La politique de gestion des données et ses éléments
La série « Maîtrise des données » traite du virage numérique amorcé par l’économie canadienne, de son importance, des problèmes de gouvernance qui en découlent et des solutions possibles. Elle s’intéresse aussi au rôle que peuvent jouer les CPA pour guider leur organisation au fil de cette transition. Le présent article fait partie de cette série.
LISEZ CET ARTICLE POUR EN SAVOIR PLUS SUR :
- ce qu’est une politique de gestion des données
- le caractère essentiel d’une telle politique
- les éléments qui la composent
- le rôle d’un CPA dans son élaboration
Qu’est-ce qu’une politique de gestion des données?
Une politique de gestion des données est un ensemble de règles élaborées pour que les actifs de données et les actifs informationnels soient toujours gérés de la même manière et utilisés à bon escient.
Pourquoi une politique de gestion des données est-elle essentielle?
Grâce à une politique de gestion des données, l’organisation est en mesure de traiter de manière cohérente tout l’éventail de développements et de scénarios pouvant survenir lors de la création, du traitement, de l’utilisation et du partage des données numériques. Une telle politique revêt encore plus d’importance étant donné les nombreuses sources de données, les différentes formes qu’elles peuvent prendre, le volume de données susceptible d’être généré et les besoins variés des unités d’exploitation qui doivent les consulter.
Voici des cas où les décisions doivent pouvoir s’appuyer sur une politique de gestion des données :
- occasions ou risques inattendus survenant lors du processus de transformation numérique de l’organisation
- problèmes de déontologie ou de partialité imprévus se présentant lors de l’adoption de l’intelligence artificielle par une organisation
- conflits entre les besoins des différents spécialistes des données de l’organisation (par exemple, l’équipe de conformité doit soumettre les données à des contrôles stricts tandis que la fonction
- d’analytique a besoin de grands volumes de données le plus rapidement possible)
- nécessité d’intégrer de nouvelles sources de données
Les éléments qui composent une politique de gestion des données
Dotée d’un cadre de gouvernance approprié sous la forme d’une politique de gestion des données, l’organisation pourra mieux harmoniser ses services et ses unités d’exploitation. La transformation numérique pourra alors se faire de manière cohérente et contribuer à la valeur ajoutée. Pour remplir son rôle de gouvernance, une politique de gestion des données doit répondre à plusieurs questions fondamentales :
- Comment l’organisation recueille-t-elle et distribue-t-elle les bonnes données au bon moment?
- Comment l’organisation traite-t-elle les occasions de monétiser les données pour en tirer des revenus?
- De quelle façon l’organisation qui transmet, vend ou rend accessibles ses données tout au long de sa chaîne de valeur des données (processus qui consiste à transformer les données brutes en un élément de valeur) tient-elle compte des aspects juridiques entourant la propriété des données et les droits d’auteur?
- Comment faut-il traiter les renseignements personnels?
- Quelles règles l’organisation doit-elle suivre à l’égard du lieu de conservation des données (l’emplacement physique des serveurs hébergeant les données)?
Une politique de gestion des données exhaustive répondant à ces questions comprendra les éléments ci-dessous.
1. Objectif
L’objectif d’une politique de gestion des données est d’établir clairement ce que l’organisation attend des personnes concernées. Souvent, les organisations sont portées à élaborer en premier leur stratégie de gouvernance des données, celle-ci exploitant les technologies numériques et les outils de gestion des données pour améliorer les résultats. Il est cependant difficile d’appliquer une stratégie si les attentes ne sont pas clairement définies. Voilà pourquoi il est recommandé d’élaborer d’abord sa politique de gestion des données, qui servira ensuite de base à la stratégie.
2. Champ d’application
La politique devrait préciser les types de données visées et l’utilisation prévue de celles-ci :
- La politique s’appliquera-t-elle à l’ensemble les données recueillies par toutes les unités d’exploitation, y compris les RH? Son champ d’application se bornera-t-il plutôt aux données ne contenant aucun renseignement personnel, comme les objets connectés à Internet, les commandes, les stocks, les factures, etc.?
- La politique s’appliquera-t-elle aux données historiques et archivées, ou seulement aux données recueillies après une certaine date?
- Quelles seront les limites imposées à l’utilisation des données par l’organisation? Quelles balises encadreront l’innovation et la poursuite d’occasions par les employés?
3. Responsabilités
La politique doit prévoir la nomination d’une personne responsable de son application. Dans les organisations dotées d’un chef des données, c’est généralement ce dernier qui assumera cette responsabilité. Le chef des données devra collaborer avec d’autres secteurs de l’organisation en ce qui concerne les domaines communs de responsabilité, comme la protection des renseignements personnels.
La définition claire des responsabilités du chef des données est essentielle quant à la planification, à la réalisation et à la production de rapports concernant la politique pour que les autres politiques et procédures de l’organisation soient ajustées.
4. Propriété des données, protocole Internet, licences et droits d’auteur
La politique doit définir clairement les droits de propriété des données et stipuler la manière de traiter celles-ci. Cette clarification s’impose pour les organisations qui envisagent de partager des données avec des tiers ou de leur en vendre. Ces organisations peuvent choisir par exemple :
- d’étiqueter tous les ensembles de données avant de les partager afin d’en suivre l’utilisation en aval et de gérer les risques
- de faire valoir leurs droits sur les données au moyen de droits d’auteur et d’accords de licence
- de rendre les données disponibles et accessibles à tous sans restriction
La politique pourrait aussi renvoyer à des contrats de partage de données. Enfin, l’intégration à des stratégies potentielles en matière de brevets sera de mise; elle permettra aux organisations de veiller à ce que des données essentielles ne soient pas menacées par l’innovation.
5. Collecte de données
La politique doit clairement exposer la manière dont les activités de collecte de données doivent être réalisées avant que l’utilisation secondaire et le partage de données n’aient lieu. Des règles claires doivent être établies concernant la provenance, la traçabilité, les attributs, la qualité et la fiabilité des données, de même que les métadonnées les concernant (à savoir, les informations décrivant avec précision les caractéristiques des données). Idéalement, les processus de vérification et d’étiquetage des données doivent également être précisés dans la politique. Enfin, la politique doit indiquer comment les déclarations de provenance ou d’authenticité seront produites ou fournies de manière à étayer les données qui seront partagées, vendues ou autrement distribuées.
6. Accès, partage, conservation et élimination
La politique doit décrire comment se feront l’accès aux ensembles de données et à leurs sources (souvent appelés flux de données) générés par l’organisation et le partage de ceux-ci. Certaines organisations souhaiteront que les ensembles de données demeurent là où ils sont et ne soient pas transférés vers d’autres serveurs. En pareil cas, le chef des données devra superviser l’application de la politique d’accès aux données, y compris les droits d’accès fondés sur les profils d’utilisateurs, probablement gérés par des contrôleurs de données (personnes chargées des règles concernant l’accès aux données et la protection des renseignements personnels). Une autre approche consisterait à transférer des ensembles de données vers un nouveau serveur ou le nuage, où les droits d’accès seraient gérés de manière centralisée.
La politique devrait également préciser les paramètres relatifs à la conservation et à l’élimination éventuelle des données. Elle pourrait aussi préconiser l’utilisation d’une interface de programmation d’applications (API) en guise de mécanisme de partage des données. La politique devrait en outre comprendre des cadres de gestion des métadonnées et des glossaires.
7. Intelligence artificielle
Le déploiement de l’intelligence artificielle (IA) pour améliorer l’efficacité et obtenir de meilleurs résultats est une question importante qu’il faudra prendre en considération dans de nombreuses organisations. La politique doit préciser dans quelles circonstances l’IA peut être utilisée au sein de l’organisation. Puisque les données sont nécessaires à l’apprentissage des algorithmes par l’IA, la politique doit établir les liens adéquats entre la collecte de données en amont, et l’accès aux données et l’analyse de celles-ci en aval. La politique pourrait décrire :
- les avantages et les mesures incitatives concernant la création d’ensembles de données de haute qualité dans les domaines prioritaires
- la perspective de l’organisation quant à l’utilisation éthique de l’IA
- le processus à suivre pour veiller à ce que l’IA reste harmonisée à la stratégie au fur et à mesure de son évolution attribuable aux processus d’apprentissage machine ou aux activités de reprogrammation
8. Lieu de conservation des données
Il pourrait être indiqué que la politique expose clairement des limites concernant le lieu de conservation des données, y compris le lieu de conservation des renseignements personnels. Par exemple, les organismes du secteur public pourraient être tenus de stocker des ensembles de données sur des serveurs situés au Canada ou de choisir des fournisseurs de services d’infonuagique situés au Canada. Dans certaines circonstances, il pourrait aussi être nécessaire d’obtenir le consentement des propriétaires des renseignements (les clients ou les membres, par exemple) afin de pouvoir stocker des données hors du pays.
En outre, le lieu de conservation pourrait avoir une incidence sur la fiscalité, comme dans le cas d’une organisation dont les données seraient conservées dans un territoire différent de celui de sa constitution. Les données seraient alors soumises aux lois, règlements, normes, règles et pratiques de leur lieu de conservation, ce qui pourrait toucher les activités, les responsabilités juridiques et les obligations d’information de l’organisation.
9. Protection des renseignements personnels
Même si la plupart des organisations respectent déjà la réglementation sur la confidentialité et la protection des renseignements personnels, bon nombre d’entre elles n’ont aucune politique à cet égard. Dans les cas où la politique de gestion des données s’applique à des données contenant des renseignements personnels, elle doit préciser comment l’organisation se conformera aux règlements applicables en la matière. Elle pourrait notamment contenir des dispositions relatives au traitement des plaintes provenant de clients ou d’utilisateurs, ou définir les responsabilités et les procédures précises s’appliquant aux données relatives aux citoyens de différents territoires.
10. Éthique
Dans les cas où des algorithmes sont élaborés, formés ou déployés, la politique pourrait énoncer la mise en place d’un processus visant à garantir la prise en compte des questions éthiques. Certaines organisations créeront un comité consultatif d’éthique sur l’IA afin de s’assurer qu’aucun parti pris involontaire n’est introduit lors de l’élaboration, de la formation et de l’utilisation des algorithmes, et que l’IA demeure pertinente et harmonisée à la stratégie. Les règles d’utilisation éthique des données ne doivent pas régir uniquement les applications de l’IA.
11. Approbation et mise en œuvre
La politique de gestion des données d’une organisation fait partie Intégrante du plan stratégique de celle-ci. Elle devrait être examinée et approuvée par le chef de la direction et le conseil d’administration de l’organisation. Le soutien actif de la direction est un facteur essentiel de réussite, comme pour toute politique de l’organisation.
Rôle d’un CPA dans l’élaboration d’une politique de gestion des données
Les compétences fondamentales nécessaires à l’obtention du titre de CPA comprennent notamment l’analyse des données, leur interprétation aux fins de la prise de décisions stratégiques ainsi qu’une profonde compréhension des affaires qui mène souvent le CPA à occuper un poste de direction. Les CPA qui travaillent en certification observent des normes de certification rigoureuses lors de la réalisation des missions les plus diverses, dont certaines portant sur des sujets autres que les informations financières historiques.
Ces atouts, combinés à la responsabilité des CPA de protéger l’intérêt public, vous prédisposent à collaborer à l’élaboration, à la mise en application et à la surveillance d’une politique de gestion des données. De plus, le Canada compte une grande majorité de petites et de moyennes organisations qui possèdent des ressources limitées et qui n’ont pas entrepris de transformation numérique. Les CPA de ces organisations pourraient jouer un rôle prépondérant dans la gestion de cette transformation.
En tant que CPA, vous possédez des compétences qui font de vous un solide candidat au poste de chef des données. Ce poste est souvent occupé par un membre de la haute direction responsable des actifs de données de l’organisation, notamment de l’élaboration de la stratégie et de la mise en œuvre des solutions organisationnelles en matière de gestion des données.
Il n’est pas nécessaire que la politique de gestion des données soit un document fort détaillé. L’élaboration d’une politique claire et sans ambiguïté est cependant essentielle au succès futur de l’organisation et à l’atténuation des risques. La politique doit appuyer les objectifs opérationnels de l’organisation et favoriser la réussite de ses projets. Si elle est conçue adéquatement, elle enverra le bon signal aux membres du personnel quant à l’importance de bien maîtriser les données de l’organisation et au rôle qu’ils peuvent jouer pour en tirer parti.
Avez-vous apprécié la lecture du présent article? Avez-vous de l’information à transmettre au sujet des stratégies ou des données numériques? Participez à la conversation numérique et faites part de vos réflexions aux membres de notre communauté en ligne de CPA, d’experts des données et de chefs d’entreprise.
LA SÉRIE « MAÎTRISE DES DONNÉES »
De plus amples informations sont publiées concernant le rôle essentiel que peuvent jouer les CPA dans d’autres volets de la maîtrise des données, par exemple :
- l’économie numérique canadienne et le rôle des CPA
- la compréhension de la chaîne de valeur des données
- l’élaboration d’une stratégie numérique
- la détermination de la valeur des données