Comment construire une politique de gouvernance des données

La gouvernance des données est essentielle au maintien de l’exactitude, de la disponibilité, de l’intégrité et de la confidentialité de toutes les données. Une politique de gouvernance des données permet à tous les acteurs d’une entreprise de suivre les mêmes normes et procédures, tout en réduisant les risques de piratage et en protégeant ces ressources précieuses.

Dans le monde moderne fondé sur les données, les entreprises s’appuient sur de grandes quantités de données pour :

• Prendre des décisions stratégiques.
• Améliorer les produits et les services.
• Stimuler la satisfaction des clients.
• Augmenter les recettes et réduire les coûts superflus.

La gouvernance des données revêt une importance particulière à mesure que votre entreprise est confrontée aux complexités de l’environnement professionnel actuel. De nombreux facteurs transforment la manière dont les entreprises exercent leurs activités :

• Exigences réglementaires.
• Dépendance accrue à l’égard des processus numériques.
• Lieu de travail en évolution.
• Paysage informatique en mutation.

Les données sont au cœur de cette transformation. Une politique et un cadre de gouvernance des données jettent les bases qui permettront à votre entreprise d’exceller dans un environnement en constante évolution.

Qu’est-ce qu’une politique de gouvernance des données et pourquoi en avez-vous besoin ?

Une politique de gouvernance des données est un ensemble de règles contribuant à protéger les données. Elle établit des normes concernant l’accès aux données, leur utilisation et leur intégrité. Les politiques sont généralement assorties de normes qui fournissent des règles plus détaillées concernant la mise en œuvre des politiques.

Une politique de gouvernance des données est une composante essentielle d’un cadre de gouvernance des données. Elle oriente les décisions de votre entreprise concernant les ressources de données. Le cadre crée une structure permettant de mener à bien les activités liées aux données, et la politique de gouvernance des données fournit des lignes directrices pour les activités qui impliquent des données.

Une politique de gouvernance des données a pour objectif principal de faire admettre que les données sont des ressources essentielles et qu’elles doivent être traitées comme telles. À un haut niveau, la politique promeut une culture axée sur la sécurité où toutes les parties prenantes jouent un rôle actif dans la protection des ressources de données. Bien que la politique soit essentielle pour les entreprises des secteurs hautement réglementés, toute entreprise qui gère des données sensibles ou qui s’appuie de manière stratégique sur des données tirera parti d’une politique de gouvernance des données.

Les éléments constitutifs d’une politique de gouvernance des données

Bien que chaque politique soit adaptée aux besoins propres à l’entreprise, les éléments suivants en font généralement partie :

Objectif de la politique : l’énoncé des objectifs décrit la raison d’être de la politique et la manière dont elle soutient la mission ou les objectifs commerciaux de l’entreprise.

Champ d’application de la politique : le champ d’application précise qui est concerné par la politique de gouvernance des données.

Règles de politique : il s’agit de la section principale qui décrit les règles régissant l’utilisation et l’accès aux données.

Rôles et responsabilités des parties prenantes : les parties prenantes vont de l’organe de gouvernance des données (tel qu’un conseil ou un comité de gouvernance) aux propriétaires des données, en passant par les gestionnaires et les utilisateurs des données.

Définitions : un glossaire comprend la terminologie courante mentionnée dans la politique. En voici quelques exemples :

• Données
• Accès
• Utilisateur des données
• Dépositaire
• Métadonnées

Processus de révision : incluse dans la politique par certaines entreprises, cette section décrit comment la politique de gouvernance des données est établie, révisée et mise à jour.

Ressources : cette section renvoie à l’ensemble des documents, politiques ou réglementations connexes.

Certaines politiques contiennent également des informations détaillées telles que :

• Une explication des risques liés aux données.
• La ou les réglementations applicables.
• Les violations.
• Les principes directeurs.

Les règles de politiques communes à envisager à des fins d’inclusion

Chaque entreprise dispose de plusieurs politiques fondamentales, ou règles, dans le cadre de la politique de gouvernance des données. Voici quelques-uns des éléments courants inclus dans une politique :

Accès aux données et disponibilité des données : l’objectif primordial de cette politique est de garantir que les parties prenantes, qu’il s’agisse de l’ensemble des employés, des sous-traitants, d’unités commerciales spécifiques ou d’autres parties, disposent d’un accès approprié aux informations qui leur sont nécessaires. Elle peut inclure les considérations ci-dessous :

• Quel est le but de l’accès aux données de l’entreprise.
• Qui a accès aux données.
• Pourquoi l’accès est important.
• Quelles sont les conséquences d’un accès inapproprié ou non autorisé.
• Comment les données sont classées.

Utilisation des données : cette politique garantit que les données de l’entreprise ne feront pas l’objet d’abus ou d’une utilisation abusive et qu’elles seront utilisées de manière éthique, dans le respect de la vie privée des personnes, et uniquement dans la mesure où cela est nécessaire à l’exécution de rôles ou de fonctions spécifiques. La section décrit les objectifs pertinents et détaille les catégories communes d’utilisation, par exemple :

• Création des données.
• Mise à jour des données.
• Accès en lecture seule.
• Distribution ou partage en dehors de l’entreprise.
• Conséquences de la non-conformité des données, notamment les sanctions potentielles en cas de violation.

Qualité et intégrité des données : l’intégrité des données fait référence au caractère fiable des données tout au long de leur cycle de vie, y compris leur validité, leur degré de fiabilité et leur exactitude. L’intégrité des données peut être compromise par des processus internes, tels que ceux où une erreur humaine est en cause et les transferts involontaires, et par des forces externes telles que dans les incidents de sécurité. La politique doit indiquer quels sont les acteurs chargés de veiller à ce que les données soient correctes et comment elles doivent être validées.

Utilisabilité et intégration des données : parfois associée à la politique d’intégrité des données, l’intégration des données définit la consolidation des données provenant de sources multiples et fournit une vue unifiée de plusieurs systèmes d’information. La politique d’intégration des données garantit à la fois la disponibilité des données et leur aptitude à l’emploi. Elle doit contenir des dispositions permettant une structuration correcte des données avec un étiquetage adéquat afin qu’elles puissent être récupérées.

Sécurité des données : Même si votre entreprise dispose d’une politique et d’un cadre complets en matière de sécurité des données, l’inclusion d’un élément de haut niveau dans la politique de gouvernance des données permet de renforcer certaines des mesures de protection suggérées. Au bout du compte, la sécurité affecte les données, notamment les points suivants :

• Disponibilité.
• Accès.
• Qualité.
• Intégrité.

Voici quelques éléments supplémentaires à inclure dans la politique :

• Inventaire des données.
• Gestion des dossiers.
• Gestion du contenu des données.

Treize étapes pour créer une politique de gouvernance des données

La mise en place d’une politique de gouvernance des données ne se fait pas à partir de rien. Ce processus doit être intégré à un effort plus vaste de mise en œuvre d’un plan de gouvernance des données ou de création d’un cadre de gouvernance des données. Les entreprises ont généralement déjà mis en place certains des éléments d’une politique solide, tels qu’une mission et un objectif identifiés.

Si la création de votre politique de gouvernance des données relève d’une opération autonome, voici les étapes recommandées :

1. Évaluez vos difficultés et contraintes actuelles en matière de données, ainsi que l’état des activités existantes de gouvernance des données.
2. Cherchez à comprendre les difficultés et conditions préalables commerciales qui justifient le recours à une politique.
3. Établissez l’analyse de rentabilité d’une politique et assurez-vous de l’adhésion des hauts responsables.
4. Constituez votre équipe de gouvernance des données et définissez les responsabilités de chacun des membres. Toutes les parties prenantes ne seront pas activement impliquées dans l’élaboration de la politique. Cependant, elles doivent toutes être encouragées à donner leur point de vue et à jouer un rôle dans le processus.
5. Identifiez les principales parties prenantes et les décideurs des différentes unités commerciales et fonctions de l’entreprise.
6. Recueillez les commentaires des parties prenantes, y compris les difficultés liées aux données, les attentes concernant la politique et leurs besoins. Des activités formelles et informelles peuvent être organisées pour cela.
7. Cherchez à comprendre les impacts de la politique de gouvernance des données sur les différentes catégories de parties prenantes. L’exécution tactique sera ainsi plus facile pour vous, notamment en ce qui concerne la manière de motiver les parties prenantes afin qu’elles adoptent la politique et s’y conforment.
8. Ne perdez pas de vue la vision commune lorsque vous créez votre projet initial. Cherchez à obtenir un retour d’information des parties prenantes et des décideurs et procédez par itération.
9. Définissez les mesures ou métriques que vous pouvez utiliser pour évaluer la réussite de la mise en œuvre et les performances de la politique. Prévoyez des mesures à court et à long terme et affectez des rôles ou des individus spécifiques à cette tâche.
10. Créez un plan de déploiement à l’échelle de l’entreprise. Cette démarche devrait inclure un plan de communication, ainsi que des ressources pour la formation et l’éducation si besoin est.
11. Abordez les besoins technologiques potentiels et les outils informatiques existants que vous pouvez réutiliser pour soutenir et faire appliquer la nouvelle politique de gouvernance des données.
12. Mesurez les résultats et communiquez les gains rapides à toutes les parties prenantes. Cela renforce le bien-fondé de la politique et favorise une adhésion continue.
13. Réexaminez régulièrement la politique pour qu’elle reste pertinente, actuelle et efficace.

Pour conclure.

La gouvernance des données conjugue les personnes, les processus et les outils. Pour que votre politique de gouvernance des données soit efficace, vous devez vous appuyer sur la bonne technologie qui permette de la soutenir. Dans l’environnement professionnel actuel qui combine des systèmes on-premises et cloud, les processus manuels et les technologies obsolètes peuvent susciter une adhésion et une mise en application incohérentes des politiques.

SailPoint File Access Manager vous aide à obtenir la visibilité et le contrôle dont vous avez besoin pour protéger vos données non structurées. Vous pouvez découvrir, rapidement et de manière conforme, des informations sensibles, telles que des données PII, PHI et PCI, et les classer et les sécuriser conformément aux réglementations telles que le RGPD, la loi CCPA et la loi HIPAA. En outre, File Access Manger permet d’identifier et de désigner les propriétaires des données, ainsi que de les alerter afin qu’ils remédient à l’exposition aux risques et gèrent les demandes d’accès aux données et les examens afférents.

Pour en savoir plus, veuillez consulter notre page web File Access Manager.