La gouvernance des données

Pour garantir la sécurité des données et mettre en place un processus efficace de mise en conformité à la LPD, les sociétés nécessitent l’adoption d’un système de gouvernance des données.

La gouvernance des données, selon Gartner est « l’ensemble des organisations et des procédures mises en place au sein des entreprises afin d’encadrer la collecte de données et leur utilisation » et en particulier la définition du cadre de responsabilités permettant d’assurer un comportement cohérent et efficace de la part du personnel et des parties prenantes.

La construction d’un système de gouvernance passe par des étapes fondamentales qui regardent :

  • La définition de l’organigramme de confidentialité de l’entreprise, à savoir l’organigramme vu sous l’angle de la protection des données personnelles qui indique les rôles spécifiques internes et externes de gestion relatifs à l’application de la LPD ;
  • L’attribution de responsabilités spécifiques à chaque rôle identifié, afin de garantir un processus efficace de gestion des données utilisées en entreprise ;
  • La communication d’instructions et des mesures de sécurité à respecter pour chaque rôle identifié permettant à chacun d’eux d’exercer leurs responsabilités ;
  • La désignation par acte spécifique des personnes qui sont appelées à remplir les rôles définis dans l’organigramme de confidentialité accompagné d’une lettre d’instructions et de clauses de confidentialité ;
  • La définition d’une politique générale de confidentialité qui définit les principes et les règles qui orientent les actions et les décisions stratégiques de l’entreprise ;
  • L’information et la formation des personnes relativement aux instructions, à la politique générale de confidentialité et aux mesures de sécurité à observer ;
  • La mise en place d’un comité de confidentialité composé du délégué du responsable du traitement, du département compliance et du correspondant LPD qui contrôle la validité de l’organisation ainsi définie et qui évalue ses possibles terrains d’amélioration.

Le comité de confidentialité vérifie la correcte application de la stratégie de gouvernance, de la politique de confidentialité et des procédures, méthodes et technologies à utiliser tout au long du cycle de vie des données grâce à la mise en place d’indicateurs de performance et de programmes de contrôle ciblés. Au fur et à mesure que les politiques internes, la loi et les exigences opérationnelles évoluent, le programme de gouvernance des données vient s’adapter avec le support de personnel spécialisé. Le comité a également le rôle d’évaluer les personnes directement engagées.

Sur la base des informations recueillies par le comité de confidentialité, le responsable du traitement propose des orientations stratégiques, définit les lignes directrices et approuve des budgets pour les interventions sur la gestion et la protection des données personnelles.

À une époque où les entreprises dépendent de plus en plus des données pour chaque aspect de leur activité, il est vital d’avoir un plan d’action en matière d’information. Les données étant au cœur de toutes les fonctions de l’entreprise, y compris la comptabilité et la finance, la gestion des commandes, le service client et le contrôle des processus, elles doivent être précises et fiables pour le bon fonctionnement des systèmes d’information. La gouvernance des données n’est pas un projet ponctuel mais un processus continu qui doit donner des règles bien claires visant à assurer la conformité aux lois, aux réglementations et aux normes en vigueur sans perdre de vue les performances de l’entreprise et son développement stratégique. La gouvernance des données conjugue les personnes, les processus et les outils.

Ainsi un programme de mise en conformité à la LPD qui se construit sur une politique de gouvernance des données efficace permet à l’entreprise d’exceller dans un environnement data-driven en constante évolution pour soutenir efficacement la prise de décision et favoriser la réussite des projets.

Fabienne Flesia

👉 Inscrivez-vous à notre newsletter “Data Management et Business” sur notre page Linkedin.

Condividi

Post Recenti

A verbal communication can be a “processing”

CJEU C-446/21: Schrems v. Meta Platforms Ireland Ltd.

Data Governance Act and Italian adaptation law