Gouvernance de l’information : de quoi parle-t-on ?

Les fichiers laissés en libre accès aux collaborateurs sont encore trop nombreux. Le souci d’inscrire sa société dans une éthique d’entreprise solide implique d’encadrer davantage l’information, et de la poser comme un actif ayant une valeur à la fois commerciale et légale. C’est précisément le but de la gouvernance de l’information (GI), qui aide les sociétés à retrouver la maîtrise de leurs données, malgré leurs volumes croissants. Qu’est-ce que la GI ? Quelle différence avec la gouvernance des données ? À quels objectifs et quelles législations permet-elle de se conformer ?

Définition de la gouvernance de l’information

En matière de gouvernance de l’information (“GI”), la définition développée par Gartner revient régulièrement :

“Elle désigne la spécification des droits de décision et un cadre de responsabilités qui garantit un comportement approprié concernant l’évaluation, la création, le stockage, l’utilisation, l’archivage et la suppression des informations. Elle inclut donc les processus, les rôles, les politiques, les normes et les processus de mesure qui garantissent l’utilisation efficace de l’information pour permettre à une organisation d’atteindre ses objectifs.”

Quelles logiques derrière la gestion informationnelle ?

La GI concerne donc les stratégies de traitement de l’information par les collaborateurs. Elle a pour objectifs de :

• encadrer la création et la circulation de l’information dans l’entreprise, et ce tout au long de son cycle de vie ;
• assurer son intégrité et sa préservation ;
• réduire les risques liés à sa gestion ;
• assurer la conformité aux réglementations ;
• la valoriser comme une ressource et un bien, à des fins commerciales.

Cette stratégie informationnelle relève des missions de l’équipe de direction, mais aussi du dialogue avec les parties prenantes (NDLR : inclure lien quand publié). Celles-ci doivent assurer une gestion fluide et sans angle mort de la circulation de l’information.

De quelles informations parle-t-on ?

Les informations les plus communément concernées relèvent des archives. Celles-ci comprennent en général les données confidentielles relatives aux salariés, aux clients ou patients et à la propriété intellectuelle. Leur gestion recoupe la prise en main de différents projets :

• définir la politique d’utilisation des données : les personnes autorisées à les manipuler ;
• rationaliser les archives ;
• assurer la conformité réglementaire relative à la gestion de l’information et à sa suppression ;
• déléguer la politique de gouvernance de l’information à un service, un comité, un ou une “chief data officer”, un ou une responsable sécurité des systèmes d’information (RSSI), une ou un délégué à la protection des données (DPO) ;
• former les collaborateurs et les parties prenantes à la politique de gestion de l’information élaborée ;
• classer et catégoriser les données pour faciliter leur utilisation.

Gouvernance des données et de l’information : distinctions

Il suffit de parler de gouvernance de l’information pour parler de données, d’où certaines confusions :

• La GI se distingue par le fait de valoriser les données pour les rendre “rentables” et en tirer une valeur commerciale. Gérer les risques inhérents à l’information vise ainsi également à limiter les coûts éventuels d’une perte ou d’une altération des données. La GI implique en outre une prise de décision stratégique au niveau de la direction, et relève aussi de la conformité à certaines réglementations.
• La gouvernance des données consiste à assurer leur utilisabilité. Il s’agit de démarches ayant pour objectif de garantir de la disponibilité des données, leur exactitude et leur intégrité en vue d’un usage futur. La gouvernance des données se comprend donc plus comme un savoir-faire spécifique, ancré dans le quotidien des employés.

Gouverner l’information : pour quoi faire ?

Quand on pense à une stratégie de gestion de l’information, on parle souvent de « programme de gouvernance de l’information”. Ces programmes répondent à plusieurs challenges relatifs à la gestion des ressources :

• cartographier les risques liés à la gestion des données pour focaliser les efforts du programme de GI sur les actifs informationnels stratégiques ;
• légiférer en interne sur la gestion des données, leur sécurisation, les responsabilités en cas de fuite ;
• améliorer les process de veille stratégique ;
• réduire les coûts liés à la gestion des données en rationalisant leur stockage ;
• supprimer les silos de données pour encadrer la globalité de leurs cycles de vie et fluidifier la prise de décision ;
• simplifier les procédures d’audit grâce à des informations “bien rangées” ;
• faciliter l’accès et le partage de données pour fluidifier les modes de collaboration ;
• optimiser le service client en organisant mieux les informations ;
• éviter les pénalités de non-conformité ;
• protéger les données confidentielles du vol, de la perte, de la destruction ou de la détérioration.

Quelles législations pour la GI ?

En France, il existe plusieurs lois relatives à la gestion des données. Le Code de la consommation prévoit notamment plusieurs articles sur la récupération et la portabilité des données, quand le Code pénal légifère sur les atteintes aux droits dues aux traitements informatiques.

La norme la plus évidente à prendre en compte pour assurer sa conformité en la matière reste cependant le règlement général sur la protection des données, ou RGPD. Celui-ci encadre effectivement une grosse partie des enjeux soulevés par les actifs informationnels : protection des informations sensibles et des données à caractère personnel, confidentialité, consentement à l’usage de l’information.

Le RGPD donne aussi des recommandations en termes de traitement des documents entrants et de suppression de ceux-ci une fois leur durée de vie réglementaire écoulée. Il encadre la difficile question de la conservation des mails et de leur archivage. Il rend obligatoire la désignation d’un ou d’une DPO dans certains contextes. Il prévoit par ailleurs la nécessité d’auditer les procédures existantes, l’obligation de cartographier les données, de penser de nouvelles démarches de sécurisation et de sécuriser l’hébergement.

Côté certification, la norme ISO 24143 reprend les principaux concepts de GI à respecter pour réussir sa gestion des actifs informationnels.