Article publié dans l'édition été 2018 de Gestion

Alors que la gouvernance de données est sur toutes les lèvres, elle reste mal comprise et suscite autant de craintes que d’espoirs. Or, si on veut qu’elle crée de la valeur pour l’entreprise, ce qui demeure son but ultime, il faut d’abord la démystifier.

« On peut définir la gouvernance de données comme l’établissement, d’une part, des règles générales liées à la gestion des données dans une organisation et, d’autre part, des responsabilités de chacun envers celles-ci », résume Marcelo Cardoso, cofondateur de la firme Prodago.

De son côté, Élise Lacoste, directrice principale aux services-conseils et à la gestion de l’information analytique chez Deloitte, prévient qu’il ne faut pas confondre gouvernance et gestion des données. La gouvernance constitue le cadre général, c’est-à-dire la politique, les lignes directrices, la structure (les divers comités, par exemple). « La gestion de données consiste plutôt à s’assurer de leur sécurité, de leur intégrité, à en gérer les accès, la durée de conservation, etc., explique-t-elle. S’ajoute à cela l’intendance des données, laquelle sert plutôt à les définir dans une optique d’affaires. »

La raison d’être de la gouvernance de données ? Créer de la valeur en exploitant les données et les protéger. Ainsi, Air Canada et le Canadien National utilisent les données de consommation d’essence pour épargner des millions de dollars. D’autres entreprises les exploitent pour déterminer quels clients coûtent plus cher que ce qu’ils rapportent afin de se concentrer sur les autres. Certaines firmes font de la maintenance prédictive : elles récoltent de l’information à propos de leur équipement pour savoir quand en faire l’entretien afin de prévenir les bris et les pannes. Bref, les possibilités se déclinent presque à l’infini.

Données : une définition

Mais qu’entend-on au juste par « données »? Marcelo Cardoso avoue ne pas raffoler du terme. « Ce qui nous intéresse, c’est l’information, pas les données, explique-t-il. Une donnée, c’est simplement la manière dont l’information est exprimée dans une base de données. Si vous avez une tonne de dates mais ignorez à quoi elles font référence, vous n’avez rien. Mais si vous savez que ce sont des dates de naissance, là, vous avez de l’information. »

Dans les faits, les données sont rarement aussi simples à définir. C’est même l’obstacle n° 1 sur lequel butent les entreprises en matière de gouvernance de données. En général, chaque service crée et utilise depuis longtemps ses propres données dans un contexte précis. Ainsi, pour le service des finances, un client pourrait être défini comme quelqu’un qui a fait un achat au cours de l’année précédente, alors qu’au service de marketing, c’est une personne dans la base de données Salesforce avec laquelle on a des contacts. Les finances pourraient donc considérer que l’entreprise a 50 000 clients, alors que le marketing en dénombre 100 000.

Or, la volonté de créer de la valeur avec des innovations comme les mégadonnées, l’intelligence artificielle ou l’analyse prédictive exige de croiser ces données et de les utiliser dans des contextes différents. « Le défi consiste à identifier les informations, à les définir et à les lier », prévient Marcelo Cardoso.


LIRE AUSSI : « Tirer profit de l'intelligence artificielle pour faire croître son entreprise »


Marc-Éric LaRocque est consultant en gestion de projets d’intelligence d’affaires (BI) et en définition de stratégies et de visions BI. Il rappelle que le mieux est parfois l’ennemi du bien. « Le plus important, c’est de s’assurer que tout le monde connaît les définitions, croit-il. S’il y a dix définitions de “profitabilité”, il faut que le glossaire l’explique bien. La tendance n’est pas à une définition unique ou à un contrôle fort mais plutôt aux outils de collaboration flexibles, qui montrent toutes les données disponibles avec toutes leurs définitions. »

Traditionnellement, l’information au cœur de la gouvernance des données était comprise comme un ensemble de données structurées (à l’instar de celles qu’on trouve dans certaines bases de données), mais cela tend à changer.

« S’ajoutent aussi de plus en plus souvent des données semi-structurées (comme un journal de bord de système ou de machinerie) ou non structurées (documents, photos, vidéos) », illustre guillaume Bédard, consultant stratégique en analytique et en gestion de l’information.

Voilà qui ne simplifie pas la gouvernance de données. Et ce n’est pas tout : « Les entreprises disposent de volumes de plus en plus considérables de données, dont une partie provient de sources externes comme les médias sociaux, ajoute Élise Lacoste. Les entreprises veulent jumeler des données collectées dans les médias sociaux à leurs données internes, mais elles n’exercent aucun contrôle sur leur qualité. »

Une bouchée à la fois

Pas simple, donc. Mais prenons un peu de recul : à quoi sert la gouvernance de données ? « Elle doit toujours être rattachée à des objectifs d’affaires et à des projets précis, soutient Marcelo Cardoso. Trop de dirigeants font l’erreur de mettre l’accent sur l’organisationnel ou sur la technologie. S’il n’y a ni cible précise ni résultats concrets, les gens ne comprennent pas pourquoi on le fait et ne s’y intéressent plus. »

Sans compter que tout cela peut rapidement devenir assez lourd. « Mieux vaut y aller un projet à la fois et privilégier certaines données critiques répondant aux besoins d’affaires, avance Marc-Éric LaRocque. Un exemple : on veut étudier la fraude. Cela concerne 10 ou 15 champs de données dans l’entreprise. On travaillera sur ces données afin de les rendre utilisables. On ne va pas s’attaquer d’un seul coup à des milliers de données. »


LIRE AUSSI : « L'exploitation intelligente des données : une stratégie payante »


Des débuts progressifs permettent aux gens de comprendre la façon dont les choses fonctionnent puis d’appliquer à d’autres projets les connaissances et les compétences acquises. Chaque projet laisse derrière lui un système de données dont il faut ensuite continuer à assurer la qualité à plus ou moins long terme. « La gouvernance de données est d’abord tactique, axée sur un projet spécifique, avec une valeur d’affaires définie et un leader dont les bénéfices d’affaires dépendent de ces données, ajoute Guillaume Bédard. Avec le temps, elle devient plus stratégique. Une cohérence se développe entre les pratiques et on peut centraliser tout ça. »

Une autre erreur courante consiste à pécher par excès d’ambition en ce qui concerne la qualité des données. « La qualité variera selon les besoins en affaires, précise Élise Lacoste. Il faut qu’elle soit assez bonne pour répondre à ces besoins. Parfois, 80 % de qualité suffit si, par exemple, on cherche tout simplement à déterminer des tendances. » Selon Mme Lacoste, la gouvernance de données doit être envisagée comme une transformation de la culture organisationnelle. Ainsi, le personnel doit comprendre qu’il est essentiel de bien saisir les données même s’ils n’auront pas eux-mêmes à s’en servir. Si cette tâche est bâclée, quelqu’un d’autre dans l’entreprise en pâtira. Il faut donc apprendre à traiter les données comme un actif.

La protection de son actif

Si les données sont un actif, il faut logiquement les protéger. C’est d’autant plus important que l’utilisation et la protection de certaines données, notamment les renseignements personnels, sont encadrées par des lois. La sécurité fait donc partie intégrante d’une politique en matière de gouvernance de données.

« Les données peuvent être modifiées, détruites ou perdues, indique Nicolas Vermeys, professeur de droit à l’Université de Montréal et titulaire de la certification en sécurité informationnelle internationale (CISSP). Cela peut découler d’une attaque externe, d’une attaque interne, d’une négligence ou d’une erreur involontaire. »

Une politique en matière de gouvernance de données doit établir des lignes directrices claires quant à l’accès aux données par le personnel ou par des partenaires extérieurs, sans oublier les mesures de sécurité et les pénalités prévues pour les membres du personnel qui enfreignent les règles d’accès. La jurisprudence montre qu’une vaste majorité des crimes liés aux données sont commis par des membres du personnel, rappelle Nicolas Vermeys. Quelqu’un peut subir des pressions de la part de criminels pour leur fournir certaines données, voire subtiliser ou détruire des données dans un accès de colère contre l’entreprise.

Le personnel devrait n’avoir accès qu’aux données relevant de leurs fonctions (ressources humaines, finances, exploitation, etc.). Cela étant, il faut éviter de traiter toute l’information de la même manière. Un accès trop restreint aux données risque de compliquer la tâche de bien des gens, alors qu’un accès trop libre présente des risques. Il faut donc créer des niveaux d’accès.

Si une perte ou une fuite de renseignements personnels mène à une poursuite devant un tribunal, le magistrat sera enclin à la clémence si les employés concernés avaient un motif légitime d’accéder aux données, explique Pierre Trudel, professeur de droit à l’Université de Montréal et titulaire de la Chaire L. R. Wilson sur le droit des technologies de l’information et du commerce électronique. L’entreprise devra aussi démontrer qu’elle avait pris des mesures de protection raisonnables, notamment par rapport aux pratiques en vigueur dans d’autres entreprises comparables, aux technologies disponibles au moment des faits et à la rigueur des mises à jour.

L’entreprise doit toujours pouvoir démontrer qu’elle a un objectif précis pour les données qu’elle recueille. « On ne peut pas se contenter d’amasser plein de données en se disant qu’elles pourraient nous être utiles plus tard », prévient Pierre Trudel. Il faut aussi expliquer ces motifs aux gens et obtenir leur consentement. Même chose si on prévoit partager ces données avec des partenaires d’affaires : les données ne peuvent être conservées que pour la durée de la relation commerciale. Or, bien que ce lien ne prenne pas fin après chaque transaction, il n’est pas éternel non plus. À un certain moment, il faut donc détruire les données de manière sécuritaire.

Tout cela doit être prévu dans la politique, qui constitue le cadre général, et dans les règles plus spécifiques, qui s’avéreront peu utiles si les membres du personnel ne les connaissent pas, ne les comprennent pas ou ne les respectent pas. Chacun doit connaître son rôle et ses responsabilités en ce qui a trait aux données.

Il faut aussi faire en sorte que la personne chargée de faire appliquer la politique soit en position d’autorité. Comme pour tout projet d’affaires, la gouvernance des données a besoin de son champion.