Open in app

Sign in

Write

Sign in

Gouvernance des données et Architecture d’entreprise au service de votre démarche de mise en conformité réglementaire

Comment adresser le problème de mise en conformité dans sa globalité à l’échelle de l’entreprise ?

10 min readSep 17, 2021

--

Grâce à l’Architecture d’Entreprise et la Gouvernance des données, maitrisez les impacts réglementaires sur vos actifs Data et IT.

Dans un précédent article, nous avions montré comment l’Architecture d’Entreprise associée à la Gouvernance des données constituent un levier essentiel dans le développement de vos programmes de transformation. Dans la continuité de ce travail, nous proposons une illustration avec la démarche de mise en conformité réglementaire.

Le réglementaire : une pression croissante sur les organisations

Au cours des dernières décennies, différentes crises et ruptures technologiques ont fortement marqué l’ensemble des secteurs économiques et financiers. Ces changements profonds comportent des risques majeurs à l’échelle mondiale, et constituent ainsi des menaces sur la stabilité des institutions et de la société d’une manière générale.

Pour faire face à ces défis, et encadrer les risques inhérents aux nouveaux usages technologiques, les autorités légales ont multiplié les réglementations. Tous les secteurs d’activités sont concernés par cet interventionnisme des autorités publiques, celui-ci pouvant prendre des formes diverses (par exemple : régulation tarifaire, contrôle des entreprises, règles de déontologie, enjeux environnementaux, protection de la vie privée).

Enjeux de la régulation

A titre d’illustration récemment la Commission européenne a défini un cadre juridique visant à réglementer l’utilisation de l’intelligence artificielle. Elle est motivée par l’éthique et vise l’encadrement des applications jugées « à haut risque », avec des normes à respecter et une certification à obtenir avant la mise sur le marché.

Sont notamment visés, les outils utilisés pour :

  • Le recrutement
  • L’évaluation de la solvabilité des personnes
  • L’identification biométrique à distance dans les lieux publics
  • Les systèmes de priorisation des services d’urgence.

La Commission préconise des amendes pouvant grimper jusqu’à 6% du chiffre d’affaires annuel mondial ou 30 millions d’euros au maximum.

Définition et portée des réglementations

Certaines réglementations s’appliquent à presque toutes les organisations et entreprises. D’autres s’appliquent au niveau d’un pays, voire des secteurs d’activités spécifiques.

Réglementation à portée sectorielle : l’exemple du secteur bancaire

La réglementation bancaire découle essentiellement des standards internationaux établis par le Comité de Bâle. Créé en 1974, ce comité est chargé de renforcer la solidité du système financier mondial ainsi que l’efficacité du contrôle prudentiel et la coopération entre régulateurs bancaires. Il rassemble aujourd’hui les superviseurs de 27 pays. La réglementation bancaire recouvre l’ensemble des normes s’appliquant aux établissements de crédit, banques, sociétés financières, etc. Les objectifs principaux de la réglementation bancaire sont :

  • D’assurer la sécurité des placements et des investissements ;
  • De permettre la transparence et la traçabilité des opérations ;
  • De mettre en place des normes similaires dans tous les pays.
Exemples de réglementations du secteur bancaire

Réglementation à portée territoriale : l’exemple du RGPD

Une donnée à caractère personnel est une information se rapportant à une personne physique identifiée ou identifiable. Les entreprises amenées à traiter des données permettant d’identifier les personnes physiques doivent notamment :

• Garantir la sécurité de ces données

• Demander en aval le consentement des personnes

• Faire preuve de transparence dans le traitement des données

Le règlement général sur la protection des données (RGPD) est entré en application le 25 mai 2018. Ces mesures encadrent le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne. Toute structure privée ou publique établie sur le territoire de l’Union Européenne (ou ayant une activité ciblant les résidents européens) et effectuant de la collecte ou du traitement de données à caractère personnel est soumise à cette règlementation.

Des mesures législatives sur la protection des données à caractère personnel en France et en Europe sont appliquées depuis plus de 40 ans avec comme référence la loi « Informatique et Libertés » (1978).

Evolution des mesures sur la protection des données à caractère personnel

La mise en conformité réglementaire : de nouvelles exigences à intégrer à l’échelle de l’entreprise

La réglementation affecte sensiblement le fonctionnement des marchés.

Car le respect de nouvelles législations requiert une mise en œuvre complexe et peut avoir une incidence sur la gouvernance des organisations et leur performance opérationnelle. Les entreprises doivent ainsi :

  • Évaluer l’impact des nouveaux règlements sur leurs activités
  • Identifier et remédier aux manquements par rapport aux exigences réglementaires
  • Établir de nouveaux mécanismes de contrôle
  • Etablir de nouvelles procédures pour le reporting réglementaire.

La conformité peut être définie comme l’ensemble des actions visant à intégrer dans les organisations, les processus et les procédures, des exigences issues des normes externes. Il s’agit des directives, règlements et lois mais aussi des exigences des autorités de contrôle (exemples : ACPR, AMF, CNIL) qui émettent des recommandations ou instructions dont les manquements sont sanctionnés.

Mise en conformité réglementaire : les impacts

A titre d’exemple, la norme ISO 37301:2021 spécifie les exigences et fournit des lignes directrices pour mettre en œuvre, évaluer, maintenir et améliorer un système de gestion de la conformité efficace au sein d’une organisation.

La conformité veille à ce que ces exigences soient intégrées à la documentation interne (code déontologique, procédure, etc.) et appliquées par les collaborateurs.

Le non-respect des dispositions réglementaires peut entraîner des sanctions judiciaires ou administrative, avec à la clé une perte financière significative et/ou une atteinte à la réputation.

Maitriser le cycle de vie des données : un enjeu pour la conformité

Même si la notion de conformité n’est pas nouvelle, les changements récents résident plutôt dans la manière dont la conformité s’exerce à présent au sein des organisations, le secteur Data étant alors pleinement concerné.

Ainsi, le point commun de toutes les nouvelles législations est d’exiger des organisations une capacité à démontrer leur maîtrise des différentes utilisations faites de leurs données, leur transparence ainsi que le maintien d’une documentation pertinente.

Pour en être en conformité règlementaire, les organismes doivent être en mesure de produire des rapports, contenant les données de traçabilité et les chaînes de traitement.

Ces données constituent des éléments de preuves notamment pour :

• La gestion et la prévention des risques sur les données liées aux activités financières.

• La protection des données grâce à la mise en place de contrôles.

• La confidentialité des données privée ou à caractère personnel.

Pour maintenir la conformité, les organisations ont besoin de comprendre (grâce aux métadonnées notamment) et maîtriser le cycle de vie de leurs données. Elles doivent non seulement connaître, mais aussi être capables de démontrer, en fonction des besoins, par quels processus et transformations ces données sont utilisées, transformées.

D’une manière générale, la gestion du cycle de vie des données se réfère au processus de changement et d’évolution d’une donnée à travers sa « vie », à savoir depuis sa création à sa disparition, en passant par différentes étapes.

Pour une donnée identifiée, un processus métier va, à un instant T, la collecter (ou la créer), la transformer (traitement, mise à jour), la stocker, la transférer, etc.

Chaque étape du cycle de vie doit donc répondre aux exigences réglementaires (protection des données personnelles, traçabilité etc.).

Les diverses phases du cycle de vie des données

Par exemple dans le domaine bancaire, la gestion des données pour les besoins de reporting BCBS 239 nécessite :

• Une compréhension de la manière dont les informations circulent dans une organisation au fil du temps.

• Une connaissance de la manière dont les informations sont consultées et traitées à différentes étapes, par différentes applications et personnes et à des fins diverses.

Principes d’une démarche efficace de mise en conformité

La mise en conformité est une démarche d’amélioration continue, un processus en quatre étapes d’identification et d’analyse, d’évaluation, de correction et de surveillance des risques.

Cette approche permet de prendre en compte les exigences de conformité et les directives internes de manière native tout au long du cycle de vie des données.

La mise en conformité : une démarche d’amélioration continue

Apports du duo Gouvernance & Architecture des données pour réussir votre mise en conformité

La conformité règlementaire oblige les entreprises à justifier de processus et contrôles stricts sur la production des données et des rapports règlementaires. Pour arriver à une gestion fluide et une maitrise des traitements des données, les organisations ont tout à gagner à s’appuyer sur une gouvernance de donnée et une gouvernance du Système d’Information afin :

  • D’identifier et mettre en œuvre les exigences liées à la gestion de la conformité.
  • D’organiser les activités, d’établir les responsabilités sur l’application des normes et standards réglementaires.
Une approche multidimensionnelle

De fait, en mettant en place une gouvernance des données, vous définissez un cadre organisationnel, des principes directeurs, politiques, et règles permettant de gérer les données selon une stratégie définie au niveau entreprise. Dans cette dynamique vertueuse, le cadre de gouvernance des données intègre les exigences de conformité règlementaire et les directives internes afin d’assurer la traçabilité et la protection des données.

Cela se traduit par un ensemble d’activités de gestion des données à l’échelle de l’entreprise. Parmi les activités nous pouvons citer : le catalogage, le linéage, la gestion des données référentielles.

  • Le catalogage offre une vision patrimoniale sur les données de l’entreprise, en documentant les informations au travers d’un glossaire métier, d’un dictionnaire de données. Il recense également l’ensemble des métadonnées de classification sur la confidentialité, la sécurité, etc., ceci en lien avec les exigences réglementaires.
  • Le lineage décrit le cheminement et les transformations des données au fil du temps depuis les sources jusqu’aux destinations. Le data lineage adresse les niveaux techniques et métier. Il documente la traçabilité des données, et permet de de fournir des preuves réglementaires, des pistes d’audit.
  • Les analyses et reporting nécessitent réconciliation de nombreuses données transverses. Cela se traduit par des programmes de mise en qualité des données, et la mise en place de processus de gestion des données de référentielles.

La mise en conformité est une problématique globale, systémique, pour le SI. Un enjeu aux répercussions incertaines sur le patrimoine SI. La prise en compte des exigences de conformité par le système d’information représente un coût important pour les organisations. Ainsi la composante architecturale du système d’information est sans doute celle qui a le plus d’impact potentiel, le plus fort effet de levier.

Avec une approche de conception d’architecture « conformité by design », les entreprises élaborent un socle de conformité commun à toute l’entreprise. Seule l’Architecture d’Entreprise permet d’adresser le problème de mise en conformité dans sa globalité, de manière transverse à l’entreprise, quelles que soient les parties prenantes (clients, salariés, prospects, partenaires, fournisseurs), et quels que soient les processus concernés, et cela à chaque étape du cycle de vies des données.

Plutôt que d’être dans une position attentiste en traitant la mise en conformité du SI de manière localisée en réaction aux nouvelles exigences, les organisations devraient opter pour une stratégie d’anticipation de certains travaux avec un cadre d’architecture de référence.

Ce cadre d’architecture :

  • Intègre les exigences réglementaires et de politique d’entreprise
  • Fournit des lignes directrices aux équipes projets IT.
  • Accompagne, sécurise les changements et garantit que les futurs projets n’entraîneront pas de risques liés à la conformité réglementaire.

Grâce à une activité de veille sur les normes et réglementations, les exigences de conformité seront systématiquement importées dans le référentiel d’architecture d’entreprise. Cela permettra de disposer d’une vision d’ensemble des actifs IT pouvant être impactés par ces réglementations.

L’architecture pourrait ainsi élaborer une plateforme de conformité, avec des composants mutualisés sur :

  • La classification des données (selon les exigences des réglementations)
  • Les services de mise en conformité

Conclusion

Les initiatives de mise en conformité doivent s’inscrire dans un programme global et transverse à l’entreprise. Ce programme mettra en place les processus et outils nécessaires à l’évaluation des impacts et la prise en compte des nouvelles exigences de conformité.

La réussite d’un programme de mise en conformité repose sur la capacité des entreprises à :

  • Mettre en place une démarche holistique au moyen d’une démarche d’Architecture d’Entreprise,
  • Avoir une bonne maîtrise du cycle de vie des données impactées, par le biais de la Gouvernance des données,
  • Accompagner les projets dans l’intégration des exigences de conformité dès la phase conception.

L’Architecture d’Entreprise s’assure que les systèmes répondent aux exigences issues de la régulation, et sécurise la roadmap de mise en conformité

La Gouvernance des données met en place les mécanismes permettant davantage d’engager et de responsabiliser les métiers et l’IT, sur la gestion des données, en intégrant les exigences de traçabilité, de reporting et de protection.

Les deux disciplines « Architecture d’Entreprise » et « Gouvernance des données » œuvrent ainsi ensemble pour la mise en place et le respect de politiques issues de la réglementation.

Elles renforcent ainsi la capacité d’une entreprise à gérer plus efficacement les changements récurrents liés à la mise en conformité réglementaire.

Djibril Ndiaye
Consultant Data
Pramana

Gouvernance
Data
Architecture
Enterprise
Conformité

--

--

Written by Pramana

145 Followers

Designing The Digital World — Data Governance, Enterprise Architecture — more on pramana.fr and on LinkedIn

Help

Status

About

Careers

Blog

Privacy

Terms

Text to speech

Teams