3 juillet 2026

Invisible jusqu'à ce que ça compte

Séries de données
| Partie
3

Temps de lecture :

4 min de lecture

Quand la gouvernance fonctionne, on ne la remarque même pas. L'audit, c'est juste un rendez-vous de plus dans l'agenda. Cinq questions auxquelles la gouvernance répond avant même que quelqu'un ait le temps de les poser.

Auteur

Dimitri Phalen est le responsable marketing chez ISM préfère le langage simple aux grandes promesses. Depuis des années, il bosse en coulisses pour transformer des problèmes informatiques compliqués et confus en solutions concrètes que les équipes peuvent vraiment utiliser. Si un texte donne l'impression d'avoir été écrit par quelqu'un qui n'a pas bu assez de café et qui est resté assis trop près de l'équipe de développement pendant trop longtemps, c'est sûrement de sa faute.

À l’Institut de cybersécurité et de protection de la vie privée de l’Université de Waterloo, les chercheurs avaient besoin de pistes d’audit et de contrôles des données à la fois dans le cloud et sur site, sans pour autant ralentir leur rythme de travail. Une mission menée par Kyndryl et utilisant Microsoft Purview a permis d’automatiser la détection, la classification, le chiffrement et les politiques d’accès aux données sensibles. Les chercheurs ont ainsi bénéficié de pistes d’audit plus claires et de contrôles plus rigoureux. Rien n’a ralenti le rythme.

C'est ça, la gouvernance quand elle fonctionne. Ça ne se voit pas. L'audit, c'est juste un rendez-vous dans l'agenda. La classification se fait automatiquement. La question de l'accès a déjà une réponse avant même que quelqu'un ne la pose. Personne n'organise de réunion sur la gouvernance, parce que la gouvernance est déjà intégrée au processus.

La plupart des organisations n'en sont pas là. Pour la plupart, la gouvernance se résume à une diapo, mentionnée dans un classeur de directives, mais que personne en particulier ne veille à faire respecter.

La politique n'a pas suivi le rythme. Les comportements, eux, n'ont pas attendu.

L'étude de KPMG de 2025 sur le secteur public canadien a révélé que moins d'une organisation sur quatre du secteur public a officiellement adopté l'IA. Près de la moitié des fonctionnaires utilisent déjà des outils d’IA au travail, souvent sur des plateformes accessibles à tous (KPMG, mars 2026). Ce n’est pas un problème lié à l’IA. C’est un manque de gouvernance. À Ottawa, on était encore en train de rédiger la politique, alors que cette pratique était déjà bien installée dans tous les bureaux régionaux, de Victoria à St. John’s.

Au Canada, où la LPRPDE, la LPRPS, la loi n° 25 du Québec et les obligations spécifiques à chaque secteur s’appliquent toutes en même temps, la gouvernance est une nécessité tant juridique qu’opérationnelle. Ce n’est pas un projet que tu mènes une seule fois. C’est une discipline qu’il faut entretenir.

Cinq questions auxquelles la gouvernance répond avant même que quelqu'un ne les pose

À qui appartiennent ces données ? Quand un problème survient, la première question n’est pas « comment on règle ça ? », mais « à qui revient ce problème ? ». Si la réponse nécessite plus d’un coup de fil, personne n’en est responsable. C’est la gouvernance qui attribue la responsabilité des ensembles de données, pas les intitulés de poste. Le responsable peut dire oui, dire non et expliquer pourquoi à un auditeur sans avoir à consulter trois autres services.

Qui a validé cet accès, et est-il toujours valable ? Les exceptions d'accès s'accumulent comme des couches géologiques. Quelqu'un avait besoin d'une autorisation il y a deux ans, l'a obtenue, a changé de poste, et l'autorisation est restée en place. Multiplie ça à l'échelle d'une organisation et tu obtiens une surface d'attaque que personne n'a conçue et que personne ne vérifie. La gouvernance prévoit des dates d'expiration pour les accès. Des cycles de révision qui ont vraiment lieu. Des journaux qui reflètent la réalité.

Que se passe-t-il quand cette personne s'en va ? Si son départ déclenche une course effrénée pour déterminer à quels systèmes elle avait accès et quels processus dépendaient de ses connaissances institutionnelles, ce n'est pas un transfert de responsabilités. C'est un exercice de recherche rémunéré. La gouvernance permet de répertorier ces dépendances avant même la lettre de démission.

On peut prouver ce qu’on a dit à l’auditeur ? L’équipe de Gary a bouclé l’audit du dernier trimestre en deux jours. La traçabilité était dans le pipeline. Les classifications étaient dans Purview. Les journaux d’accès correspondaient à la politique. L’auditeur est parti plus tôt que prévu. Voilà la version ennuyeuse. La version intéressante, c’est celle avec une cellule de crise, quatre semaines passées à rassembler des preuves rétrospectives, et une équipe de conformité qui a visiblement pris des années. C’est grâce à la gouvernance que la version ennuyeuse est possible.

Ces données sont-elles suffisamment fiables pour alimenter un modèle ? L'IA se fiche de ta maturité en matière de gouvernance. Elle s'entraînera sur tout ce que tu lui donneras. Des données incohérentes, non classées, provenant d'un système utilisé différemment par trois équipes : les résultats refléteront chacun de ces problèmes. La gouvernance, c'est ce qui permet de rendre les données suffisamment cohérentes et traçables pour que les résultats de l'IA deviennent des décisions sur lesquelles les gens agissent, plutôt que des suggestions qu'ils ignorent.

Une gouvernance qui tient la route, c'est une gouvernance qui va de pair avec le travail

Microsoft Purview s'occupe de la mise en correspondance : métadonnées, niveaux de sensibilité, propriété, dès le premier jour. Ce n'est pas un projet ponctuel qu'on ajoute à un diagramme de Gantt avant de l'oublier. C'est une démarche continue qui s'actualise quand l'environnement change, ce qui, dans la plupart des organisations, arrive tout le temps.

Intégrer la gouvernance dans les opérations : catalogage, contrôle d'accès, processus de qualité des données, planification de projet. Pas une simple révision annuelle de la politique qui reste dans un SharePoint et qu'on ressort quand l'auditeur passe.

Intègre ces outils dans la couche d'application : Microsoft Sentinel pour l'application des politiques en temps réel et la détection des anomalies, Entra ID pour la gouvernance des identités, Defender pour la réponse aux menaces. Les outils existent. C'est la volonté de les relier au cadre de gouvernance que la plupart des organisations négligent.

Génère les preuves au fur et à mesure que le travail avance. Traçabilité automatisée, classifications précises, visibilité totale. Les audits deviennent des examens de routine. Pas des situations d'urgence.

Où ça va nous mener ?

La gouvernance définit les règles. La sécurité veille à leur respect. Le principe « Les données se fichent de ton pare-feu » décrit l'architecture qui permet de mettre en œuvre la gouvernance.

Une gouvernance sans catalogue, c'est une politique sans données factuelles. « On ne peut pas protéger ce qu'on ne trouve pas » : c'est ça, la couche de visibilité dont dépend la gouvernance.

Et si ton projet d'IA est bloqué en attente d'un accord de gouvernance pour les aspects juridiques et les procédures d'achat, le service « AI Readiness » est justement conçu pour accélérer ce processus.

Tu veux savoir comment on fonctionne ?

Chaque conversation commence par ton environnement. Pas par notre liste de produits.

Contacte-nous
FlècheFlèche

Ce n'est pas une question de technologie ou de processus. Ce qui compte, ce sont tes clients, tes utilisateurs et la confiance que tu as su gagner à la sueur de ton front. Toutes nos équipes gardent ça à l'esprit.

Appel à l'action sur mobile