Comment les normes et frameworks de gouvernance des données orientent les programmes data d’entreprise

Un programme de gouvernance commence rarement d’une page blanche. La plupart des équipes héritent d’un mélange de politiques, d’exigences de contrôle, de règles de qualité et d’attentes en matière d’audit, puis cherchent un moyen stable de les organiser. Les normes de gouvernance des données fournissent aux entreprises un point de référence commun pour la terminologie, les domaines de contrôle, les critères de maturité et le périmètre de gouvernance. Les équipes qui évaluent les normes de gouvernance des données examinent souvent aussi les frameworks de gouvernance, car les deux déterminent la conception, la mise en œuvre et l’évaluation d’un programme.

Les normes de gouvernance des données sont des références de bonnes pratiques publiées qui aident les entreprises à définir comment la gouvernance doit être structurée, mesurée et améliorée. Elles fournissent généralement une terminologie commune, des principes, des domaines de contrôle ou des critères d’évaluation qu’un programme de gouvernance peut suivre.

Les normes diffèrent des réglementations, qui sont juridiquement contraignantes. Elles se distinguent également des frameworks, qui décrivent généralement la manière dont une entreprise opérationnalise la gouvernance en interne.

La différence devient plus claire lorsqu’on l’examine sous l’angle de la fonction.

Le tableau ci-dessous compare les normes et frameworks les plus courants que les entreprises utilisent pour créer ou faire évoluer un programme de gouvernance.

DAMA-DMBOK constitue un point de départ courant. Il offre aux entreprises axées sur les données un vocabulaire opérationnel complet couvrant la gouvernance, la qualité, les métadonnées, l’architecture et la gestion des données. DAMA décrit le DMBOK comme structurant la gestion des données en 11 domaines de connaissances. C’est pourquoi il sert souvent de référence lorsqu’un programme de gouvernance doit définir son périmètre avant de choisir des contrôles ou des outils.

La norme ISO 8000 a un périmètre plus restreint. Elle s’avère plus utile lorsque la gouvernance est motivée par la qualité des données, les données fournisseurs, l’homogénéité des données de référence ou la preuve que les processus de qualité sont définis et reproductibles. Elle établit les principes de qualité de l’information et des données, et décrit la voie à suivre pour y parvenir. La norme ISO 8000-150 précise également les rôles, les responsabilités et les preuves documentaires dans la gestion de la qualité des données. Elle est particulièrement pertinente lorsque les équipes de gouvernance ont besoin de dépasser le stade des simples aspirations générales en matière de qualité.

La norme ISO/IEC 38505 est utile à d’autres égards. Elle intègre la gouvernance des données à la gouvernance informatique. C’est un point crucial pour les entreprises où la direction se préoccupe moins de la taxonomie de la gestion des données que des droits de décision, de la responsabilité et de l’utilisation acceptable des données à l’échelle du business. La norme ISO/IEC 38505-1 indique qu’elle s’applique à la gouvernance de l’utilisation actuelle et future des données créées, collectées, stockées ou contrôlées par les systèmes informatiques. Elle précise que la gouvernance des données est un sous-ensemble de la gouvernance informatique.

COBIT est un framework général pour la gouvernance d’entreprise de l’information et de la technologie. L’ISACA propose toutefois des directives spécifiques montrant comment l’étendre à la conception et à la mise en œuvre de la gouvernance des données. Pour les entreprises qui gèrent déjà des programmes formels de contrôle, d’audit et de risque via des fonctions de gouvernance informatique, COBIT constitue une passerelle plus naturelle que de commencer par une norme purement axée sur les données.

Le DCAM est très pertinent lorsque l’évaluation de la maturité compte autant que la conception opérationnelle. L’EDM Council décrit le DCAM comme le framework de bonnes pratiques de référence du secteur pour la gestion des données et l’analytique avancée. Ce modèle est particulièrement présent dans les services financiers et d’autres environnements hautement réglementés. Même en dehors du secteur bancaire, le DCAM s’avère utile lorsqu’une équipe de gouvernance doit évaluer les niveaux de capacité plutôt que de simplement lister les politiques et les propriétaires.

La plupart des entreprises ne choisissent pas une norme de manière isolée. Elles sélectionnent généralement un point de référence principal, puis y ajoutent des directives complémentaires si nécessaire. Par exemple, une entreprise peut utiliser le DAMA-DMBOK pour définir le périmètre et le vocabulaire, la norme ISO 8000 pour renforcer les pratiques de qualité des données, et COBIT pour aligner la gouvernance sur des structures de contrôle informatique plus larges. L’objectif est de choisir les références qui correspondent aux problèmes de gouvernance que l’entreprise doit réellement résoudre.

Voici une méthode pratique pour faire votre choix :

Les normes définissent ce qu’un programme de gouvernance doit accomplir. Votre modèle opérationnel détermine comment ce travail s’effectue au quotidien. Une norme peut indiquer que la qualité des données nécessite des rôles définis, des contrôles traçables et des preuves. Cependant, votre programme doit encore décider quels domaines classifier en premier, qui approuve les exceptions aux politiques, comment la traçabilité sera présentée, où l’historique des accès sera examiné et comment les data stewards publieront des définitions fiables.

Une voie d’adoption simple comprend généralement quatre étapes :

1. Choisissez une ou deux normes principales qui correspondent au problème stratégique qui vous occupe.
2. Mettez en correspondance les directives de la norme avec les artefacts de gouvernance existants, tels que les politiques, les rôles des data stewards, les modèles d’accès et les exigences d’audit.
3. Identifiez les écarts entre la norme et vos pratiques actuelles.
4. Utilisez les concepts d’évaluation de la norme pour mesurer votre maturité et suivre vos progrès. Cette approche permet de rester pragmatique. Elle évite à votre équipe d’accumuler des normes théoriques, alors même qu'aucun responsable n'est désigné pour une colonne contenant des données sensibles ou qu'aucun processus n'est prévu pour traiter les exceptions.

Le besoin d’opérationnaliser les normes et les frameworks explique l’importance des fonctionnalités de la plateforme. Celles-ci doivent correspondre aux zones de contrôle que les équipes de gouvernance gèrent au quotidien : classification, protection, métadonnées, auditabilité et traçabilité.

Par exemple, la couche de gouvernance de Snowflake offre une solution pratique pour mettre en œuvre les contrôles définis par les normes de gouvernance. Horizon Catalog met en évidence le contexte de gouvernance sur tous les clouds et toutes les régions. Il active la Data Classification pour les données sensibles, le Tag-based Masking, le Dynamic Data Masking, l’Access History pour la visibilité des audits, la gestion de la traçabilité des données et les vues de traçabilité illustrant les dépendances et le contexte des politiques.

Les normes de gouvernance des données révèlent tout leur potentiel lorsqu’elles aident une équipe à prendre des décisions concrètes : quelles zones de contrôle prioriser, quelles responsabilités définir, quelles preuves collecter et quelles fonctionnalités intégrer à la plateforme. Le choix de la norme dépend des éléments que votre programme cherche à stabiliser. Certaines équipes ont besoin d’une référence opérationnelle globale comme DAMA-DMBOK. D’autres recherchent une discipline de qualité plus stricte avec ISO 8000, une gouvernance exécutive plus claire via ISO/IEC 38505, un alignement renforcé des contrôles IT grâce à COBIT, ou encore une évaluation de la maturité avec DCAM.

La meilleure approche consiste à choisir les normes adaptées à vos défis de gouvernance actuels. Vous pourrez ensuite les traduire en politiques, en responsabilités, en règles d’application et en pratiques d’audit durables pour votre entreprise.