French

Dans la première partie de notre série sur la gouvernance des données, nous avions introduit les « règles » de celles-ci : définition, respect et évolution. Dans la deuxième partie, nous allons aborder le second pilier : l’organisation.

L’organisation : définition des rôles et responsabilités des différents acteurs

Première décision à prendre : qui est le responsable des données de l’entreprise ? L’entreprise se doit de désigner un responsable de la gouvernance des données parmi les différents profils liés à la transformation numérique : Chief Data Officer, Chief Digital Officer, Directeur des Systèmes d'Information. Outre la définition des rôles de chacun des employés concernés par les données, ce responsable sera le garant vis-à-vis de la direction de la mise en œuvre et de l’application au quotidien des règles de la gouvernance telles qu’elles ont été définies.

gouvernance des données les acteurs

L’établissement des règles de la gouvernance donne lieu à des procédures et bonnes pratiques mettant en lumière les divers profils et les droits d’accès associés. Au niveau de l’organisation, le responsable du projet de gouvernance doit définir ces droits : leur durée, leur portée et les responsabilités qui en découlent. Par exemple, quels sont les profils habilités à créer les données ? A les modifier ? Les utiliser ? Qu’en est-il du stockage ? Et de la sécurité ? Les données peuvent-elles être transférées hors de l’entreprise ? Dans quelles conditions ? Etc.

Comme vous le voyez, ce point aborde des questions essentielles avec des répercussions sur tous les départements qui doivent suivre les règles établies. Les besoins d’accès ou d’utilisation aux données sont multiples et doivent être organisés globalement. Une fois organisé, le responsable désigné devient le référent auprès de la direction et a un devoir de contrôle afin de s’assurer que les règles sont suivies et l’organisation respectée. Mais nous reviendrons sur ce point dans un prochain article.

Le responsable de la gouvernance est donc celui qui détiendra les clés du « royaume données », il devra connaître les utilisateurs, les utilisations et définir les besoins par profil, sans oublier l’aspect sécurité. En effet, chaque utilisateur aura un accès selon ses besoins et ne devra pas pouvoir atteindre d’autres données que celles dont il a besoin dans le cadre de ses fonctions. Cet aspect doit être renforcé lorsqu’il s’agit de données soumises à des règlementations externes (données à caractère personnel, par exemple soumises à la RGPD) ou des données considérées comme confidentielles.

Les droits attribués aux utilisateurs doivent être contrôlés dans le temps (durée limitée des droits) et dans l’espace (poste de travail). Toute cette organisation doit être réfléchie, formalisée et communiquée afin d’en garantir la bonne exécution d’une part, et d’autre part permettre d’en assurer le contrôle afin de dégager les éventuelles responsabilités en cas de controverse.

Les types d’accès aux données

Les profils d’accès dépendent du niveau auquel les utilisateurs interviennent, et du but de leur utilisation. On peut ainsi établir 3 niveaux distincts : :

  1. Collecte, création, stockage, protection…
  2. Modification, utilisation, réutilisation, archivage…
  3. Analyse, partage, copie, test…

Certaines données n’ont qu’une utilité interne ou ne concerne que les employés (RH), d’autres données sont utilisées à des fins de marketing. Dans tous les cas, les données doivent être clairement répertoriées – difficulté majeure des entreprises qui travaillent en silos - et être protégées des attaques extérieures aussi bien qu’intérieures, sans bloquer le travail des parties concernées. La stratégie de sécurité fait partie intégrante du plan de gouvernance des données, et l’aspect légal des traitements utilisant ces données doit être pris en compte.

Au niveau de l’organisation, le responsable de la gouvernance rencontrera immanquablement la méfiance, voire la défiance, de certaines parties qui verront d’un mauvais œil que l’on régule ainsi leurs fonctions avec des protocoles qu’ils n’ont pas été habitués à suivre, certains peuvent y voir aussi un frein à la compétitivité au sein de leur département. Le changement fait toujours des mécontents, mais il est crucial de faire prendre conscience aux réfractaires que le bénéfice des nouvelles règles pour l’entreprise se révèlera au final salvateur pour tous les collaborateurs également.

La responsabilité est stratégique, le compromis sera parfois nécessaire, mais la vision globale doit l’emporter au bout du compte car il en va de la pérennité de l’organisation. Le responsable de la gouvernance doit ainsi avoir une bonne connaissance du passé de l’entreprise (et de ses acquis) tout en ayant une vision à long terme sur son évolution souhaitée.

Dans la troisième partie de cet article, nous passerons en revue les aspects financiers de la gouvernance des données au sein de l’organisation.

Mots clés: 

Auteur(s): 

Muriel Adamski