Le premier opus de notre série d’articles consacrés à la gouvernance des données, a livré une définition pragmatique de la démarche, tout en insistant sur son aspect stratégique. Afin de saisir les raccourcis que nous évoquerons au fil de ce nouvel article, nous vous invitons à le lire ou à le relire.
Alors que les entreprises prennent conscience de l’importance de maîtriser et garder sous contrôle leurs données et leurs modes d’exploitation, les gouvernements prennent très au sérieux la protection des informations personnelles. Chaque pays légifère et les évolutions réglementaires sont nombreuses. Désormais, plus de 120 pays disposent d’une loi nationale de protection des données personnelles. Conséquence, 59 % des entreprises déclarent, dans une étude de Deloitte, disposer d’un responsable de la conformité à temps plein.
Exemple de réglementation : Federal Financial Institutions Examination Council (FFIEC), EU GDPR, California CCPA …
Ne nous voilons pas la face, même si le jeu en vaut la chandelle, se conformer à ces diverses réglementations est une contrainte. Mais la conformité peut servir de socle à une gouvernance des données stable et pérenne. Nous vous expliquons ici comment inscrire cette démarche dans une dynamique de création de valeur qui bénéficiera durablement à l’ensemble de l’entreprise.
Gouvernance de données et conformité : une relation gagnant-gagnant
Se mettre en conformité consiste à instaurer un ensemble de règles garantissant le respect des directives, règlements et législations en vigueur dans un pays ou une région.
Le point commun de toutes ces nouvelles législations est d’exiger des organisations une capacité à démontrer, à tout moment, qu’elles maîtrisent les différentes utilisations de leurs données, et que celles-ci soient documentées et transparentes. Ces exigences les exposent à des risques légaux qui peuvent être importants, notamment en termes d’image ou financiers.
Par exemple, le GDPR (Règlement européen sur la protection des données) est composé de 40 articles qui forment autant de lignes directrices de la conformité.
Parmi ceux-ci figurent :
- le respect des droits des utilisateurs (droit d’accès, droit à l’oubli…) ;
- le respect des principes de traitement (limitation de conservation ; traitement licite, loyal et transparent ; intégrité des données) ;
- l’analyse des risques et l’étude d’impact sur la vie privée ;
- la tenue d’un registre des traitements.
La LPD suisse (Loi fédérale sur la protection des données) prévoit de s’appuyer sur ces mêmes principes et la tendance mondiale va dans le même sens.
La mise en conformité représente donc la démarche permettant d’aboutir à la mise en œuvre de solutions et de processus garantissant la prise en charge d’une réglementation.
Certains secteurs d’activité, comme la finance ou la santé, sont soumis à des réglementations particulières. Quel qu’en soit le périmètre, elles relèvent des mêmes principes, et les réponses à apporter répondent aux mêmes mécanismes.
Par exemple, la Banque centrale européenne (BCE) et le Comité de Bâle sur le contrôle bancaire (CBCB) ont publié 14 principes, connus sous la dénomination « BCBS 239 », qui couvrent le domaine de l’évaluation des risques et des actifs. Ils introduisent des principes d’intégrité des données, d’exhaustivité, d’actualité des valeurs, d’exactitude et de surveillance. En complément, l’annexe 3 de la circulaire FINMA (l’Autorité fédérale de surveillance des marchés financiers) impose le concept formel de gestion de la qualité, et la mise en œuvre d’une traçabilité sans faille des données d’ordre financier.
Gouvernance de données et conformité réglementaire : les synergies
1. La gouvernance impulse la transversalité des actions, la mise en conformité en a besoin !
Imaginez une unité métier démarrant un projet de mise en conformité.
Son objectif est de répondre point par point aux contraintes réglementaires. Le projet est mené à son terme, le métier a rempli tous les critères de conformité. Le projet est-il une réussite pour autant?
On peut, dans l’absolu, mener une démarche de mise en conformité par silo de données. Mais, dans ce cas, garantir l’homogénéité des décisions et des actions à l’échelle de l’entreprise relèvera de la gageure. À défaut d’actions fortes et pérennes de la direction, avec le temps, le projet isolé risque de s’enliser, entraînant progressivement une marginalisation des programmes de conformité.
Dans notre exemple, ce qui apparaît comme une réussite à l’échelle de l’unité métier, reste une initiative isolée, donc limitée.
Le facteur risque touchant l’ensemble de l’organisation, la mise en conformité doit bien évidemment être abordée à un niveau global. Ainsi, lors d’un contrôle de conformité réglementaire, il est primordial que l’ensemble de l’entreprise respecte les règles fixées.
La gouvernance des données et la mise en conformité sont des projets d’entreprise. Elles relèvent des mêmes ressorts et besoins de compréhension des informations. Dans un contexte de données en silo, la conformité de leurs usages sera plus cohérente si elle tire parti d’une gouvernance de données globale.
La gouvernance aide à structurer un plan de mise en œuvre, via un système de rôles et de responsabilités qui établit des processus organisationnels et techniques intégrant une dimension stratégique et de continuité, à l’échelle de toute l’entreprise.
2. La gouvernance s’appuie sur des rôles et responsabilités, la mise en conformité en a besoin !
Dans le contexte de la mise en œuvre d’une gestion stratégique des actifs de données, la gouvernance des données est définie comme l’activité qui organise et exerce l’autorité et le contrôle.
Imaginez une campagne marketing nécessitant l’utilisation d’un e-mail.
Au-delà de définir quel est l’e-mail le plus adéquat, nous devons surtout nous assurer que son utilisation est légale. Le processus de contrôle existant identifie plusieurs responsables… Qui peut nous apporter la réponse ?
La gouvernance répond à la traçabilité exigée par la conformité réglementaire, et assure que les actions et les processus définis prennent en compte toutes les dimensions nécessaires.
Elle vise à identifier les rôles et les responsabilités existants, afin de faire ressortir d’éventuelles contradictions ou incohérences. L’objectif est de créer un consensus qui redéfinit les rôles et les responsabilités, tout en leur donnant une cohérence globale.
Dans notre exemple, un processus utilisant la gouvernance aurait défini un seul responsable.
En ajoutant les composantes réglementaires, la conformité devient naturellement une extension ou une spécialisation de la gouvernance des données.
3. La gouvernance implique la formalisation de processus de traitement des données, la mise en conformité en a besoin !
Imaginez, qu’un client sollicite l’effacement de ses données.
Quel(s) processus garanti(ssen)t une réponse efficace à cette requête ?
Certaines données alimentent des cycles de transformation et des cas d’utilisation qui peuvent être très variés au sein de l’entreprise. La conformité a besoin d’identifier tous les cas d’utilisation des données, d’en connaître l’origine et les destinations, y compris à l’extérieur de l’entreprise.
Dans notre exemple, en l’absence de gouvernance, la mise en conformité aboutira à une réponse partielle à la problématique, du fait d’un positionnement stratégique inexistant.
Force est d’admettre qu’un projet de mise une conformité ne peut satisfaire ce type de demande. Pour y répondre, une organisation permanente est nécessaire, avec des processus de traitement de l’information associés. Ces derniers relèvent de la gouvernance, et au risque de nous répéter, s’inscrit dans une logique globale.
4. La gouvernance des données analyse l’existant, la mise en conformité en a besoin !
Le processus de mise en conformité commence. Nous connaissons le détail des législations qui définissent les périmètres d’action. Mais comment puis-je identifier et localiser les données et les traitements, puis évaluer les risques induits ?
En résumé, comment savoir ce qui est nécessaire pour garantir la conformité, sans maîtriser son écosystème de données ? Comment rendre conforme ce que l’on ne connaît pas ?
Il est essentiel d’appréhender le plus précisément possible la répartition des données présentes dans l’ensemble du SI de votre entreprise, en incluant également leurs transformations. La mise en conformité implique de dresser une cartographie détaillée de son écosystème, en identifiant chaque usage, chaque traitement et chaque intervenant.
Or, la gouvernance met en œuvre des processus d’identification et de classification des données, de leur contenu, de leur producteur et de leur utilisation. Parallèlement, elle désigne des responsables de données qui sont les sachants et jouent le rôle d’arbitre. En assurant une logique inter-métier, la gouvernance identifie les tenants et les aboutissants des utilisations, en général à l’aide d’un outil, tel qu’un catalogue de données.
On voit bien que les fondations construites par la gouvernance des données forment le socle sur lequel la mise en conformité doit s’appuyer. Elle peut parfois même orienter certaines activités de la gouvernance, et requérir son arbitrage pour satisfaire à ses obligations.
5. La gouvernance des données évalue les risques, la mise en conformité en a besoin !
Comme le démontrent les exemples précédents, il est primordial d’identifier l’ensemble des contraintes présentant des risques réels. Leurs conséquences pouvant être importantes pour l’ensemble de l’entreprise et même, dans certains cas, altérer le fonctionnement de certaines activités métier.
La priorisation et le management des risques devient donc une dimension essentielle à tout projet de mise en conformité. Or, la méthodologie déployée par la gouvernance de données implique la mise en œuvre de certains outils de sélection des périmètres. Il s’agit d’un excellent support pour intégrer la dimension risque.
Prenons, par exemple, la matrice de priorisation qui, dans le cadre de la gouvernance des données, vise à hiérarchiser les objectifs via un système de score.
Appliquée à un contexte de mise en conformité, ce type de matrice permet de prioriser l’évaluation du risque et de ses conséquences.
L’utilisation de cet outil donne une réalité aux risques et offre aux décideurs la transparence nécessaire à la prise de décisions.
Pour conclure, on comprend désormais qu’une grosse partie de l’activité de mise en conformité repose sur le travail effectué par la gouvernance de données. Si celle-ci n’existe pas, ce travail vous incombe naturellement, mais il est essentiel de ne pas perdre de vue la dimension globale des données. Inversement, si votre démarche de mise en conformité est déjà initiée, vous disposez d’un excellent levier pour mettre en œuvre une gouvernance de données, et donner une dimension plus stratégique à vos actions centrées sur la donnée.
Rendez-vous dans notre prochain article pour découvrir un cas d’usage concret.