Gouvernance informationnelle
La gouvernance informationnelle, ou gouvernance de l'information, est la stratégie globale de l'information dans une organisation. La gouvernance de l'information équilibre le risque que présente l'information avec la valeur qu'elle fournit. Elle est plus généralement la politique de l'information au sein de l'organisation. La gouvernance de l'information contribue à la conformité légale, à la transparence opérationnelle et à la réduction des dépenses associées à la découverte légale. Une organisation peut établir un cadre cohérent et logique permettant aux employés de traiter les données par le biais de leurs politiques et procédures de gouvernance de l'information. Ces politiques guident un comportement approprié concernant la manière dont les organisations et leurs employés traitent les informations stockées électroniquement ( ESI )[1] - [2] - [3]. et la façon avec laquelle ces informations sont mobilisées.
La gouvernance de l'information englobe plus que la gestion traditionnelle des documents. Elle intègre la sécurité et la protection des informations, la conformité, la gouvernance des données, la découverte électronique, la gestion des risques, la confidentialité, le stockage et l'archivage des données, la gestion des connaissances, les opérations et la gestion d'entreprise, l'audit, l'analyse, la gestion informatique, la gestion des données de base, l'architecture d'entreprise, l'intelligence d'affaires, big data, science des données et la finance[4].
La gouvernance d'entreprise est le plus haut niveau de gouvernance dans une organisation, et un des aspects-clés de celui-ci est la gouvernance de son information. Les processus de gouvernance de l'information doivent répondre à une stratégie. La gouvernance de l'information englobe la gouvernance des données, mais gouvernance des données et gouvernance des Technologies de l'information font (ou devraient) faire partie d’un programme général de gouvernance informationnelle. L'approche de la gouvernance informationnelle se concentre non pas sur des processus informatiques ou de saisie de données et de qualité détaillés, mais plutôt sur le contrôle des informations générées par les systèmes informatiques et de bureau. Les efforts de la gouvernance informationnelle visent à gérer et à contrôler les actifs d'information pour réduire les risques, assurer la conformité avec les réglementations et améliorer la qualité et l'accessibilité des informations, des mesures de sécurité de l'information pour protéger et préserver les informations qui ont une valeur dans le monde du travail[5].
Histoire
La gestion des dossiers
La gestion des enregistrements concerne la création, la conservation, le stockage et l'élimination des enregistrements. Un enregistrement peut être un objet physique, tangible ou des informations numériques telles qu'une base de données, des données d'application et un courrier électronique. Le cycle de vie était historiquement considéré comme le point de création jusqu'à l'élimination éventuelle d'un document. C'est ce qu'on appel aussi le cheminement des données ou le cheminement de l'information. Alors que la génération de données a explosé au cours des dernières décennies et que les réglementations et les problèmes de conformité ont augmenté, la gestion traditionnelle des documents n'a pas réussi à suivre le rythme.
Nous sommes dans l'époque des données massive. Une plate-forme plus complète de gestion des enregistrements et des informations est devenue nécessaire pour traiter toutes les phases du cycle de vie, ce qui a conduit à l'avènement de la gouvernance de l'information[6].
En 2003, le ministère de la Santé d'Angleterre a introduit le concept de gouvernance de l'information à grande échelle dans le National Health Service, en publiant la première version d'un outil d'évaluation des performances en ligne avec des conseils complémentaires. Le NHS IG Toolkit [7] c'est-à -dire le programme de gouvernance informationnelle de l'agence nationale du système de santé est maintenant utilisé par plus de 30 000 NHS et organisations partenaires, soutenu par une plate-forme d'apprentissage en ligne avec quelque 650 000 utilisateurs.
En 2008, ARMA International a introduit les principes généralement reconnus de tenue de registres®, ou «les principes» [8] et le modèle de maturité de la gouvernance de l'information appelé «les principes»[9]. «Les Principes» identifient les caractéristiques essentielles de la gouvernance de l'information. À ce titre, ils s'appliquent à toutes les tailles d'organisations, dans tous les types d'industries et dans les secteurs privé et public. Les organisations multinationales peuvent également utiliser les «Principes» pour établir des pratiques cohérentes dans diverses unités commerciales. ARMA International a reconnu qu'une déclaration claire des «Principes de tenue de registres généralement acceptés» («Les principes») guiderait:
- Les PDG pour déterminer comment protéger leurs organisations dans l'utilisation des actifs informationnels;
- Les législateurs dans l'élaboration de lois destinées à responsabiliser les organisations; et
- Les professionnels de la gestion des documents dans la conception completes et efficaces de programmes de gestion des documents .
La gouvernance de l'information va au-delà de la conservation et de l'élimination pour inclure la confidentialité, les contrôles d'accès et d'autres problèmes de conformité. Dans le cadre de la découverte au sens d'un processus juridique, c'est-à -dire une découverte ou une enquête juridique électronique ou ayant recours à du stockage électronique, les données pertinentes sous la forme d' informations stockées de façon électronique sont recherchées par des avocats et autres acteurs du droit et placées en scellé ou dans tout autre lieu de stockage sécurisé et réglementé.
IG inclut la prise en compte de la manière dont ces données sont conservées et contrôlées pour la découverte légale électronique, c'est-à -dire l'enquête légale électronique et fournit également une plate-forme pour une disposition et une mise en conformité. De plus, les métadonnées accompagnent souvent les données stockées de façon électronique et peuvent être d'une grande valeur pour l'entreprise si elles sont stockées et gérées correctement.
Avec toutes ces considérations supplémentaires qui vont au-delà de la gestion traditionnelle des enregistrements, GI (Gouvernance informationnelle) est apparue comme une plate-forme permettant aux organisations de définir des politiques au niveau de l'entreprise, dans plusieurs juridictions. GI prévoit également l'application de ces politiques dans les différents référentiels d'informations, de données et d'enregistrements.
Une coalition d'organisations connue sous le nom de modèle de référence de découverte électronique (MRDE), qui a été fondée en 2005 pour résoudre les problèmes liés à la découverte électronique et à la gouvernance de l'information, a ensuite développé, dans le cadre de l'un de ses projets, une ressource appelée modèle de référence de gouvernance de l'information (MRGI)[10]. En 2011, le MRGI, en collaboration avec ARMA International, a publié un livre blanc qui décrit comment le modèle de référence de gouvernance de l'information (MRGI) complète les principes généralement reconnus de tenue de registres d'ARMA International («les principes») [11] Le MRGI illustre la relation entre les principales parties prenantes et le cycle de vie de l'information et met en évidence la transparence requise pour permettre une gouvernance efficace Mise à jour IGRM v3.0: les responsables de la confidentialité et de la sécurité en tant que parties prenantes[12].
En 2012, le Conseil de la conformité, de la gouvernance et de la surveillance (CCGS) a développé le modèle de maturité du processus de gouvernance de l'information, ou (MMPGI)[13]. Le modèle décrit 13 processus clés dans la découverte électronique (découverte électronique) et la gestion de l'information . Chaque processus est décrit en termes d'un niveau de maturité de un à quatre - complètement manuel et ad hoc à des degrés plus élevés d'intégration de processus entre les fonctions et l'automatisation[14]. En 2017, il a été mis à jour pour mettre l'accent sur les questions juridiques, de confidentialité, de sécurité de l'information, de sécurité du cloud [15] et de l'évolution des préoccupations en matière de confidentialité des données, y compris l'impact du règlement général sur la protection des données (RGPD) (UE)[13] .
Structure organisationnelle
Dans le passé, les gestionnaires de documents possédaient la gestion des enregistrements, peut-être au sein d'un service de conformité d'une entreprise. Afin de résoudre les problèmes plus larges liés à la gestion des documents, plusieurs autres intervenants clés doivent être impliqués. Les services juridiques, informatiques et de conformité ont tendance à être les services qui touchent le plus la gouvernance de l'information, bien que d'autres services puissent certainement rechercher une représentation. De nombreuses entreprises créent des comités de gouvernance de l'information pour s'assurer que tous les constituants nécessaires sont représentés et que toutes les questions pertinentes sont traitées[16].
Outils
Pour traiter la conservation et l'élimination, des applications de gestion des enregistrements et de gestion de contenu d'entreprise ont été développées. Parfois, des moteurs de recherche détachés ou des outils de définition de politiques locaux ont été créés. Ceux-ci étaient souvent employés au niveau départemental ou divisionnaire; les outils étaient rarement utilisés dans toute l'entreprise. Bien que ces outils aient été utilisés pour définir des politiques, ils n'avaient pas la capacité de les appliquer. La surveillance du respect des politiques était de plus en plus difficile. Étant donné que la gouvernance de l'information aborde bien plus que la gestion des documents traditionnelle, plusieurs solutions logicielles ont vu le jour pour inclure le vaste éventail de problèmes auxquels sont confrontés les gestionnaires de documents.
Les autres outils disponibles incluent:
- Modèle de mise en œuvre de la gouvernance internationale de l' [17]
- Principes de tenue de registres généralement reconnus par l'ARMA
- Modèle de maturité du processus de gouvernance de l'information du CGOC [18]
- Modèle de référence de gouvernance de l'information (IGRM) EDRM [19]
- Boîte à outils de gouvernance de l’information du NHS [20]
Lois et règlements
Les réglementations et les lois qui aident à définir les politiques d'entreprise sont essentielles à l'IG. Certains de ces règlements comprennent:
États-Unis
- Le Foreign Account Tax Compliance Act, ou FATCA [21]
- Norme de sécurité des données de l'industrie des cartes de paiement ou conformité PCI [22]
- Loi sur la transférabilité et la responsabilité de l’assurance maladie, ou HIPAA [23]
- Loi de 1999 sur la modernisation des services financiers ou GLBA [24]
- Loi Sarbanes – Oxley de 2002, ou Sarbox ou SOX [25]
- Règles fédérales de procédure civile
- Règlement général sur la protection des données, ou RGPD
- California Consumer Privacy Act ou CCPA [26]
Union européenne
- Règlement général sur la protection des données
- Directive NIS
Royaume-Uni
- Loi sur la protection des données 2018
- Règlement général sur la protection des données - Le RGPD sera intégré directement dans le droit national immédiatement après la sortie du Royaume-Uni de l'Union européenne
- Règlements NIS - La directive NIS de l'UE a été transposée en droit britannique par le DCMS, en mai 2018, via les règlements NIS[27].
Notes et références
- « What is Information Governance? And Why is it So Hard? - Debra Logan »,
- [ Elizabeth Lomas, (2010) "Information governance: information security and access within a UK context", Records Management Journal, Vol. 20 Issue: 2, pp.182-198, https://doi.org/10.1108/09565691011064322 . Available to download at http://discovery.ucl.ac.uk/1543932/]
- [Kooper, M., Maes, R., and Roos Lindgreen, E. (2011). On the governance of information: Introducing a new concept of governance to support the management of information. International Journal of Information Management, 31(3), 195-200]
- « IGI PUBLISHES 2014 ANNUAL REPORT - Information Governance Initiative »,
- (en) « Information Governance, IT Governance, Data Governance: What's the Difference? », dans Information Governance, John Wiley & Sons, Inc., (ISBN 978-1-118-43382-9, DOI 10.1002/9781118433829.ch2, lire en ligne), p. 15–23
- « Archived copy » [archive du ] (consulté le )
- « Home »
- « Generally Accepted Recordkeeping Principles »
- http://www.arma.org/principles/metrics.cfm
- EDRM, « About EDRM » (consulté le )
- White Paper, How the Information Governance Reference Model (IGRM)Complements ARMA International's Generally Accepted Recordkeeping Principles, EDRM and ARMA International, , 15 p. (lire en ligne)
- IGRM v3.0 Update: Privacy & Security Officers As Stakeholders
- (en-US) « New IGPMM Essential in Confronting Data Challenges - Corporate Compliance Insights », Corporate Compliance Insights,‎ (lire en ligne, consulté le )
- (en-US) « Using the IGRM Model », www.edrm.net (consulté le )
- (en) « Hospitals, Health Plans Should Treat Information as a Prime Asset | HFMA », www.hfma.org (consulté le )
- « From the Experts: Information Governance and Its Impact on Litigation »
- ARMA International, Information Governance Implementation Model, ARMA International
- (en-US) « CGOC: Information Governance Process Maturity Model » (consulté le )
- EDRM, "Information Governance Reference Model", EDRM
- NHS, "NHS Information Governance Toolkit", NHS
- « Foreign Account Tax Compliance Act »
- « Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards »
- « Health Information Privacy »,
- « S.900 - Gramm-Leach-Bliley Act »
- « Sarbanes–Oxley Act of 2002 »
- « How to Prepare for the CCPA – Here Are the Resources You Need », CGOC, (consulté le )
- (en) « NIS introduction », sur ncsc.gov.uk (consulté le ).
- « Home - MoReq2 »
- « Account Suspended » [archive du ]
- « ISO 15489-1:2001 - Information and documentation -- Records management -- Part 1: General »
- « DoD Standard 5015.2 »