Introduction à la gouvernance de l’information

Les organisations connaissent une explosion des volumes et de la variété des données qu’elles collectent, stockent et traitent. Beaucoup ne comprennent malheureusement pas les types de données qu’elles gèrent ni la valeur de ces données, et se trouvent bien incapables d’en garder la maîtrise. Au bout du compte, elles en subissent souvent de graves conséquences juridiques, financières et réputationnelles. Mais une bonne gouvernance de l’information aide à échapper à cette fatalité.

Qu’est-ce que la gouvernance de l’information ?

Ce processus, dit « IG » pour information governance, concerne la gestion des actifs informationnels – registres des ressources humaines, informations clients, dossiers médicaux, propriété intellectuelle… Il est continu et non ponctuel.

La définition de Gartner de l’IG est largement acceptée.

La firme de conseil définit la gouvernance de l’information comme la désignation de droits de décision et d’un cadre de responsabilité pour garantir un comportement approprié lors de l’estimation, de la création, du stockage, de l’utilisation, de l’archivage et de la suppression des informations. Ce cadre comprend les traitements, les rôles et politiques, les standards et les indicateurs assurant l’utilisation effective et efficace des informations au service des objectifs de l’organisation.

Éléments d’un plan de gouvernance de l’information

Créer un programme opérant exige de mettre en œuvre des règles, des processus et des technologies pour gérer l’information tout au long de son cycle de vie. Les principaux enjeux consistent en :

• définir clairement comment vous gérerez les actifs informationnels et expliquer les attentes, les responsabilités et les règles au personnel chargé de traiter les informations du réseau ou du cloud ;
• vous assurer que les pratiques de gestion des informations sont conformes aux obligations légales et de rendre compte aux attentes des parties prenantes et aux besoins commerciaux.

Au lieu d’une seule politique de gouvernance de l’information, les organisations en créent généralement plusieurs :

• Politiques de sécurité de l’information
• Politiques de gestion des documents d’activité
• Calendriers de conservation et de destruction
• Politiques d’archivage
• Politiques de confidentialité des données
• Politiques des technologies de l’information et de la communication (TIC)
• Politiques de partage de l’information
• Politiques de télétravail

Qu’est-ce qui distingue la gouvernance des informations de celle des données ?

Si la gouvernance des données et celle de l’information sont toutes deux cruciales et se chevauchent parfois, elles n’en sont pas moins différentes :

• La gouvernance de l’information se focalise sur la gestion du cycle de vie des données. Cette discipline stratégique relève de la responsabilité de professionnels qui s’y consacrent, en lien avec la direction et les autres parties intéressées. Les exemples types comprennent la restriction de l’utilisation d’informations à caractère personnel, la protection de la confidentialité des données et la mise en place de délais de conservation des documents.
• La gouvernance des données, quant à elle, concerne la gestion des données pour garantir que celles-ci sont disponibles, intègres, utilisables et en sécurité. Les activités de gouvernance des données comprennent la gestion des métadonnées, l’architecture des données, l’évaluation des risques, l’exploitation des données, le recours au contrôle de version, et le contrôle de la qualité des données.

La mise en œuvre simultanée des deux gouvernances, des données et de l’information, peut amener des pratiques de gestion des informations à forte valeur ajoutée.

Pourquoi la gouvernance de l’information est-elle importante ?

Un programme robuste de gouvernance de l’information aide les organisations de multiples façons, notamment à :

• répondre aux besoins et aux objectifs stratégiques de l’entreprise
• satisfaire aux obligations réglementaires et éviter les sanctions
• prévenir les violations de données
• augmenter le retour sur l’investissement décisionnel de l’entreprise
• réduire les coûts de stockage
• utiliser la technologie de découverte électronique (e-discovery)
• améliorer les capacités d’analyse des données
• garder le contrôle sur la multiplicité des systèmes et les fonctions informatiques externalisées
• renforcer la connaissance interne des politiques de l’information

Les réglementations de l’IG

Beaucoup de règles sectorielles et de réglementations intègrent des obligations touchant la sécurité des données, la conservation des données et la gestion des documents d’activité qui peuvent affecter votre stratégie de gouvernance de l’information.

Parmi les lois américaines, les organisations qui opèrent aux États-Unis doivent en particulier connaître :

• La loi Sarbanes-Oxley (SOX) – cette réglementation clé normalise les pratiques de gestion des documents d’activité et s’applique sans exception à toutes les entreprises cotées aux États-Unis. Elle exige la mise en œuvre de contrôles sur les documents financiers de l’entreprise et de processus de réduction des risques. Elle dispose de conserver les données financières pendant au moins cinq ans.
• La loi sur la portabilité et la responsabilité des assurances maladie (HIPAA) – cette loi Health Insurance Portability and Accountability Act s’applique aux prestataires de soins de santé, aux organismes détenteurs de données de santé et aux autres entités et partenaires qui stockent, transmettent ou gèrent des données médicales protégées (PHI). Elle leur impose de contrôler l’accès aux données de santé, de produire des pistes d’audit pour les systèmes de dossier électronique, et d’assurer la confidentialité et la sécurité des dossiers médicaux électroniques (ePHI).
• La loi Gramm-Leach-Bliley (GLBA) – elle exige des établissements financiers qu’ils protègent les données personnelles non publiques de leurs clients. Les documents financiers doivent être stockés en sécurité, puis détruits quand ils ne sont plus nécessaires afin qu’il ne soit plus possible d’y accéder.
• La loi sur les documents fédéraux (Federal Records Act, 44 U.S.C. 31) et autres statuts – ces réglementations imposent aux agences fédérales de créer des registres documentant leurs activités ; d’archiver en sécurité les registres, qui doivent pouvoir faire l’objet d’une recherche documentaire efficace ; et de détruire les dossiers correctement.

D’autres obligations peuvent affecter votre stratégie de gouvernance de l’information :

• la loi sur la déclaration de comptes à l’étranger (Foreign Account Tax Compliance Act, ou FATCA)
• la norme sur la sécurité des données des cartes de paiement (PCI-DSS)
• les règles fédérales américaines de procédure civile Federal Rules of Civil Procedure

L’avantage Netwrix

Le logiciel de gouvernance de l’information de Netwrix aide les organisations à automatiser la gouvernance des données et à réduire les risques pour celles-ci. Vous contrôlez les données à leur création ou ingestion, vous identifiez leur degré de confidentialité, et vous vous assurez de ne collecter que ce dont votre organisation a besoin. En outre, en répondant plus efficacement aux demandes d’accès aux données personnelles (DSAR), vous gagnez du temps et de l’argent.

Conclusion

La gouvernance de l’information apporte un avantage significatif, notamment lorsque les datastores grossissent et que la surveillance réglementaire s’accroît. Développer et mettre en œuvre une stratégie d’IG va aider votre organisation à réduire les cyber-risques, à garantir la disponibilité des données, à maîtriser les coûts et à satisfaire aux obligations réglementaires complexes. Envisagez de commencer dès aujourd’hui, avant que votre organisation ne subisse une violation, n’échoue à un audit ou ne soit traînée en justice.

FAQ

Qu’est-ce que la gouvernance de l’information (IG) ?

Une définition élémentaire de l’IG est qu’il s’agit d’un ensemble de procédures, de politiques et de technologies servant à gérer l’information tout au long de son cycle de vie. Citons pour illustration deux exemples de gouvernance de l’information :

• la mise en place de contrôles pour restreindre l’accès à des informations sensibles ou réglementées ;
• l’adoption de politiques de destruction correcte de l’information à la fin de son cycle de vie.

Quelle est la différence entre la gouvernance des données et celle de l’information ?

Les deux se ressemblent, sans être identiques. La gouvernance des données est axée sur la qualité, l’intégrité et la disponibilité des données. La gouvernance de l’information implique d’établir des politiques et procédures de gestion de l’information tout au long du cycle de vie.

Pourquoi la gouvernance de l’information est-elle importante ?

La gouvernance de l’information aide les organisations à éviter les violations de données, à garantir le respect de leurs obligations légales, à atteindre leurs objectifs commerciaux et bien plus encore.

Qu’est-ce qu’un plan de gouvernance de l’information ?

Un plan de gouvernance de l’information couvre les politiques, les stratégies, les technologies et les procédures qu’une organisation utilisera pour gérer ses données avec responsabilité.

Comment une organisation peut-elle créer un programme de gouvernance de l’information ?

Pour ce faire, une organisation doit définir des politiques et procédures claires de gestion de l’information, comme l’exigent les réglementations applicables, former son personnel à la gouvernance de l’information et surveiller ce programme pour mettre au jour les possibilités d’amélioration.