mardi 28 avril 2020

Gouverner pour mieux se conformer : Data Compliance & Data Governance, l'inévitable rencontre

Par Eliott Mourier, Data Compliance & Data Privacy Manager, Micropole

 

Si la dimension stratégique de la data dans l’économie actuelle n’est plus à démontrer, il est important d'observer que la data fait aussi, ces dernières années, l’objet d’un travail conséquent et continu de normalisation tant au niveau national, qu’européen ou même international.

 

Ces normes, lois, réglementations ou directives s’imposent aux entreprises qui doivent rapidement se mettre en conformité sur un plan juridique et organisationnel certes, mais qui doivent aussi et surtout faire évoluer leurs systèmes d’information en conséquence. Une tâche souvent complexe puisqu'elle induit un dialogue et une forte collaboration des entités juridiques et des responsables IT, lesquels, pour des raisons diverses, ont souvent eu par le passé des difficultés à travailler de concert.

 

RGPD, Lutte contre le blanchiment et le financement du terrorisme (LCB-FT, KYC), IFRS, Solvency 2, MiFID 2, Lutte contre la fraude et la corruption, etc., la liste des textes qui imposent aux acteurs économiques la mise sous gouvernance de leurs données s'étend d'année en année et sur un périmètre de données toujours plus vaste. Données financières et comptables, données personnelles ou de clients et fournisseurs, transactions et versements, c'est presque l'intégralité du patrimoine informationnel de l'entreprise qui doit aujourd'hui tenir compte des exigences réglementaires.

 

Si chaque texte offre son lot d'attentes juridiques et de consignes techniques propre, il n'en reste pas moins que certains principes directeurs en matière de gestion des données se retrouvent globalement de façon systématique dans chacune de ces réglementations orientées data. Des principes qui constituent en réalité le socle de ce que l'on appelle communément la Gouvernance des données (Data Governance) :

 

 

 

1. Data Quality : L'ensemble des méthodes, process, organisation et outils permettant de s'assurer que la data soit complète, fiable, dédoublonnée, normalisée et conforme aux règles métiers et aux standards attendus.

 

2. Data Security : Tous les moyens organisationnels, physiques et logiciels garantissant une sécurisation maximale des données critiques, aussi bien en termes de confidentialité, que d'intégrité ou de disponibilité des données.

 

3. Data Analytics : La capacité à tirer des données brutes des enseignements et de la valeur, notamment dans la production des nombreux reportings réglementaires exigés par nombre de ces textes.

 

4. Data Ownership : La gouvernance des données d'un point de vue humain et organisationnel. L'assurance de pouvoir identifier pour chaque donnée critique des propriétaires (data owners), des sachants opérationnels (data managers) et des contrôleurs de leur qualité (data stewards). C'est aussi la nécessité de pouvoir retracer le cycle de vie de la donnée et de produire l'audit trail de toutes les transformations qu'elle a pu subir.

 

5. Data Management : La bonne gestion des données, aussi bien d'un point de vue documentation - pour s'assurer de partager un même vocabulaire dans l'entreprise -, que d'un point de vue architecture et urbanisation IT - pour être certain de savoir où se trouve la data et comment y accéder de façon sûre et fiable.


Notre conviction chez Micropole, c'est que la « Data Compliance » doit se construire sur une véritable « Data Governance » avec chacune des facettes décrites ci-dessus. Sans cela, et même avec une organisation et des processus de contrôle bien ficelés, le reporting réglementaire, les déclarations de soupçons LCB-FT ou encore la restitution d'un droit d'accès RGPD demeureront incomplets, non qualitatifs, peu fiables, car reposant encore largement sur des tâches manuelles. A l'inverse, la construction de la Data Compliance en lien étroit avec la Data Governance permettra aux entreprises de franchir le pas décisif de l'industrialisation et de l'automatisation de leur conformité, de plus en plus clairement exigée par les régulateurs (ACPR, CNIL, etc.).

 

 

Eliott Mourier, Data Compliance & Data Privacy Manager chez Micropole