Field notes

Comment rédiger des politiques que les gens suivent vraiment

Parce que « Conformément aux exigences légales applicables… » n'est pas ainsi que les humains parlent. Vos politiques ne devraient donc pas inclure ce type de formulation.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min de lecture
How to Write Policies People Actually Follow

(Parce que « Conformément aux exigences légales applicables… » n'est pas ainsi que les humains parlent.)

Vous l'avez vu cent fois.La Politique de sécurité de l'information qui vit dans SharePoint et que personne n'a ouverte depuis 2019.La Politique d'utilisation acceptable qui commence par « Il est strictement interdit… » et se termine par un soupir.Le PDF de 12 pages qui vous fait passer l'audit mais ne signifie rien pour les personnes qu'il est censé guider.

Soyons honnêtes : la plupart des politiques échouent non pas parce que les gens s'en fichent, mais parce qu'elles sont rédigées pour les auditeurs, pas pour les humains.

Si votre objectif est que les gens respectent vraiment une politique, et pas seulement qu'ils l'accusent réception une fois par an, voici comment y remédier.

1. Rappelez-vous pourquoi les politiques existent

Une politique n'est pas un artefact de conformité. C'est une boussole décisionnelle.

Elle existe pour que les gens agissent de manière cohérente quand personne ne regarde.

Quand vous démarrez un projet de politique avec la phrase :

« Il nous faut ça pour ISO, »

vous avez déjà perdu.

La bonne posture, c'est :

« Il nous faut ça pour que les gens arrêtent de deviner ce qu'on attend d'eux. »

Ce petit changement (passer d'une logique orientée auditeur à une logique orientée comportement) change tout dans la façon dont vous rédigez, structurez et maintenez vos politiques.

2. Arrêtez d'écrire pour l'auditeur

Si votre première phrase contient « conformément aux obligations légales, réglementaires et contractuelles applicables, » félicitations : vous venez de faire décrocher tout le monde.

Ce n'est pas de la clarté, c'est du camouflage.

Écrivez comme si vous expliquiez la chose à un nouveau collègue le premier jour.

  • Utilisez des phrases courtes.
  • Utilisez des verbes actifs.
  • Dites « vous » ou « nous », pas « l'utilisateur » ou « l'organisation ».

Exemple :

❌ Tous les employés sont tenus de veiller à la protection des informations sensibles conformément aux obligations internes et externes.
✅ Protégez les données sensibles. Ne les partagez pas en dehors de l'entreprise sans autorisation.

Vous voyez ? Toujours conforme. Mais là, ça ressemble à une personne qui parle à une autre personne.

3. Connaissez la différence : Politique ≠ Procédure ≠ Processus

Cette confusion ruine la moitié des projets de documentation.

Voici la décomposition :

NiveauObjectifExemplePolitiqueDéfinit la règle (le « quoi »)« Toute information doit être classifiée avant stockage. »ProcédureExplique comment l'appliquer« Utilisez le modèle de classification à 4 niveaux de l'entreprise. »ProcessusDécrit le flux opérationnel« Le système étiquette automatiquement les fichiers par niveau de classification. »

Arrêtez de fourrer les procédures dans les politiques.

Les politiques indiquent quoi faire, pas comment cliquer sur le bouton.

4. Désignez un responsable ou regardez-la mourir

Chaque politique a besoin d'un nom en regard, une personne responsable de la maintenir vivante.

Sinon, elle se décomposera lentement dans un lecteur partagé jusqu'à ce que le prochain audit ISO la dépoussière.

Gouvernance minimale viable :

  • Responsable de la politique – maintient le contenu à jour.
  • Approbateur – valide et signe.
  • Fréquence de révision – généralement annuelle, ou à chaque changement significatif.

Si une politique ne désigne pas de responsable, c'est un zombie. Elle existe, mais elle n'est pas vivante.

5. Faites-la courte (vraiment courte)

Si votre Politique de sécurité de l'information fait 12 pages, ce n'est pas une politique, c'est un essai.

Visez une page par sujet.

Et pour l'amour de la clarté : pas de voix passive, pas de remplissage, pas de jargon juridique.

Exemple de réécriture rapide :

❌ « L'organisation se réserve le droit de surveiller l'utilisation d'internet par les employés selon ce qu'elle juge approprié. »
✅ « Nous surveillons l'activité réseau pour protéger les systèmes. N'utilisez pas internet d'entreprise à des fins personnelles. »

Une ligne. Claire, transparente, défendable.

6. Donnez-lui un emplacement (et de la visibilité)

Les politiques meurent dans les PDFs.

Donnez-leur vie :

  • Publiez-les sur l'intranet.
  • Intégrez-les à votre parcours d'intégration.
  • Transformez les règles clés en infographies ou en posts Teams.
  • Organisez un court quiz une fois par an.

Il ne s'agit pas de campagnes de sensibilisation, mais de répétition et de visibilité.

On ne peut pas suivre ce qu'on ne voit jamais.

7. Utilisez le cadre de politique en 6 éléments

Voici la structure que nous utilisons en formation et dans les projets réels.

Toute bonne politique doit inclure :

  1. Objet – Pourquoi elle existe.
  2. Champ d'application – À qui et à quoi elle s'applique.
  3. Principes / Règles – Ce qui doit être fait.
  4. Responsabilités – Qui fait quoi.
  5. Exceptions / Application – Comment gérer les écarts.
  6. Références – Procédures, normes ou lignes directrices associées.

C'est tout.

Pas de préambules, pas de jargon. Juste un document propre, auditable et lisible.

👉 Si votre modèle de politique ne comprend pas ces six éléments, recommencez.

8. Rendez-la humaine

Si vous voulez que les gens respectent les politiques, ils doivent s'y reconnaître.

Utilisez leur langage.

Faites preuve d'empathie.

Et rappelez-vous : le « ton » est aussi de la gouvernance.

On peut être sérieux sans être robotique.

On peut être conforme sans être ennuyeux.

Parce qu'en fin de compte, la conformité ne porte pas sur les documents ; elle porte sur les gens qui font ce qu'il faut quand personne ne regarde.

9. Aide-mémoire pour la rédaction de politiques

✅ À faire❌ À éviterÉcrire pour les humainsÉcrire pour les auditeursTenir sur moins d'une pageCopier-coller le texte ISOUtiliser des verbes, pas des nomsSe cacher derrière des « mesures appropriées »Désigner un responsableLaisser ça à « l'organisation »Réviser chaque annéeLa laisser pourrir jusqu'au prochain audit

10. La culture prime sur la conformité

Vous pouvez avoir la meilleure politique du monde ; si les dirigeants l'ignorent, tout le monde en fera autant.

Les politiques n'imposent pas la culture ; elles la reflètent.

Alors avant de publier votre prochaine politique, posez-vous une question :

« Est-ce que je la suivrais moi-même ? »

Si la réponse est « pas vraiment », réécrivez-la.

Si votre politique a besoin d'un agent de police pour fonctionner, ce n'est pas une politique, c'est une menace.

👇 En résumé

Rédiger des politiques que les gens respectent vraiment ne relève pas de la créativité ; cela tient à la clarté, à la responsabilisation et au respect du lecteur.

La bonne nouvelle ? Vous pouvez apprendre la structure, le ton et le format qui fonctionnent.

C'est exactement ce que nous enseignons dans :

Et oui, nous fournissons un Pack de modèles de politiques que nous utilisons dans nos projets de conseil réels.

👉 Contactez l'équipe et rejoignez la prochaine cohorte en direct

Vous voulez recevoir la prochaine note de terrain dans votre boîte mail ?

La newsletter The GRC Brief. Cinq liens et une prise de position courte, chaque lundi à 8h CET. Trois minutes de lecture.