pouvant être mises en œuvre par les utilisateurs et qui ont été identifiées par les auteurs du questionnaire, ainsi que la stratégie à laquelle elles sont rattachées.

N° Action spécifique Stratégie

1 Choisir un jeu de données avec une bonne réputation Contrôle

2 Obtenir les données auprès d‟un courtier qui pourrait conseiller l‟utilisateur sur

l‟usage envisagé des données Transfert

3 Vérifier si le jeu de données comprend des mises en garde générales ou spécifiques

reliées aux risques Contrôle

4 Choisir un jeu de données qui comporte une garantie sur le contenu Transfert

5 Vérifier la présence de clauses de non-responsabilité ou de contraintes à l‟usage

dans la documentation du jeu de données Contrôle

6 Vérifier la présence d‟un service à la clientèle en cas de questions (ex. : ligne 1-800) Contrôle

7 Choisir le jeu de données en fonction du producteur original des données Contrôle

8 S‟assurer que le producteur distribue des données géospatiales en respectant des

normes connues Contrôle

9 S‟assurer que le producteur est certifié ISO-9001 Contrôle

10 Consulter la documentation technique du jeu de données (ex. : métadonnées, guide

d‟utilisation, dictionnaire de données, modèle de données) Contrôle

11 Vérifier la présence d‟une liste d‟usages recommandés ou non recommandés Contrôle

12 Demander de l‟information supplémentaire ou des conseils au producteur Contrôle

13 Demander de l‟information supplémentaire ou des conseils à un collègue Contrôle

14 Visualiser le jeu de données ou un échantillon de celui-ci avant son acquisition Contrôle

15 Comparer avec un autre jeu de données Contrôle

16 Réaliser des tests sur le jeu de données (ex. : valider la topologie, simuler des

analyses spatiales) Contrôle

17 Améliorer la structure des données (ex. : contraintes d‟intégrité, domaine de valeur,

relations) Contrôle

18 Améliorer les données (ex. : nettoyage, mises à jour, corrections) Contrôle

19 Effectuer un levé terrain pour vérifier ou corriger les données Contrôle

20 Avoir accès à une liste de problèmes rencontrés par ce jeu de données (ex. : forum

d‟utilisateurs, blogue) Contrôle

21 Faire évaluer le jeu de données en détail par un expert externe Transfert

22 Faire évaluer le jeu de données en détail par une personne à l‟intérieur de

l‟organisation (ou par l‟utilisateur lui-même) Contrôle

23 Avoir accès à de meilleures métadonnées Contrôle

24 Arrêter d‟utiliser le jeu de données Évitement

On remarque qu‟une seule action d‟évitement est présente parmi les possibilités suggérées. En effet, si un utilisateur choisit d‟éviter le risque identifié, il n‟utilisera pas les données qui présentent un risque, ou évitera de les utiliser pour un usage particulier. De même, on retrouve uniquement une action pour l‟indifférence : si un utilisateur est indifférent au risque, il utilisera les données peu importe les risques qu‟il a identifiés. Par contre, plusieurs actions spécifiques peuvent être utilisées pour une stratégie de contrôle ou de transfert. Afin d‟identifier les actions spécifiques propres à la stratégie de contrôle, plusieurs discussions ont eu lieu au sein de l‟équipe, et les expériences en matière de gestion des risques de chacun des participants ont été mises à profit. Les participants songeaient à ce qu‟ils réaliseraient s‟ils étaient face à un jeu de données qui peut présenter des risques. Plusieurs de ces actions peuvent être appliquées par un utilisateur non expert en données géospatiales, mais quelques-unes se destinent plutôt à un utilisateur plus expérimenté. Pour les actions spécifiques reliées à la stratégie du transfert, les auteurs du questionnaire se sont référés à des travaux antérieurs visant à établir des stratégies provenant d‟autres domaines ou des produits ou services sont rendus (Larrivée et al., 2011). Le même exercice a été réalisé pour les producteurs de données géospatiales, mais les actions spécifiques identifiées ne sont pas présentées ici étant donné que la solution proposée s‟adresse aux utilisateurs.

Afin de connaître le pouls de la communauté géospatiale canadienne face à ces actions spécifiques de gestion du risque, il leur a été demandé d‟identifier lesquelles, parmi ces actions, ils utilisaient, à l‟aide d‟une échelle de cinq valeurs allant de « Toujours » à « Jamais ». De plus, parmi les actions spécifiques proposées, le répondant pouvait spécifier lesquelles il ne peut pas utiliser, ou celles qu‟il aimerait pouvoir utiliser. De plus, à la fin du questionnaire, les répondants pouvaient indiquer si le questionnaire leur avait appris des notions sur la gestion du risque. La prochaine sous-section montrera l‟intégration de l‟apport du questionnaire à la solution qui a été présentée précédemment. 4.2.2 Intégration des actions spécifiques à la solution

Comme les résultats du sondage ont montré que certaines actions spécifiques reliées au contrôle ou au transfert semblaient plutôt méconnues des répondants ou peu utilisées par eux (Gervais et al., 2012), il est apparu possible d‟intégrer ces actions à la solution pour aider les utilisateurs à gérer leurs risques. Pour ce faire, les risques qui ont été identifiés à la section précédente ont tous été analysés par l‟auteure du mémoire, et pour chacun de ces risques, des actions permettant de les gérer ont été ajoutées. Accompagnés de ces suggestions se retrouvent des avertissements non formels voulant

montrer qu‟il existe une possibilité que l‟action soit difficile à mettre en place, ou qu‟elle ne soit pas suffisante. On retrouve, en compagnie des risques identifiés, toutes ces stratégies de gestion du risque à l‟annexe IV.

Il est à noter que certaines des actions spécifiques de gestion du risque faisaient déjà partie de la solution proposée dans ce chapitre, mais servaient à identifier les risques plutôt qu‟à les gérer. C‟est le cas de l‟action spécifique 15 (comparer avec un autre jeu de données), qui est utilisée pour identifier certains risques comme celui que certaines informations soient absentes sur le jeu de données (et donc que celui-ci ait un problème de complétude). Cependant, cette stratégie peut servir à identifier les risques uniquement si les données sont disponibles pour visualisation. Par contre, si le jeu de données n‟est pas disponible pour la visualisation et que les informations présentes dans les métadonnées tendent à indiquer qu‟il pourrait y avoir des problèmes de complétude ou de mise à jour, mais que l‟utilisateur choisit tout de même d‟utiliser ces données, la comparaison avec un jeu de données devient alors une action de contrôle du risque.

Parmi les autres résultats provenant du questionnaire qui ont permis d‟enrichir la solution se retrouvent des commentaires des répondants concernant les questions elles-mêmes : le nombre, leur formulation, leur clarté. Il a été possible de remarquer que ce qui semblait simple pour ceux qui avaient rédigé les questions aurait bénéficié d‟un exemple concret pour illustrer les propos. Étant donné que dans l‟arbre d‟identification des risques se retrouvent plusieurs questions, il est apparu important que celles-ci soient claires pour que l‟utilisateur soit tenté d‟utiliser la solution. De plus, les « précisions sur la question » ont été enrichies pour donner encore plus de détail. Dans une implantation éventuelle de la solution, il pourrait aussi être possible d‟avoir un index qui définit plusieurs des termes employés dans les questions et dans les métadonnées. Finalement, plusieurs commentaires ont été formulés à l‟effet que le questionnaire disposait d‟un nombre trop élevé de questions, ce qui aurait pu contribuer à ce que certaines personnes répondent « pour se débarrasser ». Cela a permis de réaliser qu‟il ne fallait pas que l‟arbre de décision comporte trop de questions, quitte à ce que celui-ci ne permette pas d‟identifier tous les risques possibles, mais serve à sensibiliser l‟utilisateur à l‟éventualité de la présence de risques. L‟arbre pourrait alors lui suggérer d‟aller plus en détail dans le processus de gestion des risques avec l‟aide d‟un spécialiste en qualité des données géospatiales si le besoin est présent.