Gouvernance de la donnée en PME : rôles et contrôles

·

Gouverner la donnée, ce n'est ni créer un comité ni acheter un catalogue. C'est désigner qui décide des définitions, de la qualité, de l'accès, de la conservation et de l'usage de chaque domaine de données. Une PME peut commencer par les clients, les produits, les fournisseurs et la finance, appliquer des règles mesurables et traiter les incidents à la source.

Objectifs

L'AEPD (autorité espagnole de protection des données) relie la gouvernance de la donnée à la responsabilité proactive et aux principes du RGPD.

Périmètre par domaine

Il est déconseillé de démarrer sur l'ensemble de l'entreprise. Mieux vaut prioriser :

Chaque domaine dispose d'un propriétaire métier (data owner) et d'un steward opérationnel.

Rôles

RôleResponsabilité
SponsorPriorités et ressources
Data ownerDéfinition, accès et qualité
Data stewardRègles et incidents
Dépositaire ITPlateforme et sécurité
DPOVie privée et droits
UtilisateurBon usage et signalement

Il n'est pas nécessaire de créer tous ces postes ; il faut en revanche confier ces fonctions à des personnes identifiées.

Glossaire

Chaque terme critique doit préciser :

« Client actif » doit désigner la même réalité dans l'ERP, le CRM et le BI, ou bien les différences entre systèmes doivent être explicitées.

Catalogue minimal

Un fichier contrôlé peut recenser :

L'outil se choisit après avoir défini le processus, pas avant.

Qualité

Dimensions à surveiller :

Chaque règle est associée à un seuil et à une action. Par exemple : NIF (numéro d'identification fiscale) valide à 99 % ou plus, doublons sous 0,5 %, adresses revues tous les deux ans.

La qualité se corrige à la source, pas uniquement dans le rapport BI.

Gestion des incidents

Le ticket de donnée enregistre :

La récurrence de chaque type d'incident est mesurée.

Accès

L'accès est accordé par rôle et par finalité, avec l'approbation du propriétaire de la donnée. Des revues périodiques, une séparation des tâches et une désactivation automatique en cas de changement de situation de l'utilisateur sont mises en place.

Un accès techniquement possible n'implique pas une autorisation. Les exports et les copies locales doivent également être gouvernés.

Vie privée

Pour les données personnelles, il convient de considérer :

Le DPO conseille, mais le propriétaire de la donnée reste responsable du processus.

Cycle de vie

  1. Création/collecte.
  2. Validation.
  3. Usage.
  4. Partage.
  5. Archivage/blocage.
  6. Suppression.

Chaque phase dispose de ses propres contrôles. Rien n'est conservé « au cas où cela servirait un jour ».

Données de référence

Le golden record et les règles de rapprochement (matching) sont définis. Pour les clients, par exemple :

Les fusions d'enregistrements exigent traçabilité et réversibilité.

Lignage des données

Pour les indicateurs (KPI) et les données critiques, il faut connaître :

Cela permet de corriger les erreurs et d'auditer la donnée avec des garanties.

Fournisseurs et partage de données

Avant de partager des données avec des tiers, il convient d'examiner :

Le Data Governance Act (règlement européen sur la gouvernance des données) encadre des aspects spécifiques du partage de données et vise la confiance et la disponibilité, mais il ne remplace ni le RGPD ni la gouvernance interne de la donnée.

Gouvernance pour les systèmes d'IA

Les systèmes qui exploitent des données pour produire des résultats ont besoin de données dont la provenance, la qualité, les autorisations et les limites sont clairement établies. L'inventaire doit relier chaque modèle ou système aux jeux de données qu'il utilise. Si une donnée change, il doit être possible d'identifier quels modèles et rapports sont concernés par ce changement.

Indicateurs

Il ne suffit pas de mesurer le volume de métadonnées produites.

Comité allégé

Réunion mensuelle de 45 minutes avec cet ordre du jour :

  1. Incidents critiques.
  2. Définitions en attente.
  3. Accès exceptionnels.
  4. Nouveaux projets.
  5. Indicateurs.
  6. Décisions et responsables.

Plan à 90 jours

Jours 1 à 30

Domaines, propriétaires, glossaire et données critiques.

Jours 31 à 60

Règles, catalogue, accès et cycle de vie.

Jours 61 à 90

Incidents, indicateurs, gouvernance pour l'IA et amélioration continue.

Erreurs fréquentes

  1. Commencer par l'outil.
  2. Couvrir toute l'entreprise dès le départ.
  3. Rendre l'IT seule responsable.
  4. Ne pas définir les termes.
  5. Nettoyer les données uniquement dans les rapports.
  6. Ne pas fixer de seuils.
  7. Accorder l'accès par facilité.
  8. Ne pas gouverner les exports.
  9. Conserver les données indéfiniment.
  10. Avoir un comité sans décisions.

Checklist

Questions fréquentes

Faut-il un CDO ?

Pas nécessairement. Un sponsor et des propriétaires de domaine sont en revanche indispensables.

La gouvernance de la donnée est-elle la même chose que le RGPD ?

Non. C'est un concept plus large, qui doit toutefois intégrer les principes et obligations de protection des données.

Quel outil faut-il utiliser ?

Il convient de démarrer avec le minimum permettant de prendre des décisions, de conserver la traçabilité et d'exercer le contrôle ; l'outil est ensuite mis à l'échelle lorsque le volume le justifie.

Sources consultées

Summum Consultoría peut concevoir les rôles, le glossaire, la qualité et la gouvernance de la donnée, en conformité avec le RGPD et avec les systèmes d'IA de l'entreprise.