5,2 millions de Canadiens. C’est le nombre de personnes dont les données personnelles ont été exposées lors de la fuite de données de PowerSchool qui a touché les conseils scolaires de 8 provinces fin 2024 (CBC News, janvier 2025). Des dossiers d’élèves remontant jusqu’à 1965. Des noms, des adresses, des numéros de carte de santé, des numéros de sécurité sociale. Des données accumulées dans différents systèmes depuis des décennies, détenues par des organisations qui étaient incapables de dire ce qu’elles avaient ni où ces données se trouvaient.
Le commissaire à la protection de la vie privée de l’Ontario a mené une enquête. Celui de l’Alberta aussi. Tous deux sont arrivés à la même conclusion : les conseils scolaires n’avaient pas de plans d’intervention adéquats en cas de violation, n’avaient pas inclus de clauses de confidentialité dans leurs contrats avec les fournisseurs et n’avaient aucune politique pour superviser les logiciels tiers qui stockaient toutes ces données (IPC de l’Ontario et OIPC de l’Alberta, novembre 2025). La fuite a commencé par la compromission des identifiants d’un compte d’assistance. Le pirate a franchi une porte dont personne ne savait qu’elle était ouverte, pour pénétrer dans des salles remplies de données que personne n’avait répertoriées.
C'est un échec en matière de catalogage. Les demandes de rançon, les menaces de recours collectif, les injonctions du commissaire à la protection de la vie privée : tout ça découlait d'une seule et même situation de départ. Personne ne pouvait répondre à la question : « Qu'est-ce qu'on a, et où ça se trouve ? »
Ton catalogue, c'est soit un système vivant, soit un simple tableau Excel décoratif
Un catalogue de données, c'est un système dynamique et intégré qui recense tes données, leur attribue des métadonnées, classe leur niveau de confidentialité et leur propriétaire, et permet à toutes les équipes de les retrouver facilement. Ce n'est pas une feuille de calcul que quelqu'un a créée lors de la dernière migration et intitulée « master_list_final_v2 ».
Quand ça marche, ton équipe d'analyse trouve un ensemble de données, vérifie qu'il est à jour, s'assure qu'il est bien géré, puis l'utilise. Pas besoin d'attendre qu'un collègue d'un autre service te transmette le fichier CSV de l'année dernière. Pas besoin de découvrir, trois semaines après le début d'un projet, que les données n'ont jamais été validées pour cet usage. Quand ça n'existe pas, toutes les autres initiatives s'enlisent face à la même question à laquelle personne ne peut répondre.
Qu'est-ce qui vit où (et ce que personne ne t'a jamais dit)
Voilà l'inventaire que personne n'a envie de faire.
Production. C'est là que les données gérées sont censées se trouver. En pratique, c'est là que trois équipes génèrent des rapports à partir de trois versions différentes des mêmes données, parce que chacune a extrait ce dont elle avait besoin à un moment différent et que personne n'a synchronisé les données.
Dév. Quelqu'un avait besoin de données de test réalistes. Il a copié la base de données de production. Sans les masquer. Des vrais noms, de vraies adresses, de vrais numéros de compte. Ça s'est passé il y a deux RSSI de ça, et personne n'a nettoyé tout ça parce que personne ne savait que c'était là.
Analyses. Un extrait datant de 2021, toujours en cours d'exécution, qui alimente toujours un tableau de bord que 6 personnes consultent sans que personne ne se pose de questions. La source a changé il y a 18 mois. L'extrait, lui, n'a pas changé.
Le vieux serveur de fichiers. Il a survécu à deux migrations, une transition vers le cloud, une réorganisation et un hiver à Saskatoon. Il contient des données provenant d'un système mis hors service en 2018. Personne ne s'en occupe. Tout le monde est persuadé que c'est le problème de quelqu'un d'autre.
Quatre niveaux. Quatre lacunes dans le catalogage. Quatre raisons pour lesquelles ton projet d'IA s'enlise dès qu'il essaie d'exploiter des sources qui n'ont pas été classées, régulées ou validées.
Le savoir tribal, c'est un point de défaillance unique qui va de pair avec des avantages sociaux
Dans la plupart des entreprises, celui qui sait vraiment où se trouvent les données, c’est celui qui a mis au point une solution de contournement en 2017 sans jamais la documenter. Appelons-le Gary. Il sait quelle table contient les vrais identifiants client, quel extrait est à jour, et quel système « ne compte pas » parce qu’il était censé être temporaire il y a quatre ans. Ce n’est pas l’architecte. C’est juste celui qui avait besoin que ça marche un vendredi après-midi et qui a trouvé le moyen d’y arriver.
Un catalogue permet de mettre à la disposition de tout le monde ce que Gary a mis au point. Pas parce que Gary s'en va (même s'il pourrait bien le faire), mais parce qu'une organisation qui repose sur la mémoire d'une seule personne ne peut pas se développer, ne peut pas faire l'objet d'un audit et ne peut pas répondre à un organisme de contrôle dans des délais qui ne nécessitent pas la mise en place d'une cellule de crise.
Conçois-le pour les gens, pas pour le dossier de conformité
Tu ne vas pas tout répertorier d’un seul coup. Choisis les ensembles de données les plus importants : ceux qui alimentent le projet d’IA, ceux sur lesquels l’auditeur va te poser des questions, ceux qui font l’objet d’une dispute entre trois équipes en ce moment même. Commence par là. La plupart des organisations sont à la merci de ceux qui, par hasard, savent où se trouvent les choses. Un catalogue remplace ce savoir « tribal » par quelque chose qui survit à une lettre de démission.
Le service informatique pourrait le développer tout seul. Mais si les services opérationnels ne s'en servent pas, ça finira au placard en moins d'un trimestre. Le catalogue doit être suffisamment intuitif pour qu'un chef de projet à Winnipeg puisse y faire des recherches sans avoir à envoyer une demande d'assistance à l'équipe de Regina.
Considère les métadonnées comme une infrastructure. Propriété, droits d'accès, classification, statut dans le cycle de vie : tout doit être référencé et mis à jour. La plupart des organisations créent un catalogue, crient victoire, puis s'en désintéressent. Six mois plus tard, les métadonnées sont obsolètes et le tout est à peu près aussi utile que la feuille de calcul qu'il a remplacée.
Microsoft Purview s'occupe du plus gros du boulot : découverte automatisée, classification, traçabilité et étiquetage de sensibilité, que ce soit dans le cloud ou sur site. Les outils existent. C'est la rigueur nécessaire pour continuer à les alimenter qui fait la différence entre un simple catalogue et un véritable monument.
Ce contre quoi un catalogue te protège
La faille de sécurité de PowerSchool, c'est la version qui fait la une. La version plus discrète, ça arrive toutes les semaines. Une IA entraînée sur des données non validées. Des environnements de test qui tournent sur des enregistrements de production non anonymisés. Des plans de migration au point mort parce que personne ne peut confirmer ce qui est concerné. Le service juridique qui découvre des choses lors d'un contrôle censé être de routine.
Le catalogue répond à la question qui précède toutes les autres : qu'est-ce qu'on a ?
Où ça va nous mener ?
Une fois que tu sais ce que tu as, la question suivante est de savoir qui d'autre peut le voir. C'est là que ta politique dit une chose, mais que ton environnement en dit une autre.
Après la confidentialité, il y a les règles qui garantissent l'intégrité du catalogue. C'est-à-dire que personne n'est promu pour son travail de gouvernance.
Et si tu te demandes en quoi le catalogage influe sur la réussite ou l'échec des projets d'IA, c'est justement là-dessus que repose le service « AI Readiness ».
