Les entreprises sont aujourd’hui confrontées à une croissance explosive du volume et de la diversité des données qu’elles collectent, stockent et traitent. Malheureusement, bon nombre d’entre elles ne connaissent pas les types de données dont elles disposent ni leur valeur, de sorte qu’elles ne peuvent pas en assurer la maîtrise. En conséquence, elles subissent souvent de graves revers sur les plans juridique, financier et de la réputation. Une gouvernance de l’information adéquate permet d’éviter un tel sort.
Qu’est-ce que la gouvernance de l’information ?
La gouvernance de l’information est le processus de gestion des ressources informationnelles. Elle nécessite de mettre en œuvre des politiques, des procédures et des technologies qui équilibrent facilité d’utilisation et sécurité.
La définition de la gouvernance de l’information la plus largement acceptée est celle de Gartner. Celle-ci décrit la gouvernance de l’information comme « la spécification des droits de décision et le cadre de responsabilité permettant d’assurer un comportement approprié en matière d’évaluation, de création, de stockage, d’utilisation, d’archivage et de suppression de l’information. Cela inclut les processus, les rôles, les politiques, les normes et les indicateurs qui permettent d’utiliser efficacement l’information de manière à ce que l’organisation atteigne ses objectifs ».
Les processus de gouvernance de l’information régissent l’utilisation des documents contenant des informations, notamment à propos des employés et des clients, ainsi que les dossiers médicaux des patients et la propriété intellectuelle. Dans l’entreprise, les responsables de la gouvernance de l’information doivent créer avec les dirigeants et les autres parties prenantes des politiques qui précisent comment les employés traitent les ressources informationnelles.
Quelle est la différence entre la gouvernance des données et la gouvernance de l’information ?
Gouvernance des données et gouvernance de l’information sont souvent confondues. Pourtant, même si toutes deux sont importantes pour la réalisation des objectifs métier d’une entreprise, et même si elles présentent des caractéristiques communes, elles ne sont pas pour autant identiques. Examinons les principales différences entre leurs objectifs, leur champ d’application et leurs activités, en commençant par la gouvernance de l’information.
La gouvernance de l’information vise à tirer une valeur commerciale des ressources de données. Le programme Information Governance Initiative définit la gouvernance de l’information comme « les activités et les technologies utilisées par les organisations pour maximiser la valeur de leur information tout en minimisant les risques et les coûts associés ».
La gouvernance des données, pour sa part, s’intéresse au contrôle de l’information au niveau des unités opérationnelles, afin de garantir leur exactitude et leur fiabilité. Les programmes de gouvernance des données intègrent des procédures de gestion de la disponibilité, de l’intégrité, de la facilité d’utilisation et de la sécurité des données.
Pour illustrer ces différences, voici quelques exemples d’activités liées à ces deux domaines. Les activités de gouvernance des données comprennent la gestion des métadonnées, l’architecture des données, les opérations relatives aux données, la gestion des données, les données de référence et la qualité des données. La gouvernance de l’information, quant à elle, s’attache à la gestion du cycle de vie des données de l’organisation. Elle comprend donc des processus et des activités tels que l’échange d’informations personnelles, la protection de la confidentialité des données, les audits de conformité réglementaire, l’investigation informatique et le calendrier de conservation des documents.
Si la gouvernance des données est du ressort du service informatique, la gouvernance de l’information couvre un champ plus large. Elle permet de répondre aux exigences de conformité et aux besoins métier concernant l’utilisation et la conservation des données. Par conséquent, la gouvernance de l’information est une discipline stratégique constituant une part importante de la gouvernance de l’entreprise. En appliquant conjointement la gouvernance des données et la gouvernance de l’information, il est possible d’adopter des pratiques de gestion de l’information offrant une plus grande valeur commerciale.
Pourquoi la gouvernance de l’information est-elle importante ?
De par sa nouveauté, son rôle dans les processus métier suscite de nombreuses questions. En quoi la gouvernance de l’information revêt-elle une importance primordiale ? Un programme de gouvernance de l’information bien appliqué permet de relever plusieurs défis et donne aux organisations l’occasion de :
Satisfaire les besoins opérationnels et atteindre les objectifs et priorités stratégiques, qui varient selon la culture organisationnelle, le niveau d’engagement des parties prenantes et les ressources disponibles
Se conformer à la réglementation et réduire les coûts associés aux pénalités
- Éviter les violations de données
- Améliorer le retour sur les investissements en veille stratégique
- Réduire les coûts technologiques du stockage et de l’investigation informatique (eDiscovery)
- Améliorer les capacités d’analyse des données
- Maîtriser la prolifération des systèmes et la sous-traitance informatique
- Sensibiliser les employés aux politiques relatives à l’information
Quelles réglementations concernent la gouvernance de l’information ?
De nombreuses réglementations gouvernementales et industrielles comportent des exigences liées à la sécurité des données, à la conservation des données et à la gestion des documents qui peuvent affecter votre stratégie de gouvernance de l’information. Voici quelques-unes des principales lois que toute organisation opérant aux États-Unis doit connaître :
Sarbanes–Oxley Act of 2002 (SOX) — Cette réglementation essentielle normalisant les pratiques de gestion des documents s’applique à toutes les sociétés ouvertes aux États-Unis, sans exception. Elle impose de mettre en place des contrôles pour les documents financiers de l’entreprise, ainsi que des processus d’atténuation des risques. Elle stipule également que les documents de l’entreprise doivent être conservés pendant au moins cinq ans.
Health Insurance Portability and Accountability Act (HIPAA) — Cette loi s’applique aux prestataires de soins de santé, aux organismes d’information sur la santé et aux entités et partenaires commerciaux qui stockent, transmettent ou gèrent des informations médicales protégées. Elle leur impose de contrôler l’accès aux informations de santé, de fournir des pistes d’audit pour les systèmes de dossiers médicaux électroniques et d’assurer la confidentialité et la sécurité des informations médicales électroniques protégées.
Gramm-Leach-Bliley Act (GLBA) — Cette loi exige des institutions financières qu’elles protègent les informations personnelles non publiques de leurs clients. Les documents financiers doivent être correctement protégés et, lorsqu’ils ne sont plus utiles, ils doivent être détruits afin que personne ne puisse y avoir accès.
Federal Records Act (44 U.S.C. 31) et autres lois – Ces textes obligent les organismes fédéraux à créer des documents qui attestent de leurs activités, à classer les documents pour les entreposer en toute sécurité et les récupérer efficacement, et à éliminer les documents de façon appropriée.
Les autres réglementations qui peuvent affecter votre stratégie de gouvernance de l’information comprennent :
- Foreign Account Tax Compliance Act (FATCA)
- Payment Card Industry Data Security Standard (PCI-DSS)
- Règles fédérales de procédure civile
Conclusion
La gouvernance de l’information crée de la valeur et des avantages considérables, surtout en raison du développement des entrepôts de données et de l’augmentation de la surveillance réglementaire. La conception et la mise en œuvre d’une stratégie de gouvernance de l’information efficace permettent à votre organisation d’atténuer les cyber-risques, de garantir la disponibilité des données, de contrôler les coûts et de relever les défis réglementaires. Commencez dès aujourd’hui, avant que votre organisation ne subisse une violation, n’échoue à un audit ou ne subisse des poursuites.
