French

Nous voici au quatrième point de notre série d’articles sur la gouvernance des données.

Le but du jeu est de s’assurer que :

Si l’on compare la gouvernance des données à la gouvernance d’un état, nous retrouvons les mêmes 3 pouvoirs en place : l’exécutif, le législatif et le judiciaire (voir notre livre blanc Confiance numérique, Gouvernance des données, Gestion des données : La trilogie incontournable pour l’excellence pour en savoir plus).

C’est l’exécutif qui définit les objectifs : qu’est-ce qu’on va pouvoir faire des données ? A quoi servent-elles ?

Le législatif se « contente » d’y mettre des règles, ce n’est pas lui qui va définir les objectifs à poursuivre. Hors, le contrôle doit porter à la fois sur l’observance des règles, mais aussi pouvoir vérifier que ces règles ne vont pas à l’encontre des objectifs de l’organisation.

Cette double fonction du pouvoir exécutif exige donc que :

  1. les objectifs soient connus ;
  2. le(s) responsable(s) de ce contrôle ne se limitent pas à respecter la conformité des règles.

Afin de schématiser quelque peu, on doit pouvoir répondre invariablement à ces 3 questions :

  • Qui fait le contrôle ?
  • Sur quoi intervient-il ?
  • Et quand le faire ?

Question mark image

Le « qui » :

  • Dans le monde de la donnée, les auditeurs internes se rencontrent dans la gestion de la sécurité des données, dans la gestion des documents et du contenu, et dans celle de la qualité des données (voir la liste des rôles de l’organisation DAMA).
  • Parmi les auditeurs externes, nous retrouvons les Autorités Nationales pour ce qui concerne la GDPR (et tout ce qui est « Vie privée »), dans la finance nous avons par exemple le Comité de Bâle sur le contrôle bancaire et l’Autorité des marchés financiers qui font office de réglementation bancaire, et une entreprise peut bien sûr être contrôlée au niveau financier par un auditeur comptable et financier.

En fonction des législations concernées, il y a donc des autorités de contrôle différentes.

schéma gestion des données

Le « quoi » :

Ce point aborde deux volets importants :

  • à savoir l’aspect sécuritaire
  • et la fiabilité.

Un auditeur va vérifier trois éléments au niveau de la sécurité : la protection, la conservation et la continuité des données. Quant au contrôle de la fiabilité des données – fiabilité qui suppose que l’entreprise maîtrise complètement ses données – il va se faire sur quatre éléments (voir schéma ci-dessus) mais concernera surtout l’actualisation dans le cadre de la GDPR (qualité des données). Il est important que les entreprises mettent en place des systèmes de contrôle de la qualité des données, dépendante des applications. Cette mesure permanente de la qualité et de la fiabilité des données, qui n’est pas dans les habitudes des services informatiques jusqu’ici, est le vrai enjeu (voir à ce sujet notre blog Qualité des données - Par où commencer ?).

Le « quand » :

  • un audit externe peut intervenir à tout moment, suite à une plainte notamment.
  • un audit interne interviendra lors d’un dysfonctionnement (bien souvent constaté par les utilisateurs).

Comme vous pouvez le voir, il y a effectivement beaucoup de similitudes entre la gouvernance des données et celle des états, la difficulté de la tâche résidant dans le souci de maîtrise contrôlée, voire policée, et dans le même but final de pérennisation du bon fonctionnement (de l’entreprise ou de l’état).

La cinquième et ultime réflexion portera sur le dernier pilier de la gouvernance des données : les risques liés aux données.

Mots clés: 

Auteur(s): 

Muriel Adamski, Dominique Orban de Xivry