Au centre de la discussion et entre autres sujets, la GDPR (General Data Protection Regulation, ou RGPD pour Règlement Général sur la Protection des Données), adoptée en mai 2016 par l'Union européenne et applicable à partir du 25 mai 2018. Ce nouveau règlement va nécessiter, pour les acteurs du traitement des données, une mise à niveau conséquente de leur conformité : la GDPR vise à permettre une harmonisation totale des règlements nationaux, qui va toucher les données des Européens et donc les États membres de l'Union, mais aussi les entreprises en dehors de l'Europe.
Au regard du législateur, les entreprises – et en particulier leurs représentants légaux – sont responsables de la protection des données de leurs clients. La grande nouveauté, c'est que la GDPR ne se contente plus de déclarations, comme c'est aujourd'hui le cas pour la CNIL, mais il va désormais falloir être capable de prouver qu'on a anticipé la conformité à la loi et pris les mesures techniques, organisationnelles et juridiques nécessaires. Si ce n'est pas le cas, le règlement européen prévoit des sanctions pouvant aller jusqu'à 4 % du chiffre d'affaires annuel mondial de l'entreprise sur un total maximum pouvant atteindre 20 millions d'euros. Quant aux sanctions pénales, elles pourront aller jusqu'à cinq ans d'emprisonnement et 300 000 euros d'amende. On a changé d'échelle... mais aussi de logique.
Martin Lenoir de La Cochetière, chargé de mission à la gouvernance des données chez BNP Paribas Cardif
Martin Lenoir de La Cochetière, chargé de mission à la gouvernance des données chez BNP Paribas Cardif, venu apporter son témoignage d'utilisateur, commente "maintenant, il y aura cinq cases à cocher sur les contrats et non plus une seule.... Ce sera un gros challenge ! Et compte-tenu du niveau des amendes, il ne sera plus question de temporiser lors d'une demande de modification de données clients". Pour se préparer à cette échéance, BNP Paribas Cardif a structuré la gestion des données de l'entreprise en créant, depuis deux ans, des groupes de gouvernance des données. Pour créer ces équipes, il a fallu mettre tous les acteurs de la chaîne autour de la table, y compris les prestataires extérieurs. Les comités ont été créées ensuite, en premier lieu un comité stratégique, qui inclut la direction. "Nous sommes dans un système de responsabilité cumulative tout au long de la chaîne, y compris avec nos partenaires", explique Martin Lenoir de La Cochetière. "Et la gouvernance a désormais un droit de veto sur certains projets, ce qui illustre bien l'importance qu'elle a pris. En outre, si les données d'un contrat sont fantaisistes, Cardif peut maintenant le rompre unilatéralement".
Des données à foison
Alain Pétrissans, directeur de la recherche chez IDC, a planté le décor en commentant une étude portant sur la situation en France. À la question "Utilisez-vous les types de données suivantes dans vos analyses ?", seuls 54 % des répondants ont mentionné les données transactionnelles structurées. Parmi les autres possibilités, citons les données textuelles issues des entrepôts de données ou des réseaux sociaux, les données géographiques, les données issues de l'Internet des objets, des appareils mobiles etc. Bref, une multitude de sources de données, rendant leur gestion d'autant plus complexe. Gabriel Ferreira, responsable avant-vente chez PureStorage, confirme et ajoute que "les données non structurées représentent un poids énorme, de l'ordre de 10 à 100 fois le volume des données structurées".
Alain Pétrissans, directeur de la recherche chez IDC
Les défis lancés à la DSI sont nombreux : parmi ceux-ci, lorsqu'on pose la question "quels ont les trois challenges les plus importants concernant les initiatives en matière de solutions analytiques ?", l'intégration des données est la plus citée par les répondants (44 %), suivie de la qualité des données (39 %), de la sécurité des données (37 %). Suivent le manque de compétences, les coûts et la définition d'une architecture appropriée. " Il existe un gros décalage entre la compréhension des DSI et les priorités des équipes marketing", souligne Alain Pétrissans. En effet, interrogés sur les principaux enjeux auxquels ils ont à faire face, les DSI placent l'analyse des données pour en tirer de la valeur ajoutée en tête (69 %), tandis que les gens du marketing estiment à 92 % qu'il faut avant tout imaginer les informations que l'on pourrait tirer des données collectées. Une collecte des données qui paraît deux fois plus importante aux gens du marketing (46 %) qu'à ceux de la DSI (25 %).
Il conclut en insistant sur le "boom des data workers", ces employés aux compétences diverses (développeurs, analystes et chercheurs IT, mais aussi statisticiens, directeurs de BU, experts en finances, en mathématiques, comptables etc.) dont la mission est de travailler sur les données. De 760 000 en 2015 en France, leur nombre devrait passer à un million en 2020. "Deux entreprises sur trois éprouvent des difficultés lors du recrutement. C'est un challenge de taille", explique Alain Pétrissans.
De la valeur des données et de leur gouvernance
"Suivre toutes les données, ce n'est pas possible c'est pour cela que nous suivons des données clés", constate Martin Lenoir de La Cochetière qui précise que "nous disposons d'un CDO (Chief Data Officer) et d'un CGO (Chief Governance Officer)", deux hommes clés en matière de gouvernance des données, qui semblent pour l'instant se parler et se comprendre.
"La valorisation des données est tirée par les métiers", remarque Alain Pétrissans. "Parler de tirer de la valeur des données dans les entreprises, c'est un peu comme parler de cloud il y a 10 ans", ironise Mathias Robichon, Systems Engineering Manager chez Netapp. "Mais oui, le traitement des données est vraiment tiré par les métiers".
Pour Valérie Thiblet, responsable Data Gouvernance - Insights & Data chez Capgemini, "c'est déjà un gros challenge que de vouloir cartographier les données, par application, par département etc. Il faut définir la valeur de chaque donnée et qui pilote son niveau de gouvernance. La nouvelle réglementation va pourtant nécessiter de lever le voile là-dessus". Elle constate par ailleurs que "les retours du terrain sont assez faibles en matière de gouvernance".
"Un projet sur deux est tiré par des problèmes de gouvernance de données", constate Denis Espérandieu, Engagement Manager Professional Services chez Teradata. Mais il constate aussi qu'il y a des cycles et des effets de mode. "Force est de constater que les plus beaux projets de MDM (Master Data Management) ont été menés en Angleterre ou en Allemagne, pas en France". Le MDM est pourtant à la base de la gouvernance des données.
Quant à la responsabilité des données, si l'on se perd en conjectures sur le sujet – et le présent débat n'a pas failli à la règle – la réponse devrait pourtant être claire : nombreux sont ceux qui pensent encore et toujours que cette responsabilité incombe à la DSI, comme le confirme Valérie Thiblet, qui constate que sur le terrain "on considère encore la donnée comme de la responsabilité des informaticiens". Pourtant, la DSI n'agit qu'en tant que prestataire de services, une réalité désormais bien assimilée ; ce sont les métiers qui alimentent les bases de données de l'entreprise. Alain Pétrissans indique par exemple qu'il y a à l'heure actuelle de nombreuses demandes concernant la capture de données externes. Et si l'on s'en réfère à la RGPD évoquée plus haut, il apparaît bien qu'au final, aux termes de cette nouvelle réglementation comme de celles déjà en vigueur, c'est le représentant légal de l'entreprise ou de l'organisation qui est responsable des données et de ses traitements.
Les données et leur gouvernance soulèvent donc de nombreuses questions. Mais ce débat y aura apporté relativement peu de réponses, ce qui se comprend aisément au regard des défis colossaux qui attendent les DSI. Quoi qu'il en soit, il aura au moins jeté les bases de la problématique et donné la mesure de son ampleur. DSI, à vous de jouer.
Benoît Herr