La Gouvernance de l'Information

Vous avez certainement remarqué ces dernières années l'engouement pour les sujets "data", et vous connaissez peut-être la Gouvernance des Données (GD), ou "Data Gouvernance". Mais avez-vous déjà entendu parler de la "Gouvernance de l'Information" (GI) ? On pourrait penser que la GI est une autre expression pour parler de la Gouvernance des Données puisque la donnée, une fois traitée, apporte de l'information. Et pourtant, il ne s'agit pas forcément de la même chose.

Qu'est-ce que la Gouvernance de l'Information ?

L'entreprise Gartner définit la GI comme la spécification des droits de décision et un cadre de responsabilité pour assurer un comportement approprié dans l'évaluation, la création, le stockage, l'utilisation, l'archivage et la suppression de l'information. Elle comprend les processus, les rôles et les politiques, les normes et les mesures qui garantissent l'utilisation efficace et efficiente de l'information pour permettre à une organisation d'atteindre ses objectifs [2].

Avant d'aller plus loin dans l'explication, voyons le lien avec la Gouvernance des données.

Quelle est la différence avec la Gouvernance des Données ?

La GD englobe une politique avec des normes et une organisation mises en place par une entreprise afin de garantir la qualité, la confidentialité, la sécurité et la gestion efficace de ses données. Elle permet d'avoir des attentes claires, des responsabilités définies et des pratiques cohérentes pour valoriser les données tout en assurant la conformité aux réglementations et la réduction des risques liés à leur utilisation. Finalement, la GD encadre tous les aspects de la gestion d'une donnée, de sa collecte à sa destruction.

Mais il y a un enjeu sémantique ici : de quelle donnée parle-t-on précisément ?

Pour rappel, il y a deux types de données : la donnée structurée, et la donnée non structurée (les fichiers !). La différence entre les deux réside dans la manière dont l'information est organisée. Une donnée structurée est organisée de manière rigide, avec des catégories prédéfinies et des relations claires entre les éléments, tandis qu'une donnée non structurée est plus libre, n'a pas de format fixe, et nécessite généralement une analyse plus approfondie pour en extraire des informations significatives.

Exemple de données structurées, dans un tableur

Exemple de données non structurées, dans un fichier texte

Dans "Gouvernance des Données", on peut penser que l'on englobe tous les types de données (structurées et non structurées), et donc que l'on inclut les fichiers de travail, et pourtant ce n'est pas forcément le cas.

On parle souvent de GD en incluant exclusivement les données structurées générées par les logiciels et autres programmes, mais ce n'est pas une règle générale. Aux Etats-Unis, l'expression "Gouvernance de l'Information" se réfère généralement plutôt aux données non structurées générées par les utilisateurs et stockées sur le cloud en libre accès, soit tous les fichiers que les salariés utilisent au quotidien pour faire leur travail. Cependant, dans certaines entreprises, l'expression est également utilisée en incluant les données structurées, et il y a même encore d'autres appellations [1] ce qui complexifie beaucoup trop le sujet !

En faisant des recherches, on peut lire que la GI englobe la GD, les données faisant partie de l'ensemble des actifs informationnels. Cependant, j'ai préféré ce parti pris que j'ai souvent retrouvé : la GD concerne les données structurées, et la GI concerne les données non structurées. Cette considération me paraît la plus intéressante car elle permet de simplifier les choses en réduisant le périmètre aux fichiers, sachant que les données structurées sont déjà traitées par la GD.

Nous parlons donc ici exclusivement des données non structurées, générées par les utilisateurs, soit les fichiers qui sont stockés par l'entreprise (bien souvent sur le cloud) : photos, vidéos, fichiers de bureautique type Microsoft Word, Powerpoint, Excel, etc. A noter que les programmes de GI peuvent aussi inclure la gestion des emails, des messages Microsoft Teams, et de tout autre moyen de communication textuel.

Bien entendu, les deux sujets ont une approche similaire, et des intérêts communs : assurer la conformité aux exigences réglementaires, sécuriser les informations, assurer leur exactitude... mais il semble qu'il y ait quand même souvent une différence dans l'intention. Les deux gouvernances peuvent avoir pour objectif d'accroître le chiffre d'affaire ou d'optimiser l'utilisation des ressources, mais la GI semble davantage concentrée sur l'optimisation de l'utilisation des ressources. Par conséquent, elle serait plutôt dans une démarche d'économie que dans une quête directe de maximisation des profits.

Les deux sujets ne sont donc pas identiques. Ils diffèrent déjà par l'objet traité (les données structurées versus les données non structurées) et ensuite par l'intention globale. Pour préciser ce dont on parle exactement, il me semble indispensable de séparer les deux sujets et de les appeler différemment (sans les décorréler pour autant puisqu'ils sont liés). Cela permettra d'éviter les confusions.

Quel est l'intérêt de la GI ?

Il y en a plusieurs :

• Améliorer l'efficacité en réduisant la duplication du travail, en facilitant l'accès aux informations pertinentes et en assurant l'exactitude de celles-ci,

• Permettre de prendre des décisions éclairées basées sur des informations fiables, précises et opportunes,

• Se conformer aux lois, réglementations et normes liées à la gestion des fichiers, à la confidentialité et à la sécurité,

• Minimiser les risques de violation de fichiers, d'accès non autorisé, de pertes et d'autres incidents liés à l'information,

• Optimiser les pratiques de stockage, de rétention et d'élimination des fichiers, permettant ainsi de réaliser des économies et de réduire l'impact environnemental.

En quoi est-elle importante ?

La Gouvernance de l'Information est cruciale à de nombreux égards. Sans GI, une entreprise se condamne au vrac et à l'obésité numériques. Sur ce site, nous avons justement exploré ces problèmes, nous avons listé leurs impacts négatifs et les opportunités liées à leur résolution, et nous avons analysé pourquoi la Gouvernance de l'Information est la seule solution durable et complète. Ce qu'il faut retenir, c'est que les impacts d'un manque de GI sont multiples avec notamment : des dépenses colossales et incontrôlables pour le stockage en ligne des fichiers, un impact environnemental significatif, des pertes de temps et d'efficacité au quotidien pour les employés, et des risques non maîtrisés (et souvent inconnus).

Quelles entreprises sont concernées ?

Absolument toutes ! Evidemment, la taille de l'entreprise a un impact direct sur la facilité à gérer les fichiers, mais cela ne signifie pas que les petites entreprises n'ont pas besoin de prendre le sujet en main, surtout si elles cherchent à croître. Une entreprise en croissance a justement besoin de créer les meilleures conditions pour rendre son passage à l'échelle le plus fluide possible. D'où l'intérêt de mettre en place, dès que possible, des règles, des processus, des rôles et tout ce que la GI inclut afin de ne pas s'embourber dans les difficultés à mesure que l'entreprise croît.

Les entreprises qui ont de nombreux salariés travaillant sur ordinateur sont celles qui souffrent le plus d'un manque d'organisation et de gestion au niveau documentaire, leur cloud contenant un véritable chaos informationnel. Cependant, les entreprises dont le cœur de métier implique une importante production de fichiers (bureaux d'étude, cabinets de conseil, agences de publicité et marketing...) sont particulièrement concernées, toutes tailles confondues. Il en est de même pour les entreprises qui ont un turn-over élevé, avec un flux de salariés entrant et sortant significatif.

De quand date-t-elle ?

En réalité, de nombreux métiers en lien avec la gestion des fichiers existent depuis très longtemps, bien avant l'irruption de l'informatique dans le travail : archivistes, records managers, documentalistes pour n'en citer que quelques uns. Cependant, l'usage des ordinateurs dans le travail et la numérisation des documents a rendu les modes de gestion usuels insuffisants. Le concept de GI a évolué au fil du temps, stimulé par le volume croissant de fichiers et la complexité de leur gestion, ainsi que par la nécessité pour les organisations de se conformer aux exigences réglementaires. Le sujet est devenu particulièrement important ces dernières années, car la protection des données, la sécurité et la conformité sont devenues des préoccupations centrales pour les entreprises. Par ailleurs, les perspectives au niveau du volume de fichiers stockés et donc de l'impact environnemental du stockage en ligne sont problématiques à plus d'un égard. Nous devons donc passer à une approche beaucoup plus large de la gestion documentaire en incluant des règles, des standards, des processus et procédures, des rôles et responsabilités et du suivi à l'échelle de toute l'entreprise. Et tout cela, en cumulant les requis des différents services impliqués : juridique, archive, sécurité, etc.

Quelles sont ses composantes ?

La GI comprend diverses composantes qui, coordonnées, permettent d'assurer une gestion efficace des actifs informationnels. Le modèle IGIM (Information Governance Implementation Model) de l'ARMA (Association of Record Managers and Administrators) ci-après me paraît le plus complet.

Il inclut 8 composantes :

• Le comité de direction de la GI : les leaders et référents, les représentants métiers, IT, légal, confidentialité et sécurité, risques et conformités...

• Le cadre politique définissant les règles à suivre et assurant la conformité aux exigences légales et réglementaires : les standards et bonnes pratiques, les requis de confidentialité, les régulations, la gestion du risque...

• Le cadre procédural définissant la manière dont l'information doit être gérée et partagée au sein de l'organisation : les procédures et lignes de conduite, les rôles et responsabilités, l'évaluation...

• La gestion du cycle de vie : de la collecte à la suppression en passant par les modalités de collaboration, la gestion des versions, et la rétention (notamment légale)

• L'architecture de l'information avec la classification des fichiers en fonction de leur sensibilité, de leur valeur et des exigences légales/réglementaires (via les taxonomies), et l'architecture au niveau technologique avec les métadonnées...

• Le contrôle de l'information visant à protéger les informations sensibles contre l'accès non autorisé, la perte ou l'abus : gestion des accès, de la confidentialité et de la protection...

• L'infrastructure avec : les plateformes de stockage, la sécurité et le transport de l'information, les services, les APIs...

• Les ressources permettant la réussite de la GI : la gestion du projet et la communication, les formations, les documents de support et FAQs...

Une entreprise mature sur l'ensemble de ces composantes gagne sur de nombreux tableaux : le travail des salariés est fluidifié, les dépenses en stockage sont réduites, les risques sont maîtrisés... Une telle entreprise concrétiserait la vision "imaginaire" que je vous avais proposée dans cet article.

Par où commencer avec la Gouvernance de l'Information ?

La mise en place d'un programme de Gouvernance de l'Information peut paraître laborieuse quand on pense qu'il va falloir définir des règles, instaurer de nouvelles pratiques pour tout le monde, créer des nouveaux rôles, rassembler des personnes de corps de métiers différents... Mais avec la bonne approche et une bonne organisation, le programme a toutes les chances de réussir.

Au vu des actions à mener, il faut compter plusieurs mois de mise en place, et évidemment cela ne s'arrête pas là : nous parlons ici d'un programme permanent qui devra évoluer à travers le temps. Des modifications et améliorations seront nécessaires au long de l'évolution des exigences réglementaires, des évolutions technologiques et des nouvelles menaces...

Enfin, il est préférable de commencer par un échantillon, une équipe ou un service selon la taille, pour tester et réajuster avant d'appliquer les mesures à grande échelle. Par ailleurs, il est probable que le programme doive intégrer des spécificités propres à certains services, ce qui nécessite donc une attention particulière à chaque corps de métier.

Voici quelques étapes pour commencer :

1. Évaluez votre état actuel : quels sont vos espaces de stockage et quelle taille font-ils ? Comment sont-ils organisés ? Quelles solutions logicielles existent déjà dans l'écosystème (GED, SAE, eDiscovery...) ? Quelles sont vos pratiques actuelles en matière de gestion de l'information dans votre organisation ? Qu'est-ce qui fonctionne et qu'est-ce qui ne fonctionne pas ? Quels sont vos problèmes majeurs ?

2. Définissez vos objectifs : qu'est-ce qui est prioritaire pour vous ? Cela pourrait être l'amélioration de l'efficacité dans la recherche de l'information, la conformité à des réglementations spécifiques ou le renforcement de la sécurité de l'information...

3. Élaborez une feuille de route : décomposez vos objectifs en sous-objectifs, et décrivez extensivement toutes les étapes, les délais et les ressources nécessaires pour mettre en œuvre le programme. Nous avons vu ici les grandes étapes à suivre : définir et mettre en place une politique documentaire, une organisation et une gouvernance, faire du tri dans les fichiers et les mettre en conformité, revoir si besoin l'arborescence des dossiers, sensibiliser et former les salariés.

4. Impliquez les parties prenantes : le soutien de la direction est impératif dans un tel programme, et il faut également impliquer les parties prenantes clés des différents services pour garantir des décisions pertinentes tout au long du programme.

Il vous faudra ensuite passer à l'action et définir en comité la politique et l'organisation associée, traduire ensuite les solutions au niveau technologique, et former les salariés. Bien entendu, une fois le programme lancé, il vous faudra évaluer régulièrement la situation et l'améliorer en continu en apportant les ajustements et les améliorations nécessaires en fonction des retours et de l'évolution des besoins.

Sources

[1] DataVersity, "Data Governance vs Information Governance" : https://www.youtube.com/watch?v=jV7AKCdNDbM

[2] Definition of Information Governance - IT Glossary | Gartner