Frameworks de gouvernance des données : de la règle à la responsabilisation

La plupart des programmes de gouvernance génèrent plus de documentation que de responsabilisation effective. Les règles sont publiées, le catalogue est alimenté, un conseil est formé, mais les données continuent de circuler au sein de l’entreprise de manière opaque, ce qui rend la propriété floue, l’application des politiques incohérente et les preuves d’audit dispersées entre différentes équipes et différents outils.

Un framework de gouvernance des données aide les entreprises à résoudre ce problème opérationnel. Il définit qui prend les décisions relatives aux données, comment ces décisions se traduisent en contrôles exécutoires et comment la gouvernance passe à l’échelle des domaines fonctionnels, des plateformes et des workloads d’IA, plutôt que de laisser les équipes dépendre d’une coordination informelle. Le framework constitue la structure qui relie l’intention des règles de gouvernance à leur application concrète.

Ce guide présente le rôle des frameworks de gouvernance des données, les composants essentiels requis par la plupart des programmes, les différences entre les principaux frameworks existants, ainsi que la manière de choisir et de mettre en œuvre le modèle le mieux adapté à votre architecture, votre secteur d’activité et votre niveau de maturité.

Un framework de gouvernance des données est un modèle structuré qui définit la manière dont une entreprise gère, protège, utilise et mesure les données dans l’ensemble de son environnement. Il englobe généralement les principes de gouvernance, les rôles, les politiques, les normes, les processus, les contrôles, les technologies et les indicateurs qui déterminent la gestion des données, de leur création à leur conservation ou suppression.

Un framework ne doit pas être confondu avec une politique, une norme ou un contrôle. Le framework fournit la structure globale permettant à une entreprise de gouverner ses données. Les politiques, les normes internes, les procédures et les contrôles s’inscrivent généralement dans ce framework pour le rendre opérationnel. D’autres normes externes officielles, telles que les normes ISO, peuvent également orienter le framework, voire en constituer le socle.

• Une politique énonce les attentes de l’entreprise, par exemple en définissant qui peut accéder aux données clients réglementées.
• Une norme interne définit la manière dont cette attente doit être appliquée, comme les règles de classification des identifiants clients, des enregistrements de transactions ou des informations de santé protégées.
• Un contrôle applique ou vérifie le respect de cette exigence, par exemple via le contrôle d’accès basé sur les rôles (RBAC), le masquage dynamique, le chiffrement, les examens d’accès ou la journalisation des audits.
• Une norme externe officielle fournit des directives ou des exigences reconnues qui aident à structurer un framework, voire à s’y substituer, à l’instar des normes ISO pour la sécurité, la confidentialité ou la gestion des données.

Cette distinction est essentielle, car de nombreux programmes de gouvernance échouent par manque de structure opérationnelle.

Les frameworks de gouvernance des données aident les entreprises à prendre des décisions de gouvernance cohérentes entre les équipes, les systèmes et les domaines de données. En l’absence de framework, l’équipe chargée des données clients pourrait gérer les définitions d’une certaine manière, la finance pourrait utiliser un processus d’examen différent, et l’équipe d’IA pourrait suivre la traçabilité des données d’entraînement dans un tableur impossible à auditer pour quiconque en dehors du projet.

L’intérêt d’un framework est de transformer la gouvernance, d’un ensemble de pratiques locales, en un véritable modèle opérationnel d’entreprise. Il aide les entreprises à :

• Attribuer les responsabilités liées aux domaines de données, aux tables, aux indicateurs, aux politiques et aux exceptions.
• Définir un langage commun pour la qualité, la propriété, la classification, la traçabilité et le risque.
• Aligner les initiatives de gouvernance sur les objectifs de conformité, d’analytique, d’IA, de sécurité et d’exploitation.
• Favoriser une application plus homogène des contrôles sur l’ensemble des produits de données, des pipelines, des applications et des modèles.
• Documenter les décisions d’accès, les exceptions aux politiques et les activités de remédiation à des fins d’audit.
• Mesurer si la gouvernance s’améliore, et non pas seulement constater l'existence d'artefacts.

Un framework aide également les équipes de gouvernance à éviter deux écueils courants : un programme axé sur les règles qui produit de la documentation mais peu d’application réelle, et un programme axé sur les outils qui catalogue les actifs sans clarifier la responsabilité décisionnelle. Les frameworks les plus utiles relient le modèle opérationnel à l’environnement technique, de sorte que l’approbation d’un data steward, une étiquette de classification, un parcours de lignage et une politique d’accès fonctionnent en synergie.

Bien que la plupart des frameworks de gouvernance des données utilisent un langage différent, ils couvrent généralement un ensemble commun de composants. Le modèle exact dépend de l’organisation, mais un framework pratique doit généralement définir les domaines suivants :

Stratégie et principes de gouvernance

Le framework doit expliquer la raison d’être de la gouvernance des données et les objectifs stratégiques qu’elle soutient. Ces objectifs peuvent ainsi englober la conformité réglementaire, la fiabilité des analyses, la maturité face à l'IA, l'adoption des produits de données, la résilience opérationnelle ou le partage sécurisé des données. Les principes permettent aux équipes de prendre des décisions lorsqu’une politique ne couvre pas tous les scénarios, par exemple pour déterminer si un attribut sensible doit être masqué, tokenisé, exclu du jeu de variables d’un modèle ou rendu disponible uniquement via une vue approuvée.

Rôles et responsabilités

La gouvernance repose sur une responsabilisation claire. Un framework doit définir les responsabilités des data owners, des data stewards, des data custodians, des membres du conseil de gouvernance, des équipes de sécurité, des équipes chargées de la confidentialité, des équipes de plateforme et des parties prenantes métier. Il doit également définir les droits décisionnels, par exemple qui approuve un nouveau domaine de données, qui résout un conflit de définition d’indicateur et qui peut accorder une dérogation à une règle de conservation ou d’accès.

Politiques, normes et procédures

Les politiques fixent les règles relatives à la création, à la classification, à l’accès, à l’utilisation, au partage, à la conservation et à la suppression des données. Les normes concrétisent ces règles en définissant les niveaux de classification approuvés, les conventions de nommage, les seuils de qualité, les exigences en matière de métadonnées, les catégories de conservation et les modèles d’accès. Les procédures décrivent la manière dont les équipes effectuent le travail, comme l’intégration d’un nouveau produit de données, l’examen des demandes d’accès ou la résolution d’un problème de qualité.

Gestion de la qualité des données

Le framework doit définir la manière dont la qualité est mesurée, surveillée et corrigée. Les dimensions courantes comprennent l’exactitude, l’exhaustivité, la cohérence, la fraîcheur, la validité et l’unicité. Concrètement, cela consiste à identifier les données critiques, à leur associer des règles de qualité, à surveiller les anomalies et à définir les responsabilités d'investigation lorsqu'une métrique de revenu fluctue en raison d'un défaut de mise à jour d'un champ source.

Classification des données et gestion des métadonnées

La classification et les métadonnées fournissent un contexte destiné à favoriser une utilisation appropriée et conforme des données. Un framework doit définir la manière dont l’entreprise recueille la sensibilité, la signification métier, la propriété, la traçabilité, la fraîcheur, l’usage et le contexte des politiques. Le seul nom d'une table permet rarement de savoir si une colonne contient des identifiants clients, si les données sont autorisées pour l'entraînement d'IA, ou si la définition d'un indicateur a évolué depuis le dernier cycle de reporting.

Confidentialité, sécurité et contrôles d’accès aux données

Les frameworks de gouvernance doivent relier l’intention des politiques aux contrôles de sécurité. Cela inclut la gestion des identités et des accès, le principe du moindre privilège, le chiffrement, le masquage, la sécurité au niveau des lignes, la surveillance, les contrôles de conservation et la conformité aux exigences de confidentialité des données. Le framework doit également définir la manière dont l’accès est demandé, approuvé, examiné et révoqué.

Gestion du cycle de vie des données

Les données ont un cycle de vie : création, ingestion, transformation, stockage, usage, partage, conservation, archivage et suppression. Un framework de gouvernance doit définir la manière dont les données évoluent à travers ces étapes, quelles règles de conservation s’appliquent, comment les gels juridiques sont gérés et quels éléments probants attestent que les données ont été conservées ou purgées conformément aux règles.

Gestion des données de référence et des données maîtres

Les programmes de gouvernance nécessitent des définitions harmonisées pour leurs entités clés, telles que les clients, les produits, les collaborateurs, les fournisseurs, les sites ou les comptes financiers. La gestion des données de référence et des données maîtres définit les sources de confiance, les règles de survivance et les processus d’intendance des données qui garantissent la cohérence de ces entités à travers les systèmes et les cas d’usage de reporting.

Architecture des données et normes d’intégration

Un framework doit s’aligner sur l’architecture de l’entreprise, et non se juxtaposer à elle. Cela inclut les normes de modélisation, d’ingestion, de transformation, d’interopérabilité, d’utilisation des API, de partage de données, de couches sémantiques et de conception de produits de données. Les normes architecturales favorisent le passage à l'échelle de la gouvernance, car les équipes peuvent reproduire des modèles éprouvés au lieu de devoir concevoir chaque pipeline ou frontière de domaine à partir d'une page blanche.

Gestion de la conformité, des risques et des audits

Les frameworks de gouvernance doivent définir la manière dont les obligations réglementaires, les contrôles internes, les risques, les exceptions et les preuves d’audit sont suivis. C’est particulièrement important dans les secteurs où les organismes de réglementation attendent des entreprises qu’elles démontrent non seulement que des contrôles sont en place, mais aussi qu’ils fonctionnent comme prévu.

Outils et technologies

La technologie ne crée pas la gouvernance à elle seule, mais elle permet de la mettre à l’échelle. Les catalogues de données, les outils de lignage, les systèmes de gouvernance des accès, les plateformes de qualité des données, les moteurs de règles et les outils de surveillance permettent de capturer les métadonnées, d’appliquer des contrôles, de faire remonter les anomalies et de conserver des preuves. Le framework doit préciser quels systèmes détiennent les métadonnées de référence et comment les décisions de gouvernance sont transposées en contrôles techniques.

Métriques et amélioration continue

Un framework doit inclure des mesures indiquant si la gouvernance est efficace. Parmi les métriques utiles, on peut citer la couverture du catalogue, la couverture de la classification, les scores de qualité des données, le taux de finalisation des examens d’accès, l’ancienneté des exceptions, le délai de résolution des anomalies, les taux de respect des règles et le pourcentage d’éléments de données critiques ayant un garant désigné.

Une façon simple de regrouper ces composants consiste à les diviser en : personnes, règles, processus, contrôles des données, technologies et mesures.

Chaque framework répond à des problématiques différentes. Certains constituent de vastes corpus de connaissances, d’autres sont des modèles de maturité ou des méthodes d’architecture, tandis que certains sont conçus spécifiquement pour le cloud, la recherche ou la conformité réglementaire.

DAMA-DMBOK

DAMA-DMBOK est un vaste corpus de connaissances sur la gestion des données qui aide les entreprises à structurer leurs disciplines de gestion des données et à les aligner sur leur stratégie d’entreprise, leur conformité et le changement technologique. DAMA décrit le DMBOK comme une ressource pour structurer, gouverner et optimiser les actifs de données dans des domaines tels que la stratégie, la gouvernance, la qualité, les métadonnées et l’architecture.

Le DAMA-DMBOK est souvent utile lorsqu’une entreprise a besoin d’un modèle de référence complet plutôt que d’un framework de contrôle restreint. Il peut aider les équipes à définir la portée d’un programme de gestion des données, à identifier les lacunes et à créer un vocabulaire commun entre les équipes de gouvernance, d’architecture, de qualité et d’intendance des données.

COBIT

COBIT, créé par l’ISACA, est un framework de gouvernance pour l’information et la technologie d’entreprise. Il est souvent utilisé par les entreprises qui ont besoin de relier la gouvernance technologique, la gestion des risques, les objectifs de contrôle et les pratiques d’audit. Le champ d’action plus large de l’ISACA en matière de gouvernance IT, d’audit, de risques, de confidentialité et de sécurité rend COBIT pertinent lorsque la gouvernance des données doit s’aligner étroitement sur la supervision informatique de l’entreprise.

COBIT peut s’avérer utile lorsque la gouvernance des données doit s’intégrer dans un environnement de contrôle établi. Par exemple, une entreprise de services financiers pourrait utiliser des processus de gouvernance alignés sur COBIT pour relier les revues d’accès aux données, la gestion des changements, les tests de contrôle et les preuves d’audit.

DCAM

Le Data Management Capability Assessment Model (DCAM), développé par l’EDM Council, est un framework de bonnes pratiques visant à évaluer et améliorer les capacités de gestion des données. L’EDM Council décrit le DCAM comme un framework visant à établir, pérenniser et optimiser une démarche mature de gestion des données, qui intègre désormais une prise en charge étendue de l’IA et du cloud.

Le DCAM est particulièrement pertinent pour les services financiers et les autres secteurs réglementés, car il met l’accent sur la maturité, l’évaluation des capacités et l’amélioration fondée sur des éléments probants. Il aide les entreprises à identifier les domaines où leurs capacités de gouvernance sont solides, ceux où elles manquent de cohérence et les lacunes à combler en priorité.

TOGAF

TOGAF, géré par The Open Group, est une méthodologie et un framework d’architecture d’entreprise. The Open Group décrit TOGAF comme une méthode détaillée et un ensemble d’outils d’accompagnement pour développer l’architecture d’entreprise, constituant un standard utilisé par de nombreuses grandes entreprises.

TOGAF n’est pas un framework de gouvernance des données au sens strict, mais il s’avère précieux lorsque la gouvernance doit être intégrée à l’architecture. Il permet d’aligner la gouvernance des données avec les architectures métier, applicative, de données et technologique, garantissant ainsi que les décisions de gouvernance pilotent la conception et l’évolution du système d’information.

Principes FAIR

Les principes FAIR définissent un modèle visant à rendre les données faciles à trouver, accessibles, interopérables et réutilisables. Publiés en 2016, ces principes visent à améliorer la gestion et l’intendance des actifs numériques, en particulier dans les contextes scientifiques et de recherche.

Les principes FAIR sont particulièrement utiles lorsque l’objectif est de partager et de réutiliser les données de manière responsable. Une institution de recherche, un organisme de santé ou une agence du secteur public peut utiliser les principes FAIR pour améliorer les métadonnées, les identifiants persistants, les normes d’interopérabilité et les conditions de réutilisation des produits de données.

CDMC

Le framework Cloud Data Management Capabilities (CDMC), développé par l’EDM Council, se concentre sur la gestion et le contrôle des données dans les environnements cloud. L’EDM Council décrit le CDMC comme un framework permettant de gérer les données en toute sécurité dans des environnements cloud et multi-cloud. Son modèle comprend des preuves auditables, un système de notation et des capacités de contrôle spécifiques au cloud.

Le CDMC est utile lorsque les organisations migrent des workloads de données gouvernées vers des architectures cloud, cloud hybride ou multi-cloud. Il donne aux équipes les moyens d’évaluer les mécanismes de contrôle sur l'ensemble des domaines clés : gouvernance et responsabilisation, catalogage et classification, accessibilité et protection, confidentialité, gestion du cycle de vie des données et architecture technique.

Le choix d’un ou de plusieurs frameworks commence par l’identification du problème opérationnel de l’organisation. Utilisez les critères suivants pour évaluer l’adéquation :

De nombreuses entreprises combinent plusieurs frameworks. Par exemple, une entreprise peut utiliser le DAMA-DMBOK pour définir un large périmètre de gestion des données, le DCAM pour évaluer sa maturité, le CDMC pour les contrôles cloud et le NIST AI RMF pour la gouvernance des risques liés à l’IA.

Un framework de gouvernance des données est d’autant plus utile s’il transforme la gestion quotidienne des données. La mise en œuvre doit commencer par un périmètre ciblé, valider le modèle opérationnel, puis s’étendre.

Phase 1 : Établir le leadership de la gouvernance

Commencez par obtenir le soutien de la direction et par définir la structure décisionnelle. Cette structure regroupe généralement un conseil de gouvernance, des data owners par domaine, des data stewards, des propriétaires de plateformes, des parties prenantes de la sécurité et de la confidentialité, ainsi que des représentants des équipes métiers.

Une matrice RACI permet de formaliser qui est responsable, garant, consulté et informé pour chaque processus de gouvernance. Par exemple, un data owner est le garant du domaine de données clients, un data steward est chargé de la qualité des métadonnées, l’équipe de sécurité est consultée lors de la conception des politiques d’accès, et les équipes d’analyse en aval sont informées de la modification de la définition d’une métrique.

Phase 2 : Réaliser l’inventaire et la classification des données

L’étape suivante consiste à identifier les données les plus importantes. Répertoriez les tables, vues, produits de données, pipelines, rapports, jeux de données d’entraînement d’IA et actifs partagés en externe les plus stratégiques. Classifiez ensuite ces données en fonction de leur sensibilité, de leur signification métier, de leur pertinence réglementaire, de leur propriété, de leur utilisation et des exigences liées à leur cycle de vie.

Cette phase doit donner la priorité aux données à forte valeur ajoutée et à haut risque. Les identifiants clients, les données financières réglementaires, les données de santé, les données d'entraînement des modèles d'IA et les indicateurs clés du comité de direction exigent généralement une gouvernance prioritaire par rapport aux logs opérationnels à faible risque.

Phase 3 : Définir des politiques, des normes et des procédures

Une fois que l’entreprise sait quelles données elle gouverne, elle peut en définir les règles. Les politiques doivent encadrer l’accès, la classification, la qualité et la rétention des données, ainsi que leur partage, leur usage acceptable, l’utilisation de l'IA et la gestion des dérogations. Les normes doivent traduire ces politiques en exigences spécifiques, telles que le renseignement obligatoire de métadonnées, les niveaux de classification approuvés, les conventions de nommage, les seuils de qualité des données et les classes de rétention.

Les procédures doivent décrire la manière dont les équipes effectuent le travail de gouvernance. Par exemple, une procédure peut définir la manière dont un nouveau produit de données est approuvé, les champs de métadonnées requis avant sa publication et la manière dont une demande d’accès est acheminée pour examen.

Phase 4 : Mettre en œuvre des contrôles de gouvernance et une application technique

La mise en œuvre du framework nécessite une application technique. C’est ici que les balises de classification, les politiques d’accès, les politiques de masquage, les contrôles au niveau des lignes, le chiffrement, la traçabilité, la surveillance de la qualité des données et la journalisation des audits s’intègrent à l’environnement gouverné.

Dans Snowflake, par exemple, les fonctionnalités de gouvernance sont prises en charge par Snowflake Horizon Catalog, qui offre des fonctionnalités intégrées de gouvernance, de découverte et de sécurité pour l’AI Data Cloud. Horizon est conçu pour fédérer les moteurs de calcul et les formats, fournir des vues cohérentes des métadonnées et des autorisations, et propager les métadonnées de gouvernance aux workflows de partage de données pris en charge.

L’objectif pratique est de réduire l’écart entre l’intention de gouvernance et le comportement réel de la plateforme. Si une colonne est étiquetée comme sensible, les entreprises peuvent configurer des contrôles d’accès et de masquage pour s’aligner sur cette classification, plutôt que de s’en remettre uniquement à l’application manuelle des politiques.

Phase 5 : Piloter et valider les contrôles de gouvernance

Pilotez le framework dans un ou deux domaines à forte valeur ajoutée avant de le déployer à l’échelle de l’entreprise. Un projet pilote peut se concentrer sur les données clients, le reporting financier, les données de santé réglementées ou un pipeline de données d’entraînement d’IA.

Le pilote doit permettre de vérifier la clarté des rôles, l'exhaustivité des métadonnées, le caractère exécutoire des politiques, la bonne orientation des incidents de qualité et la capacité à fournir des preuves d’audit. Il doit également mettre en évidence les aspects du framework trop complexes, les tâches d’intendance qui manquent de ressources et les contrôles techniques à ajuster.

Phase 6 : Déployer à l’échelle de l’entreprise et optimiser en continu

Après le pilote, étendez le framework à d’autres domaines, produits de données et directions métiers. Le déploiement à l’échelle doit inclure des formations, des guides d’intégration, de l’automatisation, des indicateurs récurrents et des boucles de rétroaction.

L’amélioration continue est essentielle, car les environnements de données évoluent. De nouvelles applications, de nouveaux cas d’usage de l’IA, de nouvelles réglementations, de nouveaux services cloud et de nouvelles définitions métier peuvent tous créer des écarts de gouvernance. Un framework mature permet aux équipes de détecter ces failles et d’ajuster les rôles, les politiques, les contrôles ou les indicateurs avant que la confiance ne s’érode.

Les calendriers de mise en œuvre varient selon la taille de l’entreprise, les contraintes réglementaires, la complexité des données et la maturité. Un plan pratique ressemble souvent à ceci :

Les 90 premiers jours doivent cibler des avancées concrètes plutôt qu’une exhaustivité globale. Parmi les premières victoires utiles, citons l’attribution de propriétaires pour les domaines de données stratégiques, la classification des colonnes sensibles, la publication d’un ensemble restreint de définitions de métriques approuvées, la mise en œuvre de revues d’accès pour les données à haut risque et la création d’un tableau de bord de gouvernance indiquant la couverture et les problèmes en suspens.

Atteindre une maturité à l’échelle de l’entreprise prend généralement plus de temps, car la gouvernance exige autant de changements opérationnels que d’outils. Le programme doit s’intégrer à la manière dont les équipes conçoivent les produits de données, approuvent les accès, créent les pipelines, partagent les données et déploient les systèmes d’IA.

La gouvernance de l’IA dépend de la gouvernance des données, car le comportement des modèles est façonné par les données utilisées pour entraîner, affiner, récupérer, évaluer et surveiller le système. Un registre de modèles peut suivre les versions et les résultats d’évaluation, mais il ne peut pas déterminer si les données d’entraînement ont été approuvées pour le cas d’usage précis, si les colonnes sensibles ont été exclues, si la traçabilité est complète ou si une variable reflète un biais historique sous-jacent.

Les frameworks traditionnels de gouvernance des données sont actuellement étendus de plusieurs manières pour s’adapter aux workloads d’IA. Les programmes de type DAMA-DMBOK peuvent étendre les pratiques de métadonnées, de qualité et d’intendance pour inclure la provenance des données d’entraînement, les définitions de variables et les jeux de données approuvés. Une gouvernance inspirée de COBIT permet d’aligner les contrôles de l’IA sur les exigences de gestion des risques, d’audit et de responsabilisation. Les frameworks DCAM et CDMC permettent aux équipes d'évaluer si les mécanismes de contrôle et les pratiques de maturité des données cloud sont suffisamment robustes pour soutenir les charges de travail d'IA

Des frameworks spécifiques à l’IA sont également en cours de développement. Le NIST AI Risk Management Framework est conçu pour aider les organisations qui gèrent des systèmes d’IA à faire face aux risques et à améliorer la confiance tout au long de la conception, du développement, de l’utilisation et de l’évaluation. Pour les équipes chargées de la gouvernance des données, cela signifie que les contrôles traditionnels doivent être connectés à la gouvernance des modèles, à la traçabilité ML, à la provenance des données d’entraînement, à l’explicabilité, à la surveillance des biais, aux pratiques d’IA responsable et à la responsabilité algorithmique.

Une approche de la gouvernance de l’IA centrée sur les données pose des questions concrètes avant qu’un modèle ne soit mis en production :

• Quels ensembles de données ont permis d’entraîner, d’affiner ou d’ancrer le modèle ?
• Qui a approuvé ces jeux de données pour ce cas d’usage ?
• Quels chemins de lignage relient les données sources aux features, prompts, embeddings ou index de récupération ?
• Quels attributs sensibles ou proxies ont été inclus, exclus ou transformés ?
• Quelles règles de qualité, contrôles de dérive et processus de surveillance des biais s’appliquent ?
• Quels résultats nécessitent une révision humaine, une divulgation ou une journalisation d’audit ?

Ces questions rendent la gouvernance de l’IA opérationnelle. Elles montrent également pourquoi un framework de gouvernance des données ne peut pas se limiter à des rapports et des tableaux de bord ; il doit prendre en compte les données à mesure qu’elles alimentent les modèles, les agents, les applications et les décisions automatisées.

Les différents secteurs d’activité utilisent des frameworks de gouvernance des données pour des raisons diverses. Les composants de base peuvent sembler similaires, mais les priorités en matière de contrôle varient.

Services financiers

Les entreprises de services financiers ont souvent besoin de preuves solides concernant la qualité des données, la traçabilité, la propriété, le reporting des risques et les contrôles réglementaires. Le modèle DCAM est généralement pertinent, car il met l’accent sur la maturité de la gestion des données et l’évaluation des capacités. Les institutions financières peuvent également aligner leurs pratiques de gouvernance sur la norme BCBS 239, qui se concentre sur l’agrégation des données sur les risques et les principes de reporting des risques pour les banques.

En pratique, la gouvernance dans les services financiers se concentre souvent sur les éléments de données stratégiques, la traçabilité du reporting des risques, les seuils de qualité des données, les contrôles d’accès, les exigences de rétention et les preuves d’audit. Le framework doit clairement définir qui possède une métrique de risque, d’où elle provient, comment elle est transformée et si les données sont adaptées au reporting réglementaire.

Santé et sciences de la vie

Les organisations de santé doivent souvent gouverner les informations de santé protégées, les données de remboursements, les données cliniques, les données de recherche et les données opérationnelles dans le cadre d'obligations de confidentialité et de sécurité. La loi HIPAA régit les exigences de confidentialité et de sécurité aux États-Unis, tandis que les principes FAIR sont souvent pertinents pour le partage, l’interopérabilité et la réutilisation des données de recherche. Les principes FAIR sont particulièrement utiles lorsque les données doivent être faciles à trouver et réutilisables par les humains et les machines sans perte de contexte.

En France, le cadre juridique de la santé écarte la loi américaine HIPAA au profit de la certification obligatoire HDS (Hébergement de Données de Santé) de l’ANS. La mise en œuvre d'un framework de gouvernance dans ce secteur doit nativement intégrer ces exigences pour sécuriser le traitement des données de remboursement ou cliniques par des modèles d’IA sans enfreindre le secret médical.

Les frameworks de gouvernance de la santé doivent associer les règles de classification, de consentement, d’accès, d’anonymisation, de conservation et de partage des données aux systèmes au sein desquels les données cliniques, opérationnelles et de recherche sont utilisées.

Gouvernement et secteur public

Les organismes gouvernementaux et du secteur public ont souvent besoin de modèles de gouvernance favorisant la transparence, la sécurité, la gestion des documents, l’open data et la conformité. FedRAMP peut s’avérer pertinent lorsque des services cloud sont utilisés pour traiter des données gouvernementales, tandis que les programmes de données publiques exigent souvent des métadonnées, des normes de publication et des directives de réutilisation.

Dans ces environnements, le framework doit définir les données éligibles à une diffusion publique, celles nécessitant un accès restreint, les métadonnées devant accompagner les jeux de données publiés, ainsi que les modalités de conservation des éléments de preuve requis pour la conformité, les audits et la redevabilité publique.

Un modèle de maturité aide les entreprises à évaluer l’efficacité de leur gouvernance et à cibler leurs prochains investissements. Un modèle simple en cinq étapes permet de rendre les progrès visibles sans transformer l’évaluation de la maturité en une simple formalité administrative.

Une auto-évaluation rapide peut aider les équipes à déterminer où elles en sont actuellement :

1. Les éléments de données critiques ont-ils des responsables désignés et des définitions métier approuvées ?
2. Les tables et colonnes sensibles sont-elles classifiées avec des règles d’accès et de masquage applicables ?
3. Les équipes sont-elles en mesure d’assurer la traçabilité des données, depuis les systèmes sources jusqu’aux reportings, produits de données ou modèles d’IA ?
4. Les problèmes liés à la qualité des données sont-ils identifiés, attribués et corrigés selon un processus défini ?
5. L'entreprise est-elle en mesure de fournir des éléments probants relatifs aux décisions d'accès, aux exceptions et à l'application de la politique ?

La plupart des organisations présentent au départ des niveaux de maturité inégaux selon les domaines. Le service financier peut être soumis à des contrôles stricts en raison du risque élevé lié au reporting, tandis que les équipes chargées du marketing, des produits ou de l'IA peuvent adopter des pratiques de gestion des données plus dynamiques, avec une intendance des données moins formelle. L'objectif n'est pas d'atteindre un niveau de maturité uniforme partout, mais plutôt un niveau de maturité adapté en fonction de la valeur métier, des risques et de l'utilisation.

Les frameworks de gouvernance des données sont utiles car ils offrent aux entreprises une structure éprouvée pour des décisions qui, autrement, risqueraient de devenir incohérentes, manuelles ou difficiles à auditer. Un framework permet de déterminer clairement à qui appartient un domaine de données, quelles politiques s'appliquent à une table ou à une colonne, comment l'accès doit être contrôlé, où il convient de retracer la traçabilité des données et quels indicateurs permettent de vérifier si la gouvernance fonctionne réellement.

Le bon framework ne remplace pas pour autant le jugement de l’entreprise. DAMA-DMBOK, COBIT, DCAM, TOGAF, FAIR et CDMC mettent chacun l’accent sur différents aspects de la gouvernance, et de nombreuses entreprises adaptent plusieurs modèles afin de les ajuster à leur secteur d'activité, à leur architecture et à leur niveau de maturité. À mesure que les données migrent vers des produits partagés, des environnements cloud et des workloads d'IA, les frameworks de gouvernance offrent aux équipes un moyen de maintenir les politiques liées à l'usage.