Rappel : Qu’est-ce que la gouvernance de l’information ?
Selon Gartner la gouvernance de l’information est « la spécification des droits de décision et le cadre de responsabilité permettant d’assurer un comportement approprié en matière d’évaluation, de création, de stockage, d’utilisation, d’archivage et de suppression de l’information. Cela inclut les processus, les rôles, les politiques, les normes et les indicateurs qui permettent d’utiliser efficacement l’information de manière à ce que l’organisation atteigne ses objectifs ».
Pour faire plus simple, la gouvernance de l’information est le processus de gestion des ressources informationnelles nécessitant de mettre en œuvres des politiques et des technologies qui équilibrent faciliter d’utilisation et sécurité.
Quelles différences entre gouvernance de l’information et gouvernance des données ?
- Souvent confondues, la gouvernance de l’information vise à tirer une valeur commerciale des ressources de données. Le programme Information Governance Initiative définit la gouvernance de l’information comme « les activités et les technologies utilisées par les organisations pour maximiser la valeur de leur information tout en minimisant les risques et les coûts associés ».
- La gouvernance des données, pour sa part, s’intéresse au contrôle de l’information au niveau des unités opérationnelles, afin de garantir leur exactitude et leur fiabilité. Les programmes de gouvernance des données intègrent des procédures de gestion de la disponibilité, de l’intégrité, de la facilité d’utilisation et de la sécurité des données.
Lire : La gouvernance des données c’est quoi ?
Si la gouvernance des données est du ressort du service informatique, la gouvernance de l’information couvre un champ plus large. Elle permet de répondre aux exigences de conformité et aux besoins métier concernant l’utilisation et la conservation des données. Par conséquent, la gouvernance de l’information est une discipline stratégique constituant une part importante de la gouvernance de l’entreprise.
Les réglementations associées à la gouvernance de l’information
De nombreuses réglementations gouvernementales et industrielles comportent des exigences liées à la sécurité des données, à la conservation des données et à la gestion des documents qui peuvent affecter votre stratégie de gouvernance de l’information. Voici quelques lois que toute organisation opérant aux États-Unis doit connaître :
– SOX (Sarbanes–Oxley Act of 2002) — Cette réglementation essentielle normalisant les pratiques de gestion des documents s’applique à toutes les sociétés ouvertes aux États-Unis, sans exception. Elle impose de mettre en place des contrôles pour les documents financiers de l’entreprise, ainsi que des processus d’atténuation des risques. Elle stipule également que les documents de l’entreprise doivent être conservés pendant au moins cinq ans.
– HIPAA (Health Insurance Portability and Accountability Act) — Cette loi s’applique aux prestataires de soins de santé, aux organismes d’information sur la santé et aux entités et partenaires commerciaux qui stockent, transmettent ou gèrent des informations médicales protégées. Elle leur impose de contrôler l’accès aux informations de santé, de fournir des pistes d’audit pour les systèmes de dossiers médicaux électroniques et d’assurer la confidentialité et la sécurité des informations médicales électroniques protégées.
– GLBA (Gramm-Leach-Bliley Act)— Cette loi exige des institutions financières qu’elles protègent les informations personnelles non publiques de leurs clients. Les documents financiers doivent être correctement protégés et, lorsqu’ils ne sont plus utiles, ils doivent être détruits afin que personne ne puisse y avoir accès.
– PCI-DSS (Payment Card Industry Data Security Standard) — Cette réglementation est un standard mondial appliqué à toutes les marques de cartes bancaire. Elle consiste à réduire les fraudes, en obligeant les marques à protéger les données des titulaires.
Besoin de vous conformer ? Découvrez nos solutions vous permettant de démontrer votre engagement afin d’assurer la confidentialité et la sécurité des informations en fournissant des pistes d’audit claires et précises.