Article réservé aux abonnés Archimag.com

Records management : comment construire une politique de gouvernance de l’information ?

  • constuire_gouvernance.jpg

    planifier-construire
    Un autre enjeu est de décloisonner, "désiloter" les informations entre les nombreux métiers, processus et systèmes. (Visualhunt)
  • Sommaire du dossier :

    Au-delà des concepts de la norme, l’Iso 15489-1:2016 propose une vision renouvelée du records management. Celui-ci ne se limite pas aux documents qui étaient, avant la dématérialisation, la seule trace des processus. Il vise maintenant l’ensemble des informations supportant les processus à prendre désormais en compte dans l’élaboration de sa politique de gouvernance de l’information. Méthode guidée.

    C’est un long processus qui a amené à la révision de la norme Iso 15489-1:2001 et qui a permis dans sa version 2016 d’intégrer la notion d’information au sens large dans la définition des « records », ouvrant ainsi sur le concept de gouvernance de l’information. Sylvie Dessolin, présidente pour l’Association des archivistes français (AAF) de la commission Afnor/CN46-11 (1) se félicite de cette avancée (A noter que Sylvie Dessolin est également senior consultant information and data governance, compliance, records management, Sopra Steria. Voir son article "le records management fait sa révolution digitale", dans le guide pratique Archimag n° 57 « sécurité de l’information et archivage électronique ».

    1. Pourquoi devez-vous vous intéresser aux data ?

    Avec l’Iso 15489-1:2016, par records, il faut entendre l’ensemble des informations, à la fois supports et preuves de l’activité de l’organisation, de tous types. « Aujourd’hui, réduire les records aux documents n’est plus envisageable », affirme Sylvie Dessolin. De même, la dernière version de l’Iso 9001 exige de gérer « l’information documentée ».

    Déjà, de très nombreuses entreprises et organisations sont dans l’obligation de situer rigoureusement leur travail dans le cadre de législations européennes et nationales et de normes internationales. Cela va des régulations financières à celles du secteur pharmaceutique en passant par l’ensemble des domaines. Ces contraintes sont telles qu’elles conditionnent bien souvent la possibilité d’exercer une activité à l’obtention d’une certification.

    "Ne s’intéresser qu’aux data serait réducteur"

    On se trouve alors au pied du mur de la gouvernance de l’information. Dans leur rédaction, ces régulations et normes définissent souvent explicitement des obligations de records management ou recordkeeping qui visent aux côtés des documents, des emails, des messages, des traces dans le système d’information ou sur les sites web (« trackings »), des signatures électroniques, des  enregistrements audio ou vidéo (« recordings »). Tous constituent bien des « records » ou « evidences », c’est-à-dire des preuves.

    Il s’agit donc de ne pas se limiter à gérer les seuls documents et de prendre en compte l’ensemble des informations sous toutes leurs formes. Sylvie Dessolin souligne que, « inversement, ne s’intéresser qu’aux data serait réducteur ». C’est donc bien l’ensemble des « information assets » (des actifs informationnels) qu’il convient de maîtriser.

    En matière d’outil, cela veut dire qu’une Gestion électronique de documents (Ged) n’apporte qu’une vue partielle. La gouvernance de l’information réclame un outil de type EDRMS, Electronic document and records management system. Ou demain un méta-outil de gouvernance, supervisant la gestion de la preuve dans des écosystèmes informationnels complexes.

    Un autre enjeu est de décloisonner, « désiloter » les informations entre les nombreux métiers, processus et systèmes. La gouvernance de l’information se préoccupe aussi de communication et de partage de connaissance (« knowledge »), pour permettre une recherche globale, le cas échéant dans une perspective d’open data. Cela passe par l’interopérabilité, et une nouvelle approche des métadonnées. Finis les sets de centaines d’éléments et sub-éléments, comme l’ont bien compris le gouvernement australien ou encore l’équipe d’experts français qui a proposé un set de métadonnées minimales, et dont l’étude va être publiée comme livre blanc Iso.


    + repères

    Le saviez-vous ?

    La Mifid 2, version révisée de la directive Marchés d’instruments financiers (2014/65/UE), qui entrera en application complète le 3 janvier 2018, introduit une nouvelle obligation d’enregistrement des conversations téléphoniques et des communications électroniques (pour les ordres passés), et de reporting d’un certain nombre d’opérations. Le tout auditable et monitoré par les autorités de contrôles. Voilà autant de (big) data et de records à inclure dans la gouvernance de l’information pour l’ensemble des acteurs du secteur financier.


    2. Analysez vos processus et les risques, identifiez vos records

    « La méthode pour identifier ses records, y compris ses data, pour une bonne gouvernance de l’information, n’est pas très différente des bonnes pratiques mises en oeuvre jusqu’à maintenant en records management », rassure Sylvie Dessolin. Sa recommandation clé reste la suivante : « Analysez vos processus et les risques ».

    En effet, si l’on analyse les seuls documents contenus dans une Ged, l’on passera forcément à côté de tout ce qui est data. Il faut donc sortir d’une approche par l’outil ou le système documentaire.

    On ne peut pas non plus se limiter à des interviews des acteurs qui donnent inévitablement une vision partielle et subjective des processus.

    Pour décrire un processus, les méthodes ne manquent pas, qui s’appuient par exemple sur la constitution d’équipes et d’ateliers de cartographie, recourent à des outils de modélisation et aboutissent à des fiches d’identité des processus accompagnés de leurs représentations graphiques (« process maps »).

    Dans la pratique, les cas où l’on doit analyser un processus à partir de zéro sont très rares. L’on a souvent affaire à des professions ou activités réglementées, ayant un haut niveau de maturité en la matière : leurs processus et leurs systèmes sont le plus souvent déjà documentés, les contrôles auxquels elles sont soumises imposant cette maîtrise. À vous donc les schémas directeurs des systèmes d’information, les analyses de risques (Iso 27001), les certifications qualité ou environnementales. De nouvelles contraintes, parfois plus générales, obligent à documenter, cartographier ses traitements de données, pour mieux les protéger. C’est en particulier les cas des données personnelles avec le nouveau règlement européen GDPR (General data protection regulation ou Règlement général sur la protection des données : règlement européen sur la protection des données à caractère personnel qui renforce et unifie la protection de ces données au sein de l'Union européenne. Adopté le 14 avril 2016, il sera directement applicable dans l'ensemble des États membres à compter du 25 mai 2018).

    Une fois processus, procédures, systèmes et données cartographiés, risques étudiés et priorisés, il reste à identifier les exigences applicables à chacun : la recension et l’analyse des régulations et normes, et de leurs impacts métier, est l’étape suivante.

    Ce sera une composante de la politique de gouvernance, qui inclura les objectifs stratégiques.

    Livrable sous la forme d’une base de données

    L’on aboutit à une cartographie avec d’une part les processus, procédures, systèmes et données et de l’autre les exigences applicables par bloc fonctionnel. Cela permet la définition de règles précises qui décrivent comment telle donnée, par exemple une donnée personnelle, doit être gérée.

    Ce livrable se présente aujourd’hui sous la forme d’une base de données, et non d’un « tableau de gestion » statique indiquant par type de document une durée de conservation et un sort final. À l’information manager de garantir son implémentation dans le système d’information.. Désormais, pour l’information dans son ensemble, y compris les data, il devient nécessaire d’inclure les exigences, les contraintes de gestion, dans les spécifications mêmes des systèmes d’information (règles de confidentialité, métadonnées, règles d’accès, de gestion…).

    La difficulté est plus ou moins grande selon le système. Par exemple, une solution de Gestion de la relation client (GRC ou CRM, Customer relationship management) est d’abord conçue pour gérer des clients et des ventes. Aujourd’hui, supporte-t-elle les exigences de protection des données personnelles, telle que la gestion des consentements... ?

    Quelles ressources pour de tels projets ? Il faut des équipes pluridisciplinaires : à l’expertise du records manager, garant de l’authenticité, de la preuve et des métadonnées et autres audit trails, il faut joindre l’analyse du juriste, la connaissance du processus des experts métier, celles de l’IT, de la cybersécurité. Il peut s’agir de projets de grande ampleur et d’une certaine durée, selon le périmètre et sa complexité.

    Optimiser la qualité des systèmes et des données

    Parallèlement, Sylvie Dessolin recommande d’optimiser la qualité des systèmes et des données. Ici, on sera guidé par des méthodes particulières de Data quality management (DQM) - préoccupation globale amenant à nettoyer des données ou des champs qui n’ont pas lieu d’être dans un système - et de Master data management (MDM) - idée de sanctuariser des données maîtresses.

    Au final, les certifications étant auditées régulièrement, les processus se dématérialisant de plus en plus, les régulations se multipliant, les risques et enjeux de la maîtrise de l’information sont de plus en plus stratégiques. Aussi certaines organisations pérennisent de telles équipes et se dotent d’un service de conformité réglementaire ou de data gouvernance qui sera pilote dans le projet de gouvernance de l’information.

    Car la gouvernance de l’information se présente comme un cadre (« framework ») dans lequel s'insèrent des politiques particulières (« policies »). Elle se positionne à un niveau de métapolitique. Grâce à elle sont alignées les politiques de qualité des données, de protection des données, de sécurité, de preuve, etc.

    La politique de gouvernance de l’information étant définie, il faudra la faire vivre.

    3. Entourez-vous d’une équipe

    C’est la constitution d’équipes pluridisciplinaires qu’il faut privilégier pour démarrer et mettre en place une gouvernance de l’information. La mission revêtant une dimension stratégique, doivent participer la direction exécutive, l’information manager, le records manager, le data protection officer, le chief information security officer (Ciso), les métiers, l’IT.

    Enfin, le pilotage de la gouvernance de l’information, comme celle des SI, est à confier à un comité et non à une personne seule.

    Et bien sûr, il faudra faire évoluer le cadre et les outils, selon les bonnes pratiques de l’amélioration continue. Les records managers quittent ainsi les rives balisées de la gestion documentaire pour faire avancer la preuve dans les vastes « data lakes » et autres clouds publics et privés.

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !

    archimag-304
    L’Iso 15489-1:2016, nouvelle version de la norme sur le records management, intègre désormais les data. C’est en soi une petite révolution conceptuelle et pour le métier de records manager.
    Acheter ce numéro  ou  Abonnez-vous

    À lire sur Archimag

    Le Mag

    Tout Archimag, à partir de 9,50 €
    tous les mois.

    Le chiffre du jour

    25
    C'est le nombre de factures dématérialisées par Chorus Pro en 2018.

    Recevez l'essentiel de l'actu !

    Ex Libris banner.jpg

    Indispensable

    Bannière BDD.gif