5 conseils à adopter pour une stratégie de gouvernance des données efficiente

Partage

Obligations réglementaires, organisation pensée autour de la donnée, optimisation des coûts de stockage, valorisation des données… quels que soient les objectifs que votre entreprise poursuit, tout est question de data. De la collecte à la destruction, l’entreprise est responsable des informations et des données qu’elle détient. C’est pourquoi, il est indispensable de définir une stratégie de gouvernance des données. 

Dans cet article, nous allons revenir sur la définition de la gouvernance des données et l’importance d’élaborer une stratégie avant de vous partager 5 conseils d’experts à adopter dans votre stratégie de gouvernance des données. 

La gouvernance des données, c’est quoi ?

La gouvernance des données est l’ensemble des processus, des règles et des normes qui consiste à assurer la collecte, le traitement et la protection des données durant toutes les étapes de vie de la donnée jusqu’à sa destruction (nous parlons alors de cycle de vie des données). Au sein des organisations, la gouvernance des données touche de nombreux domaine : de la sécurité à l’analyse des données.

Gravitent autour de la gestion des données, le RSSI et les fameux intitulés de poste en “data” : DPO (délégué à la protection des données), data scientist, data manager, développeur big data, Data miner ou data analyst, Architect Big Data, Business Intelligence Manager… Et c’est via ces métiers dits du Big Data que la gouvernance des données garantit la bonne exploitation des données par tous les services de l’entreprise. Piloter par les données, l’entreprise, dite data-driven, peut ainsi éclairer ses prises de décision.

Pour Jocelyn Montjaux, Responsable Produit Cybersécurité et DPO chez Tenacy, l’objectif de la gouvernance des données est de « s’assurer que toutes les données manipulées au sein de l’entreprise sont bien collectées, protégées et détruites au terme de leur utilisation. En fonction du type de données, la disponibilité et la confidentialité des données seront différentes. C’est pourquoi la cartographie des données est indispensable pour déterminer les niveaux de protection et de sécurité appropriés. » En effet, chaque entreprise a ses propres besoins en termes de gouvernance des données et de cartographie. Certaines données seront non confidentielles mais devront toujours être disponibles pour le bon fonctionnement de l’organisation. Alors que d’autres données seront des données confidentielles avec un degré de disponibilité inférieure au besoin habituel.

Élaborer une stratégie de gouvernance des données est donc indispensable pour s’assurer de la conformité de son organisation et améliorer ses performances. Découvrons alors les 5 conseils à mettre en place pour établir une stratégie de gouvernance des données efficace et efficiente. 

  • 1. Intégrez les métiers dans la stratégie de gouvernance des données

    Qui est responsable des données ? C’est une question fréquente au sein des organisations lorsqu’il s’agit des données. Beaucoup de métiers et d’acteurs sont parties prenantes. Il est alors important de redéfinir clairement le rôle du RSSI. Il est responsable de la mise en place des moyens de protection (quand le propriétaire des données a identifié des exigences de protection à appliquer) et de contrôler leur bon fonctionnement. Mais il n’est ni responsable des processus de collecte et ni responsable du traitement des données. 

    Centraliser les données, exploiter les données, transformer ses données ou bien encore enrichir vos données… chaque métier produit un volume de données toujours de plus en plus conséquent. Parmi les sources de données, nous pouvons citer les données clients, les données sensibles pour l’organisation (brevets technologiques, décisions stratégiques…) ou les données sensibles au sens décrits par la CNIL (avec notamment les données de santé), les données personnelles, les données de référence, les données collectées, les données métiers, les données opérationnelles, les données brutes ou bien encore les données produites. Dans l’aspect stratégique de la gouvernance des données, les métiers de l’entreprise sont donc parties prenantes. 

    Qui pourrait être mieux placé pour répertorier les données que ceux qui les manipulent au quotidien ? Jocelyn Montjaux souligne l’importance de casser les silos pour qu’une stratégie de gouvernance des données soit efficace : « Il faut traiter les données de l’entreprise entièrement et pas seulement les données IT. Le RSSI ne peut pas être seul dans ce projet. C’est pourquoi, il est important d’associer les métiers dans cette réflexion et de les engager dans la stratégie. » 

    Alors ne faites pas l’impasse sur les métiers et impliquez les différents services de votre organisation pour identifier tous les jeux de données.

  • 2. Réalisez une analyse de risques sur chaque jeu de données

    Sans vouloir faire un jeu de mots, l’analyse de risques est nécessaire à un moment donné dans votre stratégie de gouvernance des données ! Jocelyn Montjaux confirme : « Entre analyse des risques et gouvernance des données, il y a une forme de synergie. Les personnes en charge de la gouvernance des données sont amenées à se poser les mêmes questions que lors d’une analyse des risques, avec un focus porté sur la donnée. »

    Une fois les jeux de données identifiés et une classification déterminée pour décider des mécanismes de protection qui doivent être mis en place, il faut comprendre quelles sont les menaces qui portent sur ces données, en particulier sur la partie confidentialité. L’analyse de données réalisée sous le prisme de leurs risques inhérents pour l’organisation doit alors faire partie de votre stratégie à mettre en place pour gérer les données. 

  • 3. Pensez à inclure l’aspect confidentialité des données

    Généralement, la gouvernance des données est associée à la disponibilité des données. Quelle est la durée maximale d’interruption admissible d’une donnée ? Quel est le délai acceptable avant de récupérer une donnée sans mettre en péril l’activité d’une organisation ? Les notions de temps de récupération (RTO pour Recovery Time Objective) et de point de récupération (RPO ou Recovery Point Objective) sont bien pris en compte lors de la stratégie de la gouvernance des données. Mais le critère de confidentialité d’une donnée ne l’est pas systématiquement. 

    Notre expert Jocelyn Montjaux conseille de ne pas négliger cet aspect : « Ne raisonnez pas uniquement sur la disponibilité des données lorsque vous mettez en place une gouvernance des données. Mais pensez à bien inclure les éléments liés à la confidentialité de vos données. C’est de toute façon requis lorsque l’on parle de la RGPD par exemple, puisque cette réglementation porte principalement sur la partie confidentialité des données. » 

  • 4. Intégrez la notion de cloud souverain dans vos demandes d’hébergement

    Solution Big Data, entrepôt de données (data warehouse ou base de données relationnelle), DMP (plateforme de gestion de données), outil de data visualisation ou outils décisionnels, ERP (système logiciel de planification des ressources), CRM (outil de gestion de la relation client), MDM (gestion des données de référence)… C’est tout un écosystème de gestion de données qui a vu le jour durant la dernière décennie. De plus en plus, les entreprises sont amenées à piloter des services plutôt que de gérer des infrastructures. Le temps de déploiement est généralement plus rapide que celui d’installer l’infrastructure correspondante dans un datacenter et de trouver des personnes pour installer et configurer des serveurs. Alors héberger ses données dans le cloud est donc de plus en plus courant. Aviez-vous en tête que choisir un hébergeur en mode SaaS revient alors à choisir la législation à laquelle seront soumises vos données ? 

    Prenons l’exemple des leaders du marché du cloud computing. Ce sont des acteurs américains soumis au droit US et particulièrement à deux grandes législations : 

    • le Patriot Act qui, à la suite des attentats du 11 septembre 2011, permet aux agences gouvernementales comme le FBI, la NSA ou bien encore la CIA d’obtenir des informations dans le cadre d’une enquête relevant de la sécurité nationale.
    • le Cloud Act qui, depuis 2018, prévoit que les sociétés américaines spécialistes du cloud doivent communiquer les données aux forces de l’ordre ou au gouvernement américain ou étrangers (selon les accords), même si elles sont stockées en dehors des Etats-Unis.

    Or, nous l’avons évoqué en point 3, la confidentialité des données est un aspect fondamental de votre gouvernance. Dans le cadre de l’application de la réglementation générale de la protection des données (RGPD), pour des domaines sensibles ou bien encore pour les collectivités, il est plus facile d’exiger dès le début du projet de travailler avec hébergeur disposant de serveurs en France et a minima en Europe. Cela évite les problèmes de confidentialité des données. L’ANSSI, en collaboration avec la CNIL, propose le référentiel SecNumCloud pour les hébergeurs cloud qui inclut des exigences relatives à la protection des données. La confidentialité de vos données passe aussi par le choix de votre hébergeur cloud !

  • 5. N’oubliez pas que vos sous-traitants gèrent aussi vos données

    La responsabilité de traitement des données est parfois déléguée à des sous-traitants. Avec l’entrée en vigueur de la RGPD, la réglementation sur les données à caractères personnelles s’applique aussi bien au responsable du traitement qu’au sous-traitant (agissant pour le compte de son client). Selon Jocelyn Montjaux, « il faut s’assurer que les fournisseurs incluent bien les exigences du traitement des données. Il faut leur préciser ce qu’il faut faire et contrôler si c’est bien fait ! » 

    Audits, questionnaires, clauses spécifiques dans les contrats avec ses fournisseurs, plan d’assurance sécurité… autant d’outils à utiliser pour vous assurer de la bonne gestion des données par vos sous-traitants.

En adoptant ces 5 conseils, vous êtes parés pour définir efficacement votre stratégie de gouvernance des données et permettre ainsi la sécurité des données de votre entreprise.