Avec l’arrivée de la loi 25 qui a été adoptée par l’Assemblée Nationale du Québec le 21 septembre 2021 et qui vise la modernisation des dispositions législatives en matière de protection des renseignements personnels, la gouvernance des données est devenue un sujet en vogue au sein des organismes du fait que cette loi s’applique à toute structure détenant des renseignements personnels, incluant les OBNL.
Dans cet article, nous abordons d’une part les concepts de bases de la gouvernance des données et les impacts potentiels de son absence et d’autre part, nous proposons une marche à suivre pour implanter une saine gouvernance des données au sein de votre organisme.
Tout d’abord, établissons ce qu’est la gouvernance des données :
La gouvernance des données est un processus de gestion qui vise à garantir que les données sont collectées, stockées, utilisées et partagées de manière responsable et éthique. Cela implique la mise en place de politiques, de procédures, de rôles et de mécanismes de contrôle pour assurer que les données sont utilisées de manière appropriée et en conformité avec les lois.
L’absence d’une structure de gouvernance des données au sein d’un organisme peut entraîner des conséquences importantes, par exemple :
- Risques juridiques : Si un OBNL ne gère pas correctement les données qu’il détient, il peut être tenu responsable en cas de violation de la vie privée ou de non-conformité aux réglementations applicables.
- Risques de sécurité : Les données sont souvent la cible d’attaques malveillantes, notamment de la part de cybercriminels. Si l’OBNL ne met pas en place des mesures de sécurité adéquates pour protéger ses données, il peut être victime de vol ou de perte de données, ce qui peut compromettre sa réputation et sa crédibilité.
- Manque de qualité des données : Si les données ne sont pas gérées correctement, elles peuvent contenir des erreurs, des doublons ou des incohérences, ce qui peut entraîner des décisions erronées.
- Perte de confiance des donateurs et des partenaires : Si un organisme ne gère pas correctement ses données, il peut perdre la confiance de ses membres, des donateurs et de ses partenaires.
En somme, l’absence de gouvernance des données peut entraîner des conséquences graves sur la réputation, les finances et la crédibilité. Il est donc important de mettre en place une structure de gouvernance afin de protéger leur réputation et leur viabilité à long terme.
Alors, comment s’y prendre pour implanter une structure de gouvernance des données ?
Tout d’abord, quelques éléments clés sont nécessaires au succès d’un projet d’implantation d’une gouvernance des données :
- Un engagement fort de la direction : pour que la gouvernance des données soit efficace, elle doit être soutenue et promue par la direction et le conseil d’administration.
- Des compétences et des connaissances : une gouvernance des données nécessite des compétences et des connaissances spécifiques, notamment en matière de gestion de données, de conformité réglementaire et de technologie de l’information.
Lorsque les éléments clés nécessaires au succès d’une implantation sont présents, l’organisme peut se lancer dans un projet d’implantation. Ce projet nécessite une planification, une collaboration et un engagement soutenu.
Voici donc une proposition de marche à suivre pour implanter une structure de gouvernance des données :
- Évaluer les besoins : La première étape consiste à évaluer les besoins de l’organisme en matière de gouvernance des données. Cela peut inclure l’identification des types de données que l’organisme collecte, utilise et stocke, ainsi que les risques liés à la confidentialité, à la sécurité et à la conformité réglementaire.
- Évaluer la maturité des données : Évaluer la qualité des données existantes au sein de l’organisme, identifier les lacunes et les défis, et déterminer les actions à prendre pour améliorer la qualité des données. Cette évaluation peut inclure des examens des données financières et des données relatives aux donateurs par exemple.
- Définir des rôles et des responsabilités : Définir les rôles et les responsabilités des différentes parties prenantes impliquées, y compris les responsabilités du conseil d’administration, des employés, des gestionnaires et des tierces parties.
- Établir une politique de gouvernance des données : Sur la base de l’évaluation des besoins, du niveau de maturité et de la définition des rôles et responsabilités, l’organisme doit établir une politique de gouvernance des données qui décrit les objectifs, les responsabilités et les mécanismes de contrôle.
- Élaborer un plan de mise en œuvre : Définir un plan d’action pour la mise en place de la gouvernance des données au sein de l’organisme, y compris les étapes à suivre, les responsabilités et les délais. Le plan doit être adapté aux ressources et au budget de l’organisme.
- Établir des processus de gestion du changement : Mettre en place des processus de gestion du changement, incluant un plan de communication pour faciliter la transition vers la nouvelle structure de gouvernance des données, en impliquant les parties prenantes.
- Mettre en place des mécanismes de contrôle : L’organisme doit mettre en place des mécanismes de contrôle pour s’assurer que les politiques et les normes de gouvernance des données sont respectées. Cela peut inclure la mise en place de procédures de collecte, de stockage et d’utilisation des données, ainsi que la mise en place de contrôles de sécurité pour protéger les données contre les menaces internes et externes.
- Formation et sensibilisation des membres du personnel : L’organisme doit offrir une formation et une sensibilisation régulières aux membres du personnel pour les aider à comprendre l’importance de la gouvernance des données et à s’assurer qu’ils respectent les politiques et les normes de qualité des données établies.
- Suivi et évaluation : Enfin, l’organisme doit établir des mécanismes de suivi et d’évaluation pour s’assurer que la gouvernance des données est efficace. Cela peut inclure la mise en place de tableaux de bord et d’indicateurs de performance clé pour surveiller la qualité des données, les risques de sécurité et de conformité, ainsi que la satisfaction des parties prenantes.
En conclusion, l’implantation d’une gouvernance des données est un processus essentiel pour tout organisme qui collecte, stocke et utilise des données. Les avantages d’une gouvernance des données bien établie sont nombreux et significatifs, notamment une transparence et une responsabilité accrues, une sécurité des données renforcée, une conformité aux réglementations en matière de protection des données et une utilisation plus efficace des données.
Exemples de données :
- Nom
- Prénom
- Adresse
- Courriel
- Numéro de téléphone ou de cellulaire
- Âge ou date de naissance
- Genre
- Nationalité
- Etc.
Considérant la mise en place récente de cette loi, BE ne pourra ouvrir et réaliser des mandats d’accompagnement avec des bénévoles expert.e.s dans cette expertise bien précise.
Cependant, pour analyser le contenu des données recueillies et conseiller sur leur stockage, des professionnel.le.s en technologies de l’information pourront être sollicité.e.s.
Également, pour développer les politiques nécessaires à une bonne gouvernance des données, BE met à la disposition deux gabarits :
N.B. Il est recommandé d’impliquer un avocat dans la rédaction d’une politique de confidentialité afin de s’assurer qu’elle est non seulement conforme aux lois et réglementations en vigueur, mais aussi reflète les pratiques de l’organisme en matière de protection de la vie privée de ses utilisateurs.
Pour être accompagné, il suffit de devenir membre de BE ou de déposer, si déjà membre, une autre demande d’accompagnement à transmettre à l’équipe de coordination
Ce texte a été rédigé par Nicolas Lemay, bénévole expert en technologies de l’information et en optimisation de processus.
Il a aussi présenté une conférence sur le sujet lors du Colloque-Action 2023. Voici sa présentation
Références :