Que sont la gouvernance des données et le RGPD ?

La gouvernance des données est une tactique essentielle dans l’entreprise moderne dans le contexte de la transformation numérique et de la valeur stratégique qu’acquièrent les données commerciales. Si ses données sont de mauvaise qualité, incohérentes, indisponibles ou compromises d’une manière ou d’une autre, l’entreprise perd sa capacité à prendre des décisions commerciales précises en toute confiance. Sans les informations générées par l’analyse des données, les décisions prises par les différentes unités commerciales peuvent se révéler gravement erronées voire néfastes à l’organisation, avec des résultats commerciaux nuisibles.

Prenons l’exemple d’une entreprise du secteur financier. Dans ce type d’entreprise, les données sont l’élément vital absolu. Les investissements et l’argent entrent et sortent des comptes en permanence. L’entreprise doit suivre les données résultantes avec une extrême précision et créer un catalogue de données pour connaître l’emplacement et la valeur de ses actifs. Si les conditions du marché évoluent et que l’entreprise pense que ses investissements valent plus ou moins qu’en réalité, la direction pourrait prendre la mauvaise décision quant à la conservation ou la vente de ces actifs. Une mauvaise gouvernance des données peut également amener une entreprise à publier des rapports financiers inexacts, à prendre de mauvaises décisions commerciales et même à enfreindre les réglementations gouvernementales.

Le rôle de la gouvernance des données est en fin de compte de veiller à ce que les données soient cohérentes, exactes et à jour (par exemple, que le prix d’un produit est le même dans le magasin n° 1 que dans le magasin n° 2, que l’adresse d’un client est la même dans la base de données n° 1 et la base de données n° 2, etc.). Au fil du développement d’une entreprise (notamment par le biais d’acquisitions d’autres sociétés opérant sur différentes plateformes), cette démarche devient de plus en plus complexe mais reste absolument impérative. En outre, les législations émergentes sur la confidentialité des données et la conformité réglementaire, telles que le règlement général sur la protection des données (RGPD) de l’Union européenne et le California Consumer Privacy Act (CCPA), font de la gouvernance efficace des données un processus métier essentiel, non seulement du point de vue des workflows mais aussi de celui de la conformité.

Si la gouvernance des données s’articule autour de politiques et de processus impliquant le big data et les métadonnées, la gestion des données et la gestion des métadonnées ont pour objet la mise en œuvre de ces politiques et processus. Les deux disciplines sont étroitement liées, bien sûr, mais si la gouvernance des données est l’un des nombreux composants de la gestion des données, elle n’est pas le seul.

Plus précisément, la gestion des données comprend un grand nombre de processus et d’outils :

• Déterminer comment et où stocker les données, y compris comment les sauvegarder ou les dupliquer. Cela consiste notamment à appliquer des normes et des politiques d’usage encadrant la durée de conservation des données avant leur archivage permanent.
• appliquer des protocoles de sécurité et de confidentialité des données tels que le chiffrement, l’anonymisation et d’autres systèmes conçus pour protéger les données contre toute compromission, en particulier les informations sensibles des clients. Le respect des nombreuses restrictions décrites par le RGPD, le CCPA et d’autres réglementations émergentes constitue aujourd’hui une part importante des activités de gestion des données ;
• nettoyer les données et appliquer des politiques de qualité afin que les informations soient exactes, à jour et exemptes de redondances. La gouvernance des données peut définir des politiques qui établissent les propriétaires et la qualité des données par la traçabilité et des métriques quantitatives. Une bonne gestion des données a pour mission de toujours respecter ces indicateurs ;
• maîtriser la gestion des données d’un système à l’autre, un impératif absolu dans les entreprises qui ont accumulé différents systèmes de stockage de données incompatibles via des acquisitions. Cela implique la gestion de pipelines de données qui transfèrent et convertissent les données d’un système à un autre, en préservant l’intégrité des données en cours de route.

En revanche, la gouvernance des données cherche à répondre à des questions portant sur les politiques plus larges qui définissent les règles de la gestion des données. Pour prendre un exemple, la gouvernance des données décrit les directives pour le transfert de données vers un autre serveur ou un périphérique de sauvegarde, tandis que la gestion des données les applique.

Un framework de gouvernance des données est un ensemble de politiques et de directives spécifiques régissant le fonctionnement de votre stratégie de gouvernance des données. Ce framework veille à ce que les politiques soient cohérentes et adaptées aux besoins de votre organisation, et il permet à l’entreprise de définir des rôles et des responsabilités dans le traitement des données.

Un framework de gouvernance des données comprend des informations sur les politiques et les normes régissant les questions suivantes :

• les objectifs généraux de la gouvernance des données dans l’organisation, en incluant toute préoccupation particulière de sécurité et de confidentialité ;
• comment l’entreprise crée des données, en tenant compte des méthodes et technologies approuvées ;
• technologies autorisées pour la gestion des données, et structures de données compatibles et acceptables ;
• méthodologies acceptables pour la gestion, le transfert et la suppression des données de l’entreprise ;
• indicateurs permettant de superviser le bon déroulement de toutes les activités ci-dessus dans le temps.

L’objectif primordial d’un framework de gouvernance des données est de fournir aux responsables des données d’une organisation de la business intelligence et d’autres outils, afin de comprendre la valeur des données et des sources tout en établissant les règles de leur gestion. En adhérant à ce cadre, votre organisation pourra améliorer la qualité globale de ses données et, au fil du temps, la capacité de votre entreprise à prendre des décisions stratégiques.

Chaque entreprise a des besoins et des objectifs différents en matière de gouvernance des données, mais ces directives générales vous aideront à développer et établir des bonnes pratiques.

• Envisagez la gouvernance des données comme un processus itératif à long terme : il n’est pas nécessaire de créer immédiatement un framework de gouvernance des données avec un plan détaillé régissant l’architecture des données. Commencez plutôt par un sous-ensemble de l’entreprise : l’entrepôt de données d’un service, ou même une seule base de données. Vous pourrez ensuite développer sur cette base. Un processus itératif vous permet de déterminer quels outils de gouvernance des données, tactiques et membres du personnel sont les mieux équipés pour vous aider à développer votre framework de gouvernance des données plus largement au fil du temps.
• Obtenez un appui au plus haut niveau : expliquez pourquoi la gouvernance des données est essentielle en démontrant clairement ses avantages pour l’entreprise. Les premières métriques sur les flux de données peuvent être utiles pour définir les attentes et consolider vos arguments.
• Établissez des métriques : la qualité des données est essentielle, mais comment la mesurer ? Quels sont les indicateurs stratégiques ? Il est important d’établir ces métriques dès le départ et de les suivre au fil du temps afin d’obtenir une mesure cohérente de l’amélioration et la valeur commerciale de votre programme de gouvernance des données.
• Prévoyez des contrôles, des arbitrages et une transparence totale : la gouvernance des données ne réussira qu’avec une forte responsabilisation. Il faut donc trouver le juste équilibre entre ceux qui créent et utilisent les données, et ceux qui les gèrent.
• Documentez tout : la gouvernance des données implique souvent de créer encore plus de données, généralement à des fins de documentation. Consignez soigneusement vos définitions et cadres de données, vos domaines, vos politiques et vos processus, ainsi que les personnes qui détiennent les droits de décision et les responsabilités sur tout ce qui précède. Un solide programme de gouvernance des données ne laissera aucune place à l’ambiguïté sur toutes les facettes du projet.

Le règlement général sur la protection des données de l’Union européenne (RGPD), créé pour contrôler la façon dont les entreprises utilisent les données personnelles des clients et des employés, est devenu exécutoire en 2018. Il reste une source de grande complexité pour les entreprises qui s’efforcent de maintenir leur conformité.

Le RGPD tient les entreprises responsables de leurs données, en particulier en cas de violation et de compromission, en appliquant des directives extrêmement rigoureuses. De ce fait, les organisations qui interagissent d’une quelconque manière avec des citoyens de l’UE doivent connaître parfaitement les mandats du RGPD, qui incluent l’élaboration d’un programme solide de gouvernance des données pour affirmer la conformité. Dans le cadre de leur programme de gouvernance des données, les entreprises doivent comprendre les différents types d’informations qu’elles collectent sur les clients et savoir l’endroit où elles stockent ces informations, qui en sont les propriétaires, quels sont les niveaux appropriés d’accès, comment les données sont sécurisées et quels processus peuvent permettre de les supprimer si nécessaire.

Le « droit à l’oubli » défini par le RGPD exige également qu’une organisation supprime toute information personnelle sur un utilisateur final qui en ferait la demande. Sans un solide programme de gouvernance des données en place, se conformer à ce type de législation peut être extrêmement difficile.

Avec les événements récents, comme la pandémie de COVID-19 et l’adoption du RGPD, et d’autres législations sur la confidentialité des données, la gouvernance des données est devenue un impératif de premier plan. Nous abordons ici les grandes tendances émergentes en matière de gouvernance des données.

• Les données non structurées ont le vent en poupe : l’explosion des données non structurées (informations contenues dans des documents, des images ou des vidéos disséminées dans toute l’entreprise) représente l’un des plus grands défis pour les entreprises aujourd’hui. Et la prolifération du contenu devrait s’aggraver, augmentant les risques et les dépenses.
• Le travail à distance crée des îlots de données sensibles : le passage soudain au télétravail de légions d’employés crée de nouveaux problèmes de sécurité, en grande partie parce qu’ils utilisent des appareils personnels sur des réseaux domestiques.
• L’intelligence artificielle (IA) fait son entrée dans la gestion des données : les outils émergents d’intelligence artificielle et de machine learning peuvent être utilisés pour identifier les documents contenant des données sensibles, souvent là où on ne les attend pas. Ces outils peuvent ensuite utiliser des technologies d’automatisation pour masquer ou chiffrer les informations contenues dans ces documents, ce qui permet de sécuriser les données de l’entreprise sans supervision manuelle, souvent en temps réel.
• La qualité des données est de plus en plus évaluée à la source : pourquoi nettoyer les données après les avoir reçues alors que vous pouvez garantir leur qualité dès le départ ? De nombreuses stratégies récentes visent à favoriser la collaboration entre les entreprises et leurs partenaires pour produire des données clients exactes et synchronisées sur différents canaux.

Le cloud computing a un impact sur la gouvernance des données de la même manière qu’il affecte l’ensemble de l’environnement informatique. Il influe donc sur la gouvernance des données à plusieurs égards :

• le cloud crée un risque de duplication de données et d’incohérences. Cette probabilité augmente lorsque les données sont stockées à la fois dans des systèmes sur site et dans le cloud, voire dans plusieurs systèmes cloud ;
• le cloud change la façon dont l’entreprise doit penser ses politiques de sécurité et de données. Les services cloud d’aujourd’hui sont largement considérés comme sûrs et même plus sûrs que les systèmes de stockage locaux, mais les entreprises doivent procéder à une analyse complète des risques de tous les fournisseurs potentiels avant de leur confier des données d’entreprise ;
• le cloud complique les exigences régionales en matière de données. Certaines législations comme le RGPD définissent la sécurité et d’autres politiques en fonction de l’emplacement du stockage des données. Lorsque les données migrent vers le cloud, la gestion de l’emplacement de vos données devient naturellement plus complexe.

Certes, le cloud offre de nombreux avantages aux données d’entreprise : accès plus facile, performances souvent supérieures et possibilité d’exploiter des outils basés sur le cloud, comme la RPA et l’IA, pour traiter les données. Une fois qu’une organisation a surmonté les défis de la migration vers un environnement cloud, ces avantages sont à portée de main.

Dans bien des cas, lorsqu’une organisation décide de créer un programme de gouvernance des données, elle découvre avec surprise qu’elle en a déjà une ébauche. Si vous avez des politiques sur la conservation des enregistrements, une obligation de chiffrer les données des clients ou des restrictions portant sur le stockage des informations d’entreprise sur les ordinateurs personnels et les appareils mobiles, vous avez déjà de nombreuses cartes en main pour créer un cadre de gouvernance des données.

Lorsque vous êtes prêt à lancer un programme formel de gouvernance des données, la première étape consiste à déterminer les écueils de vos politiques préliminaires et à travailler pour y remédier. Votre équipe de gouvernance des données doit choisir les projets qui ont la plus grande valeur (une base de données clients sensibles à sécuriser, par exemple) et ceux qui peuvent être achevés assez rapidement. Avec quelques petits projets à votre actif, vous pouvez passer à des problématiques plus larges au sein de l’organisation.

Chaque projet de gouvernance des données, petit ou grand, doit avoir pour objectif de protéger l’exactitude, l’intégrité et la sécurité des données. Choisissez les plateformes appropriées pour chaque source de données et définissez des règles encadrant les accès.

Chaque projet de gouvernance devra également tenir compte du risque de perte ou de violation de données, ce qui implique souvent d’inviter diverses parties prenantes à la discussion. Par exemple, le service IT ne peut pas définir de règles de gouvernance sur une base de données financière sans impliquer étroitement le service correspondant.

Enfin, rappelez-vous que la gouvernance des données n’est pas une activité ponctuelle et que tout programme de gouvernance des données nécessite d’être entretenu, testé et affiné sur le long terme.

Les risques d’une mauvaise gouvernance des données sont nombreux : ils vont du simple faux pas embarrassant avec des clients aux pertes financières dues aux sanctions légales imposées en cas de violation des réglementations. La gouvernance des données semble souvent intimidante mais elle n’a pas forcément à l’être. Même en partant de zéro, quelques étapes simples vous aideront à mettre en place un cadre offrant davantage de sécurité et de conformité et garantissant une meilleure qualité globale à vos données.

Les données de votre entreprise sont un actif stratégique. La gouvernance des données est la clé pour donner à votre entreprise les outils dont elle a besoin pour les traiter comme telles.