Quel périmètre fonctionnel pour la gouvernance des données au sein de votre organisation ?

1. Introduction

La gouvernance des données est souvent abordée par le prisme des responsabilités du Chief Data Officer. Cette approche tend à réduire son champ aux enjeux d'accès, de qualité, de référentiels ou de métadonnées.

Or, cette vision simplifie une réalité complexe et multidimensionnelle. Elle occulte la nature intrinsèquement transversale de la donnée et son impact sur l'ensemble des fonctions de l'organisation. Cette fragmentation rend difficile leur intégration dans une dynamique commune et limite la pleine réalisation de la valeur des actifs informationnels.

Cet article propose d'interroger le périmètre de la gouvernance à partir des enjeux qu'elle doit effectivement couvrir. Il reconnaît la nécessité d'une approche holistique pour une gestion efficace des données. L'objectif est d'ouvrir la voie à une approche plus intégrée en présentant plusieurs scénarios possibles d'organisation des responsabilités, conscients des spécificités et des contraintes de chaque organisation.

2. Constat d'une gouvernance cantonnée au périmètre du CDO

Les enjeux fonctionnels de gestion des données sont plus larges que le seul périmètre du CDO. Ils incluent l'exploitation des données à des fins analytiques, la protection des données à caractère personnel et la sécurité des actifs informationnels. Ces dimensions relèvent généralement d'autres responsabilités : Chief Analytics Officer (CAO), Data Protection Officer (DPO), Chief Information Security Officer (CISO).

Cette séparation crée des angles morts et des potentiels conflits d'intérêts. La segmentation opérationnelle déplace la gouvernance vers une logique de spécialité, propre au périmètre du CDO, alors que ces enjeux sont intrinsèquement liés à la maîtrise des données et relèvent de la même logique de gestion structurée.

Cette fragmentation renforce le paradoxe du périmètre : plus l'on tente de délimiter précisément la gouvernance par fonction, plus sa portée réelle se trouve réduite. Chaque fonction applique sa propre vision au détriment d'une approche unifiée, alors même que la donnée traverse l'ensemble des processus métier.

3. Pourquoi la question du périmètre est stratégique ?

La façon dont une organisation définit le périmètre de sa gouvernance des données conditionne sa capacité à agir de façon cohérente sur l'ensemble de ses actifs informationnels.

Pour déterminer si un enjeu relève du champ fonctionnel de la gouvernance des données, trois critères peuvent être mobilisés :

• Le test de l'impact data : l'enjeu affecte-t-il directement la valeur ou le risque associé aux données ?

• Le test de la transversalité : nécessite-t-il la coordination de plusieurs fonctions ou rôles ?

• Le test de la décision partagée : implique-t-il un arbitrage entre des exigences divergentes ?

Un périmètre restreint fragmente les responsabilités, empêche la mise en cohérence des politiques et affaiblit la lisibilité des chaînes de traitement.

Parmi les nombreux processus transversaux de gestion des données, certains révèlent particulièrement les dysfonctionnements d'une gouvernance fragmentée. La classification des données génère souvent des incohérences entre domaines, oscillant entre surprotection paralysante et exposition dangereuse, créant des risques juridiques et des inefficacités d'usage. La traçabilité et journalisation souffrent de logs fragmentés ou absents, rendant impossible tout audit global et compliquant la détection d'incidents.

La qualité des données pâtit de critères divergents entre domaines, provoquant le rejet de données par certains acteurs, des décisions erronées et une perte de confiance généralisée. La gestion des incidents se caractérise par des réactions incohérentes ou incomplètes, aggravant les dommages, multipliant les pénalités légales et sapant la crédibilité interne. Enfin, la gestion des droits et rôles produit des droits contradictoires entre systèmes, générant violations de confidentialité et blocages d'utilisateurs légitimes.

D'autres processus critiques mériteraient une analyse similaire : gouvernance des métadonnées, cycle de vie des données, documentation et catalogage, ou encore sensibilisation et formation.

4. L'échec de la traçabilité chez SingHealth : un révélateur d'angle mort fonctionnel

En 2018, SingHealth a subi une cyberattaque majeure (1,5 million de patients impactés) qui illustre parfaitement le paradoxe du périmètre. L'enquête officielle a révélé une défaillance de coordination entre les fonctions en charge des données.

Les accès aux systèmes n'étaient pas journalisés de manière cohérente : logs manquants, informations dispersées, escalations défaillantes. L'organisation disposait d'un DPO, d'un RSSI et de fonctions data, mais aucune entité n'assumait la responsabilité transverse de la journalisation.

Chacun agissait dans son périmètre : sécurité technique concentrée sur les vulnérabilités, conformité traitant les obligations légales sans accès aux outils, gouvernance cantonnée à la qualité, équipes analytiques sans visibilité sur les conditions d'accès.

Ce cloisonnement a transformé un incident de sécurité en crise de gouvernance, démontrant l'impérieuse nécessité d'un cadre intégré structuré autour des enjeux fonctionnels plutôt que des fonctions en place.

5. Ce que permet une vision systémique et intégrée

Une gouvernance intégrée permet de traiter les enjeux fonctionnels de manière coordonnée et lisible. Elle relie les différentes fonctions impliquées autour d'un cadre commun articulant l'accès, l'usage, la protection et la sécurité des données.

Elle permet de créer un espace d'arbitrage, de structurer les responsabilités de manière claire, d'harmoniser les politiques pour éviter les contradictions et d'assurer la continuité dans la gestion des données sur l'ensemble de leur cycle de vie.

Ce cadre systémique autorise la mise en place de processus transverses robustes, la résolution efficace d'incidents complexes grâce à une compréhension partagée des enjeux, et la convergence entre besoins métier, exigences de conformité et contraintes de sécurité.

Une telle gouvernance constitue un dispositif de coordination au service des fonctions et des usages, facilitant la collaboration et la prise de décision éclairée.

6. Une approche dimensionnelle de la gouvernance

Une vision intégrée de la gouvernance des données repose sur la reconnaissance de quatre dimensions fondamentales interdépendantes. La dimension cognitive correspond au savoir organisationnel sur les données : gouvernance des métadonnées, taxonomies et catalogues qui structurent la compréhension collective du patrimoine informationnel. La dimension opératoire traduit la capacité d'agir efficacement sur les données à travers la gestion de leur qualité, de leur cycle de vie et de leur intégration dans les processus métier.

La dimension protective vise à sécuriser le patrimoine informationnel par la conformité réglementaire, la préservation de la confidentialité et la résilience face aux menaces. Enfin, la dimension transformative permet de valoriser les données par leur exploitation analytique, leur analyse approfondie et leur contribution à l'innovation organisationnelle.

Ces dimensions ne peuvent être traitées de manière isolée. Protéger une donnée sans comprendre son potentiel analytique freine l'innovation ; exploiter une donnée sans en connaître l'origine pose des risques majeurs. Une gouvernance robuste se construit dans la capacité à faire dialoguer ces dimensions à travers des processus unifiés et des arbitrages concertés.

L'efficacité de cette approche dimensionnelle peut être mesurée par plusieurs indicateurs pratiques. Un taux de couverture documentaire supérieur à 80% témoigne de la maturité de la dimension cognitive. La conformité aux règles de qualité, mesurée au-delà de 90%, révèle la robustesse de la dimension opératoire. L'absence d'incident critique sur les données sensibles valide la dimension protective, tandis qu'un retour sur investissement mesurable des projets data supérieur à 15% atteste de l'efficacité de la dimension transformative.

7. Vers une définition fonctionnelle du périmètre

Il convient de repenser le périmètre de la gouvernance non pas à partir des fonctions qui la portent, mais des enjeux fonctionnels qu'elle doit adresser : accéder (assurer la disponibilité), exploiter (permettre la valorisation), protéger (garantir la confidentialité) et sécuriser (assurer la résilience).

C'est autour de ces enjeux interdépendants que le cadre commun de gouvernance doit s'organiser, intégrant les apports et contraintes des différentes fonctions concernées dans une logique de collaboration et de responsabilité partagée.

La gouvernance constitue un cadre d'articulation des différentes dimensions fonctionnelles de la gestion des données, assurant cohérence, lisibilité et intégration des pratiques pour maximiser la valeur des données tout en minimisant les risques.

8. Scénarios d'organisation des responsabilités

Plusieurs modèles d'organisation peuvent être envisagés pour structurer la responsabilité sur les quatre grands enjeux fonctionnels de la gouvernance des données, en fonction du contexte, de la taille de l'organisation, de sa culture et de son niveau de maturité.

Le modèle centralisé confie au Chief Data Officer le pilotage de l'ensemble des enjeux, en s'appuyant sur les contributions d'autres fonctions telles que la sécurité, la conformité ou l'analyse. Ce modèle favorise l'homogénéité des politiques et des décisions, permet des arbitrages rapides et maîtrise les coûts de gouvernance. Il convient particulièrement aux organisations de taille modeste (moins de 500 personnes), à maturité data débutante ou à culture naturellement centralisée. Cependant, il présente le risque de créer un goulot d'étranglement et peut limiter l'adaptation aux spécificités métier.

Le modèle fédéré, plus courant dans les grandes organisations complexes, répartit les responsabilités entre les fonctions existantes. Le CDO assume la responsabilité de l'accès et de la qualité des données, le Data Protection Officer celle de la protection des données, le Chief Information Security Officer celle de la sécurité des actifs informationnels et le Chief Analytics Officer celle de l'exploitation des données. Un comité de gouvernance commun, instance de dialogue et de décision, coordonne les décisions, assure la cohérence d'ensemble et arbitre en cas de conflit de priorités. Ce modèle s'appuie sur la légitimité des expertises existantes et s'adapte aux spécificités métier, mais nécessite des mécanismes de coordination robustes : comités mensuels, indicateurs partagés et processus d'arbitrage formalisés.

Le modèle délégué par domaine de données convient aux organisations structurées autour de pôles ou d'unités autonomes avec des besoins spécifiques. Chaque domaine dispose d'un data owner qui décline localement les exigences communes, en tenant compte des spécificités de ses données. Une gouvernance transverse supervise pour garantir l'alignement global, le suivi des politiques et l'évaluation des pratiques. Ce modèle privilégie l'agilité métier et la responsabilisation locale, mais exige des standards communs, une évaluation trimestrielle et un reporting unifié.

Le choix entre ces modèles dépend de multiples facteurs : taille de l'organisation, complexité métier, maturité data, culture organisationnelle, budget disponible et niveau de risque acceptable. Une organisation peut également adopter une approche hybride, combinant les avantages de différents modèles selon ses domaines d'activité.

9. Conclusion

La gouvernance des données ne peut être appréhendée uniquement à travers le prisme d'une fonction spécifique. Elle s'applique à des enjeux fonctionnels clairement identifiables, nécessitant une approche intégrée impliquant l'ensemble des acteurs de l'organisation.

La structuration du périmètre autour des dimensions « accéder, exploiter, protéger, sécuriser » constitue un levier puissant pour refonder une gouvernance utile, transversale et alignée sur les pratiques, au service de la performance et de la maîtrise des risques.

Bibliographie

DAMA International. (2017). DAMA-DMBOK: Data Management Body of Knowledge (2nd ed.). Technics Publications.

Khatri, V., & Brown, C. V. (2010). Designing data governance. Communications of the ACM, 53(1), 148-152.

Singapore Committee of Inquiry. (2019). Public report of the Committee of Inquiry into the cyber attack on Singapore Health Services. Ministry of Communications and Information.