Les opérations de la sécurité sociale et les décisions stratégiques reposent sur la disponibilité des données liées aux individus et parties prenantes impliqués dans les programmes sociaux gérés par les institutions, disponibilité qui s’avère nécessaire pour la mission de l’institution. Par conséquent, la fiabilité de ces opérations et décisions dépend fortement de la fiabilité des données utilisées. Le volume de données important géré par les institutions de sécurité sociale constitue une composante clé et commune aux programmes sociaux, dont la qualité et la gestion ont une incidence considérable sur les activités globales des institutions de sécurité sociale.
D’après Allen Dreibelbis et al., «dans la mesure où les entreprises tentent de devenir de plus en plus flexibles en vue de soutenir et d’encourager l’évolution des exigences opérationnelles, la gestion des informations fondamentales, notamment sur les clients ou les produits, gagne en importance. Ces informations s’appellent des données de référence» (Enterprise master data management: An SOA approach to managing core information, Pearson Education, 2008). Les données de référence sont définies comme suit: «Il s’agit des données les plus précises faisant autorité et concernant les principales entreprises, utilisées afin de définir le contexte des données transactionnelles. Les valeurs des données de référence sont appelées “données golden”» (Mark Mosley et al., DAMA guide to the data management body of knowledge, Technics Publications, 2010).
Dans le cas des institutions de sécurité sociale, les données de référence englobent toutes les données gérées nécessaires à la réalisation des programmes sociaux. Ces données sont également appelées «systèmes d’information d’entreprise» ou «registres uniques». Elles s’avèrent en particulier utiles dans la mesure où elles offrent un cadre institutionnel formalisé et unique pour les principaux concepts utilisés au sein de l’institution: employés, bénéficiaires, familles, cotisants, parcours professionnel des employés, entre autres. Les institutions de sécurité sociale devraient pouvoir compter sur des systèmes d’informations fiables, capables de prendre en charge toutes les opérations liées aux données de référence et à leur gestion. Ces systèmes d’information devraient pouvoir gérer, autant que possible, la qualité des données (notamment au regard de leur exhaustivité et de leur exactitude).
Dans son glossaire, Gartner donne la définition suivante de la gestion des données de référence (Master Data Management – MDM): «La gestion des données de référence est une discipline technologique qui recouvre les operations à effectuer par les équipes métiers et informatique qui travaillent ensemble afin d’assurer l’uniformité, l’exactitude, la prise en charge, la gouvernance, la cohérence sémantique et la transparence des données de référence officielles partagées dans une institution.»
En outre, le DAMA guide to the data management body of knowledge définit la gestion des données de référence comme «la définition et la préservation des processus de création, d’intégration, de maintien et d’utilisation des données de référence au sein de l’entreprise. La gestion des données de référence devrait à cet égard: 1) déterminer quelles sont les valeurs des “données golden” les plus précises parmi les éventuelles données conflictuelles; et 2) utiliser les valeurs “golden” en lieu et place d’autres données moins complètes».
Les lignes directrices suivantes portent sur les concepts et activités liés à la gestion des données de référence, ainsi que sur les aspects organisationnels relatifs à la mise en œuvre des données de référence dans les institutions de sécurité sociale. Elles complètent la Ligne directrice 17, Développement d’un modèle et d’un système de gestion des données de référence, section A.5, Gestion des données et de l’information.
Les institutions de sécurité sociale devraient gérer ces données au moyen de processus de prise de décision clairs et d’une structure hiérarchique bien définie du point de vue de la stratégie organisationnelle. Cette activité est communément appelée la gouvernance des données. Lorsque les données devant être gérées sont des données de référence, on peut parler de gouvernance des données de référence. Quand différentes actions relatives à la gouvernance des données de référence sont censées aboutir à une mise en œuvre spécifique, un Programme de gouvernance des données de référence (Master Data Governance Programme – MDGP) devrait alors être élaboré et appliqué.
Afin d’élever un Programme de gouvernance des données de référence à des niveaux tactique et/ou opérationnel, un groupe composé des responsables des données (data stewards) et des propriétaires des données (data owners) devrait être en charge des opérations de gestion des données conformément à un Programme de gestion des données de référence (Master Data Management Programme – MDMP).
L’ensemble du personnel responsable du MDGP est communément appelé Conseil ou Commission sur la gouvernance des données de référence. L’ensemble du personnel en charge du MDMP est qualifié de Groupe sur la gestion des données de référence ou Conseil des responsables des données de référence ou Commission sur la gestion des données de référence selon la structure organisationnelle de l’institution.
Le Programme de gouvernance des données de référence et le Programme de gestion des données de référence (respectivement désignés MDGP et MDMP) sont étroitement liés. Le MDGP assure la cohérence des initiatives dans le domaine des données de référence avec les objectifs institutionnels, afin de maximiser la valeur des données de référence, conformément au Programme de gouvernance des données; tandis que le MDMP assure le déploiement et le maintien des systèmes d’information des données de référence, pour soutenir les opérations liées aux données de référence. De manière plus générale, il existe trois grands types d’intervenants jouant les différents rôles existant pour la gestion des données de référence: (i) ceux de gouvernance des données, (ii) ceux portant sur les technologies de l’information, (iii) ceux relevant des responsables des données.
En vue de mener les activités définies dans ces lignes directrices, les institutions de sécurité sociale devraient mettre en place des équipes disposant des compétences et du mandat appropriés. Il s’avère en particulier important que les programmes de gouvernance et de gestion des données de référence fassent l’objet d’un suivi afin de s’assurer de leur bonne mise en œuvre, conformément aux objectifs de l’institution de sécurité sociale. Dans le cadre de ces lignes directrices, nous distinguons les organes suivants:
- Niveau exécutif – le Comité de pilotage de la gestion de l’information
L’institution crée un Comité de pilotage de la gestion de l’information (Information Management Steering Board – IMSB), qui a pour rôle de promouvoir, approuver, comprendre et défendre le plan et la politique de gouvernance stratégique des données au plus niveau de l’organisation, à savoir le niveau exécutif ou le niveau de la direction. Le Comité de pilotage est également tenu de faire connaître aux secteurs métier les attentes et exigences en matière de gouvernance des données, ainsi que d’identifier les initiatives relatives aux données et de les hiérarchiser par ordre de priorité. Il faut à cette fin que les dirigeants de l’institution aient une formation et une connaissance suffisantes. Le Comité de pilotage délègue au Conseil sur la gouvernance des données la responsabilité en matière de prise de décisions stratégiques.
Le Comité est responsable de:
- la définition d’une vision stratégique afin d’évaluer la pertinence de la gestion des données de référence en vue de remplir les fonctions de la sécurité sociale établies dans le cadre du mandat de l’institution;
- la promotion d’une évolution culturelle et organisationnelle visant à aboutir à une gestion unifiée des données fondamentales au sein de toute l’institution;
- la mise en place, entre autres, du MDGP dans toute l’institution, en tant que pilier des activités de l’institution. Cet aspect implique des mesures budgétaires et organisationnelles.
- Niveau stratégique – Le Conseil sur la gouvernance des données de référence
Le Conseil sur la gouvernance des données de référence est tenu d’acquérir des connaissances sur ce que signifie la gouvernance des données, sur la manière dont elle peut et va fonctionner pour l’organisation, et sur ce que signifie le fait de faire appel et d’avoir recours aux responsables et propriétaires des données. Il fournit des conseils, assume la responsabilité des activités et approuve des éléments tels que la politique relative aux données, les méthodes, les priorités et les outils. Il promeut la gouvernance en œuvrant pour l’amélioration des pratiques en matière de données. Il prend des décisions en matière de données au niveau stratégique au moment opportun en tenant compte des connaissances nécessaires à cette fin et se réunit régulièrement pour se tenir informé des activités du programme.
Le Conseil est chargé de:
- la nomination de hauts représentants assumant des fonctions liées à la propriété des données et mandatés pour prendre des décisions relatives aux données de référence pour leur institution;
- la désignation des membres du Groupe sur la gestion des données de référence;
- l’approbation des décisions du Groupe sur la gestion des données de référence;
- l’adoption des politiques relatives aux données de référence.
- Niveau tactique – Groupe ou Commission sur la gestion des données de référence
Pour améliorer la coordination (entre services ou entre institutions) en matière de données et pour faciliter la mise en œuvre des politiques relatives aux données dans l’institution, plusieurs commissions, réseaux et communautés devraient être créés. Dans la gouvernance des données, ils apparaissent comme des groupes compétents pour la gestion des données.
Un groupe compétent pour la gestion des données est un réseau, un organe, une commission ou une communauté de pratiques, formel ou informel, qui traite les données de référence en lien avec les processus métier, l’analyse des données ou la normalisation des données.
Chacun de ces groupes a un mandat clair. Ce mandat doit être approuvé par le Conseil sur la gouvernance des données de référence qui a demandé la création du groupe. Certains groupes peuvent être permanents, tandis que d’autres peuvent n’être actifs que pendant une durée déterminée. Le Comité de pilotage de la gestion de l’information a une vision d’ensemble des groupes existants et doit être consulté sur la création de nouveaux groupes.
Le Groupe (ou Commission) sur la gestion des données de référence est chargé:
- de l’exécution de projets de développement du système des données de référence;
- du maintien de l’expertise organisationnelle en matière de données de référence de la sécurité sociale;
- de la préservation de la signification et de la valeur des données;
- de la formulation de recommandations sur les décisions en matière de données et de la rédaction de procédures relatives aux données.
Afin de résoudre les problématiques majeures, l’architecture des données de référence devrait intégrer les composants suivants:
- Une architecture pour le système de données de référence, qui stocke et soutient les opérations liées aux données de référence. Cette architecture devrait offrir des possibilités de satisfaire aux exigences fonctionnelles et non fonctionnelles établies au sein de l’institution. Elle sera susceptible de devoir prendre en compte les interactions avec des institutions externes, au regard de l’accès aux données ou de l’offre de services à ces institutions.
- Une architecture pour les systèmes de gestion des données de référence, devant appuyer les opérations propres aux données de référence, notamment celles liées au nettoyage qualitatif des données de référence, au profilage qualitatif des données de référence, ou encore à la configuration de la gestion des données de référence (entités comme modèles).
- Une architecture pour le système de gouvernance des données de référence, devant soutenir les différentes activités liées au MDGP. Par exemple, elle devrait fournir des composants logiciels à des fins de suivi et d’efficacité.
Tous ces composants sont présentés dans les lignes directrices suivantes, afin d’aider les institutions de sécurité sociale dans leurs efforts visant à mettre au point une solution intégrée.
Afin de garantir une compréhension aussi large que possible de tous les concepts abordés dans ce document, le lecteur est invité à consulter les normes internationales suivantes – tant de jure que de facto –, utilisées comme référence pour la rédaction de certaines lignes directrices spécifiques (classées par ordre alphabétique):
Les institutions de sécurité sociale devraient également respecter les six principes définis dans la section A.1 lors du déploiement de systèmes de données de référence. Les lignes directrices suivantes visent à faciliter la mise en œuvre de tels systèmes de gestion des données de référence, en mettant en permanence l’accent sur l’optimisation de la valeur de ces données. L’étape initiale consiste à mettre en œuvre un Programme de gouvernance des données de référence.
Les données de référence figurent parmi les atouts fondamentaux garantissant le bon fonctionnement des institutions de sécurité sociale. Il s’avère essentiel d’insister sur le fait que la gestion des données de référence relève de la question tant organisationnelle/corporative que technologique. La tâche la plus complexe consiste à établir des liens adéquats entre ces deux catégories.
Les lignes directrices suivantes sont organisées en trois sections:
- La section C.1.1, intitulée Gouvernance des données de référence et gestion des données de référence, aborde les décisions institutionnelles nécessaires en vue d’orienter la conception et la mise en œuvre de projets relatifs aux données de référence, ainsi que les opérations quotidiennes. La première partie de cette section s’attache à la conception des programmes sur les données de référence, conformément aux principes institutionnels de gouvernance des TIC. S’ensuit l’élaboration d’une stratégie et d’un plan d’action, incluant le champ d’application préliminaire des données de référence. La dernière ligne directrice de cette section porte sur les questions liées à l’évaluation et à l’optimisation de la valeur des données de référence, et entend fournir des éléments pertinents en vue de faciliter la prise de décisions d’investissement au regard des systèmes de données de référence.
- La section C.1.2, intitulée Gestion de la qualité des données de référence, traite des questions clés liées à la gestion de la qualité et de la fiabilité des données de référence. Ces lignes directrices formulent des recommandations spécifiques afin de gérer la qualité des données de référence grâce à des mesures préventives et correctives.
- La section C.1.3, intitulée Architecture, conception et mise en œuvre des données de référence, porte sur les activités liées à l’instauration des systèmes de données de référence. Cette section définit tout d’abord les caractéristiques des architectures, aborde ensuite la gestion du changement et la mise en œuvre, et s’axe enfin sur les fonctions d’interopérabilité et de sécurité devant être prises en compte dans tout système de données de référence.
- COBIT® 4 et COBIT® 5
- DAMA-DMBOK (2009 et/ou 2015)
- ISO 20000 et ITIL®
- ISO 27000
- ISO 38500
- ISO 8000, parties 100 à 140