Circuit d'approbation (RACI)
Comprenez le cycle brouillon - soumission - revue - approbation qui s'applique a vos registres ROPA, vos EFVP et vos documents officiels, ainsi que les conditions qui peuvent bloquer une approbation.
Pourquoi un circuit d'approbation ?
La Loi 25 demande aux organisations de demontrer leur diligence : qui a documente quoi, qui a valide, et quand. Le circuit d'approbation de Conformaze (modele RACI : Responsable, Approbateur, Consulte, Informe) materialise cette tracabilite. Chaque document strategique — registre ROPA, EFVP, mesure de securite, contrat sous-traitant — passe par un cycle structure avant d'etre considere comme officiel.
Les statuts du cycle
Un document evolue dans cinq statuts : (1) Brouillon — en cours de redaction, modifiable librement par le contributeur. (2) Soumis pour revue — verrouille en ecriture, en attente de l'approbateur. (3) En revision — l'approbateur a commence sa lecture, peut demander des changements. (4) Approuve — version officielle, exportable en PDF watermarke, archive avec horodatage et identite de l'approbateur. (5) Refuse — l'approbateur a documente un motif de refus ; le contributeur reprend a partir du Brouillon.
Soumettre pour approbation
Depuis l'ecran d'edition d'un document, cliquez sur Soumettre pour approbation. Conformaze verifie que les champs obligatoires sont remplis et que les conditions prealables sont satisfaites (par exemple : une EFVP associee a un risque residuel eleve doit etre approuvee avant que son registre ROPA puisse l'etre). Si une condition n'est pas remplie, un message detaille les actions a faire avant la soumission. Une fois soumis, le document est verrouille en ecriture pour toute l'equipe sauf l'approbateur designe.
Important
Une EFVP avec un risque residuel >= 4x4 (score 16+) bloque l'approbation du registre ROPA associe. Vous devez ajouter des mesures d'attenuation ou documenter une acceptation formelle du risque par la direction avant de pouvoir approuver le registre.
Approuver, demander des changements ou refuser
L'approbateur recoit une notification (e-mail + tache dans le tableau de bord) des qu'un document lui est soumis. Depuis l'ecran de revue, il peut : Approuver — le document devient officiel, exportable en PDF watermarke, et un evenement est inscrit dans la piste d'audit ; Demander des changements — il commente les sections a revoir, le document repasse en Brouillon avec les annotations ; Refuser — il documente le motif de refus, le document repasse en Brouillon. Toutes ces actions sont horodatees et conservees indefiniment dans la piste d'audit.
Qui peut approuver ? (matrice RACI)
Les droits d'approbation dependent du type de document et du role applicatif. Par defaut : le RPRP approuve les EFVP, les contrats DPA et les notifications d'incident ; un administrateur de l'organisation approuve les registres ROPA et les politiques internes ; un contributeur peut soumettre mais pas approuver. Vous pouvez personnaliser cette matrice depuis Parametres > Roles applicatifs. Tout changement de matrice est lui-meme audite.
Apres l'approbation : export, archivage et revisions
Une fois approuve, un document est exportable en PDF watermarke incluant le numero de version, la date d'approbation, l'identite de l'approbateur et un hash d'integrite. Cet export constitue votre preuve en cas d'enquete de la CAI. Toute modification ulterieure cree une nouvelle version : le document repasse en Brouillon, conserve son historique complet, et un nouveau cycle d'approbation est requis avant que la nouvelle version devienne officielle. Vous pouvez planifier une revision annuelle automatique pour eviter qu'un document approuve ne devienne obsolete.