Gouvernance des données, contrainte ou opportunité ?

Mis en avant

Avec l’entrée en vigueur prochaine des nouvelles dispositions européennes en matière de traitement des données, la Data Governance est devenue plus que jamais une notion incontournable pour toutes les organisations, dont les collectivités locales.

Cet article a pour objectif de vous convaincre de l’intérêt de prendre en compte de manière sérieuse la gestion des données au sein de votre organisation et de dresser les pistes de réflexion pour aller plus loin dans la démarche de mise en place d’une véritable gouvernance des données.

Donnée, information, gouvernance ?

Tout d’abord, quelques définitions pour rappeler le contexte.

La donnée (data) est une mesure brute, ne permettant pas la prise de décision. L’information par contre correspond à la corrélation de plusieurs données permettant la compréhension d’un phénomène et pouvant consolider la prise de décision.

donee_info_lowLa gouvernance des données (ou de l’information) est l’ensemble des mesures, règles et procédures mises en place au sein d’une organisation, sur le plan stratégique, pour encadrer la collecte et le traitement de ces données (ou informations).

Il s’agit de mettre en place les processus qui établiront un équilibre entre la profitabilité des données collectées et le respect des règles permettant d’établir un bon niveau de confiance notamment auprès des clients et des autorités.

A l’heure où les entreprises collectent et analysent de plus en plus de données et avec l’avènement des smart-cities, ce concept prend davantage d’importance. Et pourtant les sondages réalisés au sein du monde économique démontrent que la plupart des entreprises sont à la traîne en la matière. Au Royaume-Uni par exemple moins de 30% des sondés ont une stratégie de Data Governance.

Pour quels bénéfices ?

En général, les organisations disposant d’une gouvernance des données sont conscientes que la performance et la qualité de la gestion de ce patrimoine sont la clé de voûte de la majorité des projets technologiques à venir.

En adoptant les bons fondamentaux, la gouvernance des données va contribuer positivement à la performance de l’organisation grâce à l’amélioration de la qualité des données, à l’amélioration de l’innovation dans les services et les affaires, à l’amélioration de la prise de décisions et à la minimisation des conséquences indésirables.

Par ailleurs, les organisations offrant une bonne gouvernance des données sont souvent perçues comme étant digne de confiance, capables de protéger la propriété intellectuelle et plus à même de dissuader les pirates et activités frauduleuses. Elles disposent en outre d’une base solide pour se conformer plus facilement aux régulations telles que le RGPD.

Lecture : rapport « Enjeux business des données », CIGREF, Octobre 2014.

Par contre, une insuffisance de gouvernance des données peut exposer une organisation à une perte de confidentialité des données (personnelles, commerciales, stratégiques), à une perte de confiance des parties intéressées, à une perte d’efficience des fonctions organisationnelles dues à l’absence de données fiables et enfin à des risques de sanctions légales.

N’oublions pas que le RGPD entrera en vigueur le 25 mai 2018 dans toute l’Union européenne. Les organisations qui ne respecteront pas les règles pourraient être soumises à des sanctions pouvant s’élever jusqu’à 4% de leur chiffre d’affaires annuel.

Mettre en place un standard ?

Les standards applicables sont ceux de la gouvernance de l’IT : ISO 38500 (38505), ITIL (bonnes pratiques de gestion IT) et COBIT (cadre de la gouvernance). On peut également ajouter l’ISO 27001 relatif à la sécurité des donnés.

Le respect de ces principes :

  • rassure les intervenants quant à l’organisation de leurs données,
  • oriente les organes directeurs sur l’utilisation et la protection des données au sein de l’organisation,
  • instaure un vocabulaire de gouvernance des données facilitant la compréhension entre les intervenants
  • conduit à la construction d’une culture de données.

Les questions, les outils

Pour assurer une gouvernance pertinente, il est essentiel de définir le « Pourquoi » (pour quels besoins) ? Il s’agit de se poser les questions essentielles préalables à l’orientation de la démarche.

  • Quelles sont nos données métiers (internes, externes) et stratégiques ?
  • Quelles sont les données intègres, valides ou en vigueur ?
  • Quelles données archiver ? Quelles données rapprocher ?

Pour aller plus loin, il peut être utile de cartographier les flux de données, par exemple via la méthode OBASHI : identifier les processus (fonction, département) et leurs responsables, ainsi que les processus métier et les applications IT qui les soutiennent, définir les systèmes et plateformes sur lesquels les applications fonctionnent, dresser l’inventaire des serveurs physiques et des réseaux, etc.

Cette cartographie doit conduire à dresser le cycle de vie des données.

Déterminer la valeur des données

Ensuite, pour adopter une bonne attitude vis-à-vis des données, il faut pouvoir évaluer leur valeur. La grille d’analyse suivante peut vous y aider.

Sécurité

La Data Governance implique de mettre en place une politique de sécurisation pour assurer la continuité de la disponibilité, de l’utilisabilité et de l’intégrité des données.

Les mécanismes de sécurisation doivent intervenir à toutes les phases de traitement (collecte, stockage, rapportage, décision, distribution, déclassement) pour contrôler les accès, tracer l’activité, prévoir l’anonymisation, etc.

  • Quelles données sécuriser ?
  • Comment autoriser la distribution d’informations ?
  • Quels contrôles mettre en place ?
  • Comment gérer les violations de données ?
  • Comment réduire les vulnérabilités ?
  • Comment assurer la confidentialité ?

Analyse et gestion des risques

En France, la Commission Nationale de l’Informatique et des Libertés (CNIL), invite, si des traitements de données personnelles sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes, de mener, pour chacun des traitements, une analyse d’impact sur la protection des données (Data Protection Impact Assessment).

Pour soutenir cet examen, elle a élaboré une méthode et un catalogue de bonnes pratiques qui aident à mener une évaluation de ces risques et déterminer les mesures proportionnées aux risques identifiés.

Un logiciel PIA permet la formalisation de cette analyse.  Disponible ICI

L’objectif est de gérer adéquatement ces risques en prenant des mesures proportionnées.

  • Quel risque acceptons-nous de prendre par rapport à ces données ?
  • Quel est le niveau de sécurité le plus adéquat en fonction des risques évalués ?
  • Quelles ressources allouer pour chaque processus en fonction de la tolérance au risque ?

Maturité, auto-évaluation et audit

Le CIGREF a construit un outil d’auto évaluation pour identifier les zones de maturité et de progrès d’une organisation en matière de gestion des données. A partir des résultats, présentés sous forme de radar, on peut facilement identifier les zones de maturité et de progrès, et le cas échéant définir et mettre en place un plan d’amélioration de la gestion des données au sein de son organisation.

maturite

L’outil est disponible ICI au format EXCELL

Par la suite, il est possible d’évaluer notre progression, notamment grâce aux processus d’audit et de revue interne des systèmes qui s’inscrivent dans une démarche d’amélioration continue (« roue de Deming », Plan-Do-Check-Act).

L’objectif est de garantir que la gouvernance des données est mise en œuvre conformément aux politiques et procédures organisationnelles (revue indépendante, conformité légale, conformité technique).

Abonnez-vous à la newsletter pour être tenu informé de l’actualité en la matière !

EU Data Innovation Day 2018, le 25 avril à Bruxelles : « Building a Social Contract for Data »

Cette journée a pour thème la question de la plus-value sociétale du partage de données.
DID-2018

Il s’agit notamment de réfléchir aux droits et devoirs de chacun et à la marge de manœuvre des décideurs en vue d’un partage responsable des données.

Location: Résidence Palace – International Press Centre, Polak Room, Rue de la Loi 155, 1040 Brussels

Panel 1: The Societal Value of Health Data

Panel 2: Using Data to Create a More Efficient and Resilient Grid

Panel 3: The Role of Data in Free Online Content

Une organisation du Center for Data innovation.

Big data … et protection des données personnelles

La gestion des données est très certainement une composante clé de la réussite des territoires intelligents, mais la prudence est de mise. Un petit tour d’horizon de cette question sensible.

En analysant et utilisant davantage les données en leur possession, les gestionnaires vont faire des économies et rendre nos territoires plus sains, plus agréables et plus vivables.

Les élus et gestionnaires auront une meilleure connaissance des besoins des citoyens, des moyens disponibles, des services rendus par les prestataires privés et aussi de l’efficience de leurs services, le tout grâce à des indicateurs chiffrés et, si possible, en temps réel.

La gestion des données est donc l’outil indispensable pour arrêter de « naviguer à vue ».

Quelle stratégie pour ces données ?

Lire la suite