RSSI (et DPO) sont-ils des bullshit jobs ?

En 2013, David Graeber publie dans la revue en ligne Strike un billet consacré à cette expression « bullshit jobs » et, devant l’afflux de témoignages issus du monde entier, il a décidé d’en faire un livre, paru en 2018 et devenu depuis un best-seller. La formule « bullshit jobs » signifie littéralement « boulots à la con », à ne pas confondre avec « shit jobs » qui signifie plutôt « boulots de merde » : les seconds concernent des emplois difficiles et souvent mal rémunérés, mais indispensables au fonctionnement de la société, alors que les premiers sont totalement inutiles, souvent occupés par des personnes diplômées et bien payées.

David Graeber définit cinq catégories de bullshit jobs : les larbins, les sbires, les sparadraps, les cocheurs de case et les petits chefs. La fonction de larbin consiste à flatter ses clients (à entendre au sens large), ses chefs ou ses partenaires. Celle de sbire consiste à contrer ses concurrents ou ses collègues/confrères. Les sparadraps passent des heures à réparer des dysfonctionnements qui n’auraient pas lieu d’être si tout fonctionnait correctement. Quant aux cocheurs de case, ils déroulent des procédures qui fondamentalement ne servent à rien et sont là alors que plus personne ne sait pourquoi. Enfin, la fonction de petit chef consiste à contrôler des gens qui n’en ont absolument pas besoin et qui font très bien leur travail sans lui.

Clairement, je n’ai aucune inquiétude sur les deux premières catégories : flatter et espionner ne font vraiment pas partie des missions d’un RSSI/DPO, pas plus d’ailleurs que de celles d’un auditeur conformité interne, d’un commissaire aux comptes, d’un qualiticien, etc. Je suis en revanche légèrement plus inquiet sur les trois dernières. Prenons au hasard la fonction de sparadrap : OK, je passe une partie de mon temps à réparer (ou à faire réparer) des dysfonctionnements qui n’auraient pas lieu d’être, mais en même temps pourquoi ces derniers existent-ils ? Il devrait être inutile de demander à un adminsys de changer le mot de passe par défaut du compte de service de sauvegarde (admin de domaine et sur six caractères, c’est du vécu) ou de mettre à jour le firewall qui n’a pas été patché depuis cinq ans (authentique). Il devrait être inutile de demander à un administratif de rédiger une convention avec le cabinet de radiologie du bout de la rue qui a un accès Full au Pacs avec tous les patients répertoriés dedans, ou encore de mettre en place des annexes RGPD pour le mainteneur du DPI qui a un accès Full à toute la base en télémaintenance (c’est bien au demeurant de vouloir sécuriser les accès des agents, mais quand on voit à quoi les fournisseurs ont accès dans certains cas, on est en droit de s’interroger sur les priorités…).

Idem pour les cocheurs de case et les petits chefs : il est indéniable que dans certains cas les procédures interrogent par leur pertinence, mais n’est-ce pas une partie du job que de les réviser ? Également, contrôler des personnes qui travaillent très bien sans le RSSI peut être source de réflexion, mais en même temps la fonction de toute personne dans une organisation devrait embarquer ses propres mécanismes d’autocontrôle, non ?

Le plus difficile dans ce genre d’exercice, c’est que presque personne n’occupe stricto sensu un bullshit job : nous sommes tous, vous et moi, sur un continuum entre l’indéniable et le négatif sur l’échelle de la « bullshiterie », et en fait tout dépend à qui vous posez la question ? Nul doute que ceux de mes confrères qui liront ce billet auront un avis bien tranché (négatif s’entend) sur leur appartenance à ce groupe peu recommandable, mais nul doute aussi que le dernier chez de projet à qui aura été retoquée une matrice de flux ou la dernière MOA qui se sera vu émettre un avis défavorable sur la mise en place d’un traitement auront un avis très différent.

Faites juste pour rire l’exercice de prendre, au cours d’une semaine « classique » de votre métier, l’ensemble des tâches effectuées pour savoir si elles relèvent de l’une des cinq catégories : si vous passez plus de 50 % de votre temps à réaliser des tâches qui émargent dans ces cases, il est temps de vous poser certaines questions. Mais a contrario, si un commentateur extérieur et non partisan relève que non, alors que vos « clients » (MOA, DSI, etc.) pensent que oui, alors c’est peut-être à eux de se poser certaines questions, de sorte que la « bullshiterie » peut aussi bien être directement révélatrice d’un job que d’être en creux révélatrice de ceux autour desquels tourne ce job.

Dans tous les cas, on atteindra la fin du métier de RSSI et de DPO quand il sera indéniable qu’il s’agit d’un bullshit job, à savoir quand on contrôlera des trucs inutiles, quand on n’aura plus de dysfonctionnements à corriger ou de procédures à mettre à jour puisque tout le monde les connaîtra par cœur et les appliquera à la virgule.

C’est pas pour demain.

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.