En 2019, la société d'Asset Management Octo Asset Management se voit infliger une sanction pécuniaire d'un montant de 70 000 €. Dans sa décision, l'AMF retient que les procédures de valorisation des actifs et de validation des valeurs liquidatives ne prévoyaient pas la traçabilité des sources de valorisation des actifs et que les contrôles de second niveau étaient défaillants.
Si le montant semble dérisoire au regard de ce que représente le portefeuille d'actifs sous gestion de la société, la société ayant déclaré 285 M€ d'AUM en 2021, le préjudice d'image peut être quant à lui particulièrement sévère.
Pour les agnostiques, la difficulté peut sembler surprenante : ne s'agirait-il pas simplement d'auditer les systèmes d'information ? Il suffirait peut-être de « soulever le capot » pour trouver un montant dans une base de données, et identifier son mode de calcul renseigné dans un processus référencé ?
Pourtant, nombre sont les hypothèses implicites dans ces interrogations. La donnée figure-t-elle déjà dans une table unique ? Son mode d'alimentation est-il réellement documenté, et de quelle manière ? Qui est référent de sa qualité ? Et si cette personne connaît le mode de calcul, est-on vraiment sûr qu'elle puisse expliquer de bout en bout l'ensemble des processus visant à la produire, et qui la consomme exhaustivement ?
Car le défi est bien moins simple qu'il n'y paraît : une donnée n'est pas reliée par nature à un processus métier IT unique et clairement identifié, elle s'intègre comme résultat de processus informationnels complexes (procédures stockées, jobs...) et pour lesquels les équipes métiers ne peuvent auditer que la logique de résultat. Encore faudrait-il que l'erreur soit bien visible !
Un processus informatique ne vaut en effet pas un processus métier, et c'est bien ce qui entraîne l'impossibilité de déterminer clairement un process owner métier qui saurait expliquer aisément pourquoi la donnée n'a pas ou mal été produite.
Il faut dire que la velléité des équipes opérationnelles quant à retrouver la source d'une donnée spécifique est souvent motivée par l'énorme manualité que représente la recherche des flux et transformations qu'elle a pu subir. Les procédures stockées peuvent en appeler d'autres et s'avérer être un vrai casse-tête de compréhension pour les équipes qui visent à comprendre comment elles s'imbriquent entre elles.
Mais l'enjeu est bel et bien de taille : les sources d'erreurs sont multiples — une procédure stockée n'a pas fonctionné, un data provider n'a pas transmis une donnée en amont. La logique de calcul ou de traitement est bien souvent moins un sujet d'inquiétude que la clarté du transit d'un point A à un point B dans l'obscurité des systèmes d'information.
Les risques sont également bien réels. Ils peuvent notamment inclure :
- Des risques réputationnels et juridiques, induits par la divulgation de données faussées issues de transformations lacunaires, ou l'impossibilité de justifier des informations requises par la réglementation.
- Des risques décisionnels, issus de la prise en compte des mauvaises données entraînant des prises de décision biaisées.
De nombreux acteurs l'ont bien compris : Microsoft avec Purview, Actian avec Zeenea, ou encore Collibra. Outre la volonté de fournir un cadre de travail général pour des travaux de data governance, ces outils permettent déjà une première exploration visant à aboutir rapidement à des métamodèles de données et à la création de data products destinées aux équipes métiers.
En éclaircissant les chemins par lesquels la donnée transite et en explicitant ses modalités de calcul, les équipes métiers peuvent ainsi retrouver ce qui l'alimente, en gagnant en autonomie vis-à-vis des équipes IT. Car la data governance ne consiste pas à documenter l'informatique existante, mais à formaliser et relier les règles métiers à la complexité des procédures et des transformations, avec des objectifs clairs : savoir ce que la donnée signifie, pour quel usage elle fait foi, et qui en est responsable. Et si ces solutions doivent aujourd'hui leur audience à la nécessité de contextualiser la donnée avant tout déploiement d'agent IA, leur intérêt réel se joue en amont, à la racine même du problème que l'agent est censé résoudre : rendre la donnée lisible pour les équipes métier.