Avec l’entrée en vigueur prochaine des nouvelles dispositions européennes en matière de traitement des données, la Data Governance est devenue plus que jamais une notion incontournable pour toutes les organisations, dont les collectivités locales.
Cet article a pour objectif de vous convaincre de l’intérêt de prendre en compte de manière sérieuse la gestion des données au sein de votre organisation et de dresser les pistes de réflexion pour aller plus loin dans la démarche de mise en place d’une véritable gouvernance des données.
Donnée, information, gouvernance ?
Tout d’abord, quelques définitions pour rappeler le contexte.
La donnée (data) est une mesure brute, ne permettant pas la prise de décision. L’information par contre correspond à la corrélation de plusieurs données permettant la compréhension d’un phénomène et pouvant consolider la prise de décision.
La gouvernance des données (ou de l’information) est l’ensemble des mesures, règles et procédures mises en place au sein d’une organisation, sur le plan stratégique, pour encadrer la collecte et le traitement de ces données (ou informations).
Il s’agit de mettre en place les processus qui établiront un équilibre entre la profitabilité des données collectées et le respect des règles permettant d’établir un bon niveau de confiance notamment auprès des clients et des autorités.
A l’heure où les entreprises collectent et analysent de plus en plus de données et avec l’avènement des smart-cities, ce concept prend davantage d’importance. Et pourtant les sondages réalisés au sein du monde économique démontrent que la plupart des entreprises sont à la traîne en la matière. Au Royaume-Uni par exemple moins de 30% des sondés ont une stratégie de Data Governance.
Pour quels bénéfices ?
En général, les organisations disposant d’une gouvernance des données sont conscientes que la performance et la qualité de la gestion de ce patrimoine sont la clé de voûte de la majorité des projets technologiques à venir.
En adoptant les bons fondamentaux, la gouvernance des données va contribuer positivement à la performance de l’organisation grâce à l’amélioration de la qualité des données, à l’amélioration de l’innovation dans les services et les affaires, à l’amélioration de la prise de décisions et à la minimisation des conséquences indésirables.
Par ailleurs, les organisations offrant une bonne gouvernance des données sont souvent perçues comme étant digne de confiance, capables de protéger la propriété intellectuelle et plus à même de dissuader les pirates et activités frauduleuses. Elles disposent en outre d’une base solide pour se conformer plus facilement aux régulations telles que le RGPD.
Lecture : rapport « Enjeux business des données », CIGREF, Octobre 2014.
Par contre, une insuffisance de gouvernance des données peut exposer une organisation à une perte de confidentialité des données (personnelles, commerciales, stratégiques), à une perte de confiance des parties intéressées, à une perte d’efficience des fonctions organisationnelles dues à l’absence de données fiables et enfin à des risques de sanctions légales.
N’oublions pas que le RGPD entrera en vigueur le 25 mai 2018 dans toute l’Union européenne. Les organisations qui ne respecteront pas les règles pourraient être soumises à des sanctions pouvant s’élever jusqu’à 4% de leur chiffre d’affaires annuel.
Mettre en place un standard ?
Les standards applicables sont ceux de la gouvernance de l’IT : ISO 38500 (38505), ITIL (bonnes pratiques de gestion IT) et COBIT (cadre de la gouvernance). On peut également ajouter l’ISO 27001 relatif à la sécurité des donnés.
Le respect de ces principes :
- rassure les intervenants quant à l’organisation de leurs données,
- oriente les organes directeurs sur l’utilisation et la protection des données au sein de l’organisation,
- instaure un vocabulaire de gouvernance des données facilitant la compréhension entre les intervenants
- conduit à la construction d’une culture de données.
Les questions, les outils
Pour assurer une gouvernance pertinente, il est essentiel de définir le « Pourquoi » (pour quels besoins) ? Il s’agit de se poser les questions essentielles préalables à l’orientation de la démarche.
- Quelles sont nos données métiers (internes, externes) et stratégiques ?
- Quelles sont les données intègres, valides ou en vigueur ?
- Quelles données archiver ? Quelles données rapprocher ?
Pour aller plus loin, il peut être utile de cartographier les flux de données, par exemple via la méthode OBASHI : identifier les processus (fonction, département) et leurs responsables, ainsi que les processus métier et les applications IT qui les soutiennent, définir les systèmes et plateformes sur lesquels les applications fonctionnent, dresser l’inventaire des serveurs physiques et des réseaux, etc.
Cette cartographie doit conduire à dresser le cycle de vie des données.
Déterminer la valeur des données
Ensuite, pour adopter une bonne attitude vis-à-vis des données, il faut pouvoir évaluer leur valeur. La grille d’analyse suivante peut vous y aider.
Sécurité
La Data Governance implique de mettre en place une politique de sécurisation pour assurer la continuité de la disponibilité, de l’utilisabilité et de l’intégrité des données.
Les mécanismes de sécurisation doivent intervenir à toutes les phases de traitement (collecte, stockage, rapportage, décision, distribution, déclassement) pour contrôler les accès, tracer l’activité, prévoir l’anonymisation, etc.
- Quelles données sécuriser ?
- Comment autoriser la distribution d’informations ?
- Quels contrôles mettre en place ?
- Comment gérer les violations de données ?
- Comment réduire les vulnérabilités ?
- Comment assurer la confidentialité ?
Analyse et gestion des risques
En France, la Commission Nationale de l’Informatique et des Libertés (CNIL), invite, si des traitements de données personnelles sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes, de mener, pour chacun des traitements, une analyse d’impact sur la protection des données (Data Protection Impact Assessment).
Pour soutenir cet examen, elle a élaboré une méthode et un catalogue de bonnes pratiques qui aident à mener une évaluation de ces risques et déterminer les mesures proportionnées aux risques identifiés.
Un logiciel PIA permet la formalisation de cette analyse. Disponible ICI
L’objectif est de gérer adéquatement ces risques en prenant des mesures proportionnées.
- Quel risque acceptons-nous de prendre par rapport à ces données ?
- Quel est le niveau de sécurité le plus adéquat en fonction des risques évalués ?
- Quelles ressources allouer pour chaque processus en fonction de la tolérance au risque ?
Maturité, auto-évaluation et audit
Le CIGREF a construit un outil d’auto évaluation pour identifier les zones de maturité et de progrès d’une organisation en matière de gestion des données. A partir des résultats, présentés sous forme de radar, on peut facilement identifier les zones de maturité et de progrès, et le cas échéant définir et mettre en place un plan d’amélioration de la gestion des données au sein de son organisation.
L’outil est disponible ICI au format EXCELL
Par la suite, il est possible d’évaluer notre progression, notamment grâce aux processus d’audit et de revue interne des systèmes qui s’inscrivent dans une démarche d’amélioration continue (« roue de Deming », Plan-Do-Check-Act).
L’objectif est de garantir que la gouvernance des données est mise en œuvre conformément aux politiques et procédures organisationnelles (revue indépendante, conformité légale, conformité technique).
Abonnez-vous à la newsletter pour être tenu informé de l’actualité en la matière !
Be-SmartCity 