Comment j’ai succombé au charme de la… gouvernance des données

C’est d’une histoire éminemment romantique dont je vais vous parler, qui a fait passer celle avec la conformité aux oubliettes…

Vous avez plus besoin de la gouvernance des données qu’elle n’a besoin de vous

Les raisons de vous intéresser à la gouvernance des données

Si le simple fait d’entendre les mots « gouvernance des données » vous emplit de crainte et d’ennui, c’est que vous vous y prenez mal. Il s’agit très probablement du domaine le plus sous-estimé de votre entreprise. En adoptant le bon état d’esprit (et en lisant notre nouvel e-book), un programme de gouvernance des données adapté peut transformer votre approche des données et débloquer toute sa valeur. Cessez donc de considérer la gouvernance des données comme un fardeau de conformité. Voyez-la plutôt comme un catalyseur de changement. N’attendez plus, commencez à succomber au charme de la gouvernance des données et découvrez les nouveautés en matière de conformité européenne.

La gouvernance des données prend la poussière depuis un moment

Il n’est jamais trop tard pour changer d’avis sur la gouvernance des données, et aujourd’hui, trois grandes raisons devraient vous pousser à lui porter un regard nouveau :

1. la complexification des environnements en raison de la croissance des volumes de données à gérer ;
2. le retard pris sur vos concurrents, qui savent déjà exploiter la valeur toujours croissante de leurs données pour découvrir d’innombrables opportunités (à l’instar de ces entreprises innovantes).
3. l’entrée en vigueur de nouvelles régulations régionales, ajoutant un fardeau de conformité à un ensemble d’exigences déjà ingérable.

La directive NIS2 fait peut-être actuellement de la gouvernance des données une affaire pressante, mais elle a toujours été importante. Si vous parvenez à faire de la gouvernance des données une affaire de volonté plutôt que d’obligation (principe qui s’applique également aux rencontres amoureuses), votre programme de gouvernance reposera sur des bases solides qui déboucheront sur des avantages concurrentiels.

Le profil de rencontre de la gouvernance des données est à revoir

La gouvernance des données est souvent perçue comme ennuyeuse. Sans blague… Mais jetez plutôt un œil à ses passe-temps, et vous verrez qu’elle a beaucoup d’atouts : 

• garantir la qualité des données, 
• optimiser l’emplacement et la géographie des données,
• traiter efficacement les données comme un actif,
• éliminer la complexité et les silos de données,
• encourager la réutilisation et le partage des données,
• aider le personnel à mieux comprendre et à faire confiance aux données,
• instaurer une culture où les données sont au cœur de toute l’organisation,
• et bien plus encore : voici la liste complète ici.

Vous voyez ? Les apparences sont trompeuses : la gouvernance des données a beaucoup plus à offrir que de simples frameworks de conformité et obligations de confidentialité, de sécurité des données et juridiques. La gouvernance des données n’est pas un exercice de conformité imposé et chronophage. En réalité, la conformité est un moteur de réussite. En raison des obligations de conformité, les organisations fournissent des ressources, des personnes et du temps, tandis que les sanctions des organismes de réglementation fixent un coût en cas d’approche défaillante. 

Notre devise : la réglementation vous propose un tremplin pour améliorer votre gouvernance des données, utilisez-le. 

Vers la réglementation… et au-delà !*

Chez Splunk, nous affirmons souvent que la sécurité est un problème de données. Jetons donc un œil à la législation en matière de sécurité et de données, en UE et en France, afin de comprendre ce qui nous attend dans le monde de la conformité. Et si cela ne vous suffit pas, consultez nos résumés des réglementations pour l’Allemagne 🇩🇪 et le Royaume-Uni 🇬🇧 dans ces articles (traduits dans les langues des pays concernés). 

Union européenne 🇪🇺

Directive NIS2, loi européenne sur la gouvernance des données et loi sur les données de l’UE

En 2023, les législateurs et les experts de la conformité dans le secteur de la tech connaîtront une année mouvementée ! En plus de devoir respecter les lois en vigueur telles que le RGPD, de nouvelles obligations arrivent : la directive NIS2 (voir notre article dédié) et la loi européenne sur la gouvernance des données. 

Considérée comme la pièce maîtresse de la législation de l’UE en matière de cybersécurité, la directive NIS2 a retenu beaucoup d’attention depuis son adoption officielle l’année dernière. Les obligations figurant dans la directive NIS2 en matière de rapports et de mesures de gestion des risques visent à offrir un meilleur niveau de protection et de résilience dans des secteurs stratégiques, mais aussi à augmenter le nombre d’entités et d’industries concernées. Pour en savoir plus sur NIS2, et connaître l’avis de Splunk, consultez notre article.

Le partage des données devient de plus en plus important dans de nombreux secteurs, notamment la cybersécurité. La loi européenne sur la gouvernance des données, qui entrera en vigueur en septembre 2023, vise à faciliter le partage des données entre les différents secteurs et pays de l’UE, afin que les données puissent être exploitées dans l’intérêt des entreprises et des citoyens européens. Dans le cadre de la stratégie européenne pour les données, le DGA encourage l’échange des données B2B et le concept d’« altruisme en matière de données » : mettre les données à disposition pour le bien commun. 

Loi sur les données

Mais ce n'est pas tout ! L’UE devrait prochainement finaliser les négociations pour la mise en place d’une nouvelle loi sur les données en 2023, dont l’objectif sera d’indiquer qui peut générer de la valeur à partir des données partagées dans le cadre du DGA et dans quelles conditions. Parmi les mesures possibles, les entreprises devront vraisemblablement partager certains ensembles de données avec d’autres entreprises, ainsi qu’avec les pouvoirs publics, en réponse à un « besoin exceptionnel ». On prévoit que le détenteur des données sera rémunéré pour la mise à disposition des données. Une composante essentielle de la loi sur les données est qu’à l’avenir, changer de services (cloud) de traitement des données devrait être plus simple, en raison de l’amélioration de l’interopérabilité et la suppression des frais de transfert. 

Les données et la sécurité sont la priorité des législateurs de l’UE, mais d’autres domaines sont concernés. Voyons ce qu’il en est en France…

France 🇫🇷

La France avait déjà une législation nationale en matière de cybersécurité avant l’adoption de la directive européenne NIS. En effet, la Loi de Programmation Militaire de 2013 a mené à l’identification d’environ 250 opérateurs d’importance vitale (OIV) dans des secteurs jugés critiques “à la survie de la nation” (énergie, transport, eau, banque, santé, etc). Ces OIV doivent s’assurer du bon respect d’un ensemble de règles de sécurité, y compris la mise en place d’un SOC. 

Suite à la transposition de la directive NIS de 2016, la France s’est dotée d’un cadre parallèle et complémentaire pour les opérateurs de services essentiels (OSE), à travers l’adoption d’une loi et de décrets. Les OSE opèrent aussi dans des secteurs critiques mais sont plus nombreux que les OIV. Ils font face à des obligations différentes, en particulier en matière de notification d’incident cyber. Ils doivent en effet déclarer à l’ANSSI les incidents ayant « un impact significatif sur la continuité » de leurs services essentiels. Ils sont aussi soumis à des règles de sécurité décrites dans un arrêté de 2018. Ils doivent notamment mettre en place des mesures pour la protection, la défense et la résilience des systèmes d’information essentiels (SIE). Par exemple, les OSE doivent mettre en œuvre « des dispositifs de détection capables d’identifier [par l’analyse des flux de données] des événements caractéristiques d’un incident de sécurité notamment d’une attaque en cours ou à venir ».  

Suite à l’entrée en vigueur de la directive NIS2 en ce début d’année, la France se prépare à sa transposition, qui devrait notamment mener à une augmentation du nombre d’OSE. Guillaume Poupard, l’ancien chef de l’ANSSI, avait estimé qu’il y en aurait dix fois plus. Le gouvernement et l’ANSSI n’ont pas encore fait d’annonces concrètes, mais des nouveautés sont à prévoir au second semestre 2023. Le cadre législatif relatif aux OIV sera aussi sans doute revu. 

Avec toutes ces réglementations, il n’y a jamais eu de meilleur moment pour revoir votre approche de la conformité et de la gouvernance des données. 

« C’est pas toi, gouvernance des données… c’est moi. »

Lisez notre e-book sur la gouvernance des données pour découvrir si c’est véritablement vous, ou si c’est votre gouvernance des données qui est défaillante.

Nous y abordons :

• les raisons de vous intéresser à la gouvernance des données,
• pourquoi vous avez plus besoin de la gouvernance des données qu’elle n’a besoin de vous, 
• le relooking de la gouvernance des données,
• quelques précisions sur la souveraineté des données,
• les obstacles fréquents à une bonne gouvernance des données,
• les questions à poser immédiatement, comment évaluer votre maturité et les axes d’amélioration,
• pourquoi Splunk et la gouvernance des données sont faits l’un pour l’autre.

N’attendez plus, téléchargez l’e-book ici et jetez-vous à l’eau avec la gouvernance des données.

*Les listes ci-dessus ne sont pas exhaustives et les réglementations sont susceptibles de changer. Consultez régulièrement les sites web gouvernementaux et demandez un avis juridique en cas de besoin.