Ceci est le premier épisode de notre série « Zeenea Effective Data Governance Framework ».
Divisée en trois parties , cette première partie se concentrera sur l’Alignement :
- Comprendre le contexte
- Trouver les bonnes personnes
- Préparer un plan d’action dans votre transformation data-driven.
Ce premier épisode vous donnera les clés pour évaluer la maturité de votre gouvernance et culture des données.
La Data : le pétrole du 21ème siècle
Avec l’émergence des GAFA ces dernières années (Google, Apple, Facebook et Amazon), la donnée est unanimement devenue un actif incontournable pour toute stratégie d’entreprise.
Son importance a été amplifiée par l’arrivée de nouveaux services et usages du digital qui ont bouleversé notre quotidien. Les entreprises “traditionnelles” qui prennent du retard dans cette révolution data sont inévitablement placées dans une situation de désavantage concurrentiel !
Et personne n’est à l’abri ! Toutes les organisations et tous les secteurs d’activité sont impacté par le nouveau rôle que les données représentent en tant qu’actif stratégique. La plupart des entreprises ont désormais compris que pour suivre les startups innovantes et ces puissants Géants du Web, elles doivent dorénavant valoriser leurs données.
Cette évolution du paysage digital a conduit à des transformations digitales généralisées dans le monde entier, avec pour objectif de devenir « Data-Driven ».
En route vers une entreprise data-driven
Pour devenir une entreprise data-driven, il faut considérer les données comme un actif stratégique qu’il faut avant tout identifier, maîtriser, comprendre puis exploiter.
L’approche data-driven est un moyen de collecter, de garder et de maintenir un patrimoine de données de la plus haute qualité tout en s’attaquant aux nouveaux problèmes de sécurité des données qui sont de plus en plus nombreux. Aujourd’hui, c’est l’enjeu des utilisateurs data. Ils doivent avoir accès à des données précises, intelligibles, complètes et cohérentes afin de :
- Détecter des opportunités business potentielles
- De réduire les délais de commercialisation
- De se conformer aux réglementations.
La route vers la Terre Promise de l’innovation data est semée d’embûches !
Les technologies legacy, souvent très silotées avec une connaissance tribale, sont rarement de bon augure pour la qualité des données.
L’avènement du Big Data a également renforcé la perception, selon laquelle le cycle de vie de toute donnée doit être maîtrisé, afin de pouvoir vous frayer un chemin dans le volume massif des données stockées au sein de l’entreprise. C’est un défi qui englobe de nombreux rôles, responsabilités, processus et outils.
La mise en œuvre d’une gouvernance des données est un chapitre que toute entreprise data-driven doit écrire.
Cependant, nous remarquons que les diverses approches de la gouvernance des données de ces dernières années n’ont pas tenu leurs promesses. En effet, cela a été confirmé par notre propre expérience de terrain, ainsi que des nombreuses discussions avec les principaux acteurs de données.
Chez Zeenea, nous croyons solidement ou vigoureusement à l’adoption d’une approche différente pour maximiser les chances de votre succès. Nos équipes de Professional Services et de Customer Success fournissent à nos clients l’expertise dont ils ont besoin pour mettre en place une gouvernance des données efficace, par le biais d’une approche plus pragmatique et itérative qui s’adapte à un environnement en constante évolution.
Nous l’appelons le Zeenea Effective Data Governance Framework.
Nos convictions sur la data
La prise de conscience de l’importance des données est un long chemin que chaque entreprise doit parcourir. Mais chaque parcours est différent : la maturité des données de l’entreprise varie continuellement et pendant que les attentes et obligations peuvent également varier considérablement.
La réussite globale sera le fruit d’une succession de petites victoires au fil du temps.
Nous avons organisé notre cadre en 3 étapes majeures :
Saison 1 : Alignement
- RComprendre le contexte
- RTrouver les bonnes personnes
- RSe préparer pour passer à l'action
S01 E01
Évaluer la maturité de vos données
S01 E02
Spécifier votre Stratégie Data
S01 E03
Obtenir du soutien
S01 E04
Réaliser une analyse SWOT
Saison 2 : Adaptation
- RCréer vos personas
- RIdentifier les rôles majeurs
- RDéfinir vos objectifs
S02 E01
Organiser votre Data Office
S02 E02
Organiser une Communauté Data
S02 E03
Sensibiliser votre entreprise aux données
Saison 3 : La mise en place d’une gestion des métadonnées à travers un data catalog
- RConnaître ses données
- RItération de votre data catalog
S03 E01
L’importance des métadonnées
S03 E02
6 semaines pour démarrer une gouvernance des données
Nous avons décidé de vous élaborer un cadre de gouvernance des données efficace en 3 saisons. Chaque semaine, nous publierons un nouvel épisode.
Saison 1, Épisode 1 : Alignement
Cette première saison est conçue pour aider votre organisation à s’aligner sur votre stratégie data en assurant la compréhension du contexte global.
Ce qui suit vous aidera, ainsi que tous les sponsors clés, à identifier les bonnes parties prenantes dès le départ. Cette première itération vous aidera à évaluer la maturité des données de votre organisation sous différents angles.
Sous la forme d’un atelier, notre audit de maturité de la gouvernance des données vous aidera à dessiner, à travers un diagramme de Kiviat, vos scores comme indiqué ci-dessous :
Audit de maturité des données : les questions à se poser
Autorité compétente pour la prise de décision et la supervision
Structuration
Est-ce qu’une structure organisationnelle avec différents niveaux de gouvernance (exec, juridique, métier, …) est en place, ainsi que des rôles et responsabilités à différents niveaux spécifiés (comités de gouvernance, tech leaders, data stewards, …) ?
Data stewards
Est-ce que des data stewards, responsables de la coordination des activités de gouvernance des données, ont été identifiés et affectés à chaque domaine ou activité ?
Ordres de mission
Est-ce que les rôles, la mission et les responsabilités concernant les prises de décision, la gestion et la sécurité des données ont été clairement définis et communiqués (aux data stewards eux mêmes, mais aussi à toute personne concernée dans l’entreprise) ?
Moyens à disposition
Est-ce que les data stewards possèdent l’autorité suffisante pour rapidement et de façon efficace corriger les problèmes liés aux données tout en s’assurant que leur accès n’enfreint pas les règles liées aux données à caractère personnel ou sensible ?
Règles et procédures
Règles principales
Est-ce qu’une politique de priorité affectant les principales règles et exigences de gouvernance des données a été définie, et un accord (un accord formel ou une approbation verbale) sur ces priorités obtenu des parties prenantes clés (sponsors, décideurs, exec) ?
Gestion du cycle de vie
Les règles et procédures standard concernant tous les aspects de la gouvernance et du cycle de vie des données, y compris la collecte, la maintenance, l’utilisation et la diffusion, ont-elles été clairement définies et documentées ?
Respect réglementaire données confidentielles
Est-ce que les règles et procédures pour s’assurer que toutes les données sont collectées, gérées, stockées, transmises, utilisées et détruites de telle manière que soit préservée la confidentialité dans le respect des normes de sécurité (incluant par exemple les obligations du RGPD) ont été définies ?
Rétroaction
Est-ce qu’une évaluation a été menée pour s’assurer de la pertinence et l’efficacité à long terme des règles et procédures en place, incluant l’appréciation du dispositif humain, les outils, les technologies et les ressources ?
Vision processus
Disposez-vous d’une cartographie décrivant les processus permettant de surveiller la conformité avec ses politiques et procédures établies ?
Transparence
Est-ce que les règles et procédures ont été documentées et communiquées de façon ouverte et accessible à toutes les parties prenantes, incluant les collaborateurs, les partenaires et le public (via par exemple une publication sur votre site web) ?
Inventaire des données
Vision générale
Disposez vous d’un inventaire ou catalogue de toutes les sources de données de votre entreprise (issues de progiciels, de bases de données internes, de data lakes, de fichiers locaux, …)
Classification des données sensibles
Disposez-vous d’un inventaire détaillé, à jour de toutes les données classées sensibles (cad qui présentent un risque d’être compromises/altérées/corrompues par une divulgation non autorisée ou par inadvertance), personnelles ou les deux ?
Pondération du niveau de risque
Est-ce que vos données ont été caractérisées selon leur niveau de risque en cas de divulgation relativement aux informations personnelles potentiellement contenues dans les enregistrements ?
Règle générale de documentation
Est-ce que votre organisation dispose d’une règle écrite et partagée décrivant ce qui doit figurer dans un catalogue des données, ainsi que comment, quand et à quelle fréquence les informations y sont écrites ainsi que par qui ?
Accessibilité de l’information
Le catalogue de données est-il ouvert à tout collaborateur susceptible de travailler sur un jeu de données, qui y serait répertorié ou non ?
Culture des données
Communication stratégique globale
Votre organisation communique-t-elle en interne sur l’importance que peut jouer la donnée dans sa stratégie ?
Communication obligations réglementaires
Votre organisation sensibilise-t-elle ses employés (à minima ceux directement appelés à utiliser ou manipuler des données) au sujet des obligations reglementaires en vigueur liées aux données ?
Notion de bien commun
Votre organisation encourage-t-elle le partage de jeux de données qui pourraient être produits de façon isolée par divers moyens (communication, plateforme de partage, …)
Optimisation des usages
Votre organisation propose-t-elle, à minima à certains profils, une formation, quelle qu’en soit la forme (interne, externe, …), sur la façon de lire, de comprendre et d’utiliser la donnée ?
Promotion de la valorisation
Votre organisation valorise-t-elle les succès et innovations produits grâce (tout ou partie) aux données ?
Gestion de la donnée
Justification collecte et rétention
Est-ce que votre organisation dispose d’une information claire de la justification de capture et conservation de données personnelles (besoin opérationnel, R&D, juridique, …) ?
Contrôle de la justification
Est-ce que votre organisation dispose d’une procédure régulière de vérification que les données collectées sont conformes aux informations évoquées dans la question précédente ?
Anonymisation
Est-ce que des mécanismes d’anonymisation ou pseudo anonymisation ont été mis en place concernant les données personnelles, directes ou indirectes ?
Procédures détaillées
L’organisation a-t-elle établi et communiqué des règles et procédures de traitement des enregistrements à toutes les étapes du cycle de vie des données, y compris l’acquisition, la maintenance, l’utilisation, l’archivage ou la destruction des données ?
Qualité des données
Règles de gestion de la qualité
L’organisation a-t-elle des règles et des procédures en place pour garantir que les données sont exactes, complètes, à jour et pertinentes pour les besoins des utilisateurs ?
Audit de la qualité
L’organisation effectue-t-elle des audits réguliers de la qualité des données pour s’assurer que ses stratégies de contrôle de la qualité sont à jour et que les mesures correctives prises dans le passé ont permis d’améliorer la qualité des données ?
Accès aux données
Politique d’accès aux données
Existe-t-il des politiques et des procédures en place pour restreindre et surveiller l’accès aux données, limitant qui peut accéder à quelles données, y compris l’attribution de niveaux d’accès différenciés en fonction des descriptions de poste et des responsabilités, en conformité avec les lois et réglementations locales, nationales, internationales, … relatives à la confidentialité (y compris le RGPD)?
Are these policies and procedures consistent with local, national, … privacy laws and regulations (including the GDPR)?
Contrôle d’accès aux données
Des procédures de contrôle internes ont-elles été mises en place pour gérer l’accès aux données par les utilisateurs, notamment les contrôles de sécurité, la formation/sensibilisation et les accords de confidentialité requis par le personnel disposant de privilèges d’accès aux données sensibles ou personnelles ?
Sécurité et gestion du risque
Cadre général
Un cadre de sécurité complet a-t-il été défini, comprenant des procédures administratives, physiques et techniques pour traiter les problèmes de sécurité des données (telles que les restrictions d’accès et de partage des données, une politique de mots de passe renforcés, la sélection et la formation régulières du personnel, etc.) ?
Evaluation des risques
Une évaluation des risques a-t-elle été entreprise, notamment une évaluation des risques et des vulnérabilités liés à la fois à une utilisation abusive intentionnelle des données par des personnes malveillantes (par exemple, des pirates informatiques) et à une divulgation par inadvertance par des utilisateurs autorisés ?
Plan d’atténuation des risques
Un plan est-il en place pour atténuer les risques associés aux violations de données intentionnelles et involontaires ?
Prévention
L’organisation surveille-t-elle ou audite-t-elle régulièrement la sécurité des données ?
Plan de reprise
Des politiques et des procédures ont-elles été établies pour assurer la continuité des services de données en cas de violation de données, de perte ou de tout autre sinistre (ceci inclut un plan de reprise après sinistre) ?
Régulation des flux
Des politiques sont-elles en place pour guider les décisions en matière d’échange et de communication de données, y compris le partage de données (sous forme d’enregistrements individuels contenant des informations personnelles ou de rapports globaux anonymisés) en interne avec des profils métier, des analystes/data scientists, des décideurs ou en externe avec des partenaires ?
Contrats d’usage et engagement légal
Lors du partage de données, des procédures appropriées, telles que des accords de partage, sont-elles mises en place pour garantir que les informations personnelles restent strictement confidentielles et protégées contre toute divulgation non autorisée ? Notez que les accords de partage de données doivent être autorisés par toutes les réglementations applicables, telles que le RGPD.
Ces accords ne peuvent avoir lieu que si le partage de données est autorisé par la loi.
Contrôle sur les produits dérivés
Des procédures appropriées, telles que l’obfuscation ou la suppression, sont-elles mises en place pour garantir que les informations ne sont pas divulguées par inadvertance dans toute production de contenu basée sur les données (exemple : rapports) et que les pratiques de l’entreprise en matière de production restent conformes aux lois et réglementations en vigueur (par exemple, le RGPD) ?
Information des parties prenantes
Les parties prenantes, y compris les personnes dont les données sont conservées, sont-elles régulièrement informées de leurs droits en vertu des lois ou réglementations applicables régissant la confidentialité des données ?
Commencez dès maintenant à évaluer la maturité des données de votre entreprise !
Notre toolkit interactif vous permettra de visualiser où doivent porter vos efforts lors de la mise en œuvre d’une stratégie de gouvernance des données.
