"La donnée n'est plus seulement un enjeu technique ou réglementaire. C'est un actif stratégique qui engage la responsabilité des organes de direction — au même titre que le capital financier."
Gouvernance corporate de la donnée, rôle du CA et du COMEX, positionnement du CDO, interface avec la gouvernance SI, conformité réglementaire (COBIT, DORA, RGPD).
Membres de COMEX, CDO, CIO, secrétaires généraux, directeurs juridiques, auditeurs internes, membres de Comité d'Audit.
COBIT 2019, Modèle de maturité Cigref/IFACI/ISACA 2026, DORA Art. 5, NIS2 Art. 32, EU AI Act Art. 5 & 25.
½ journée (3h30) — 2 séquences pédagogiques + 1 atelier de positionnement du CDO dans l'organigramme de gouvernance.
La gouvernance de la donnée ne peut être cantonnée à la DSI ou à la direction Data. Elle traverse toute la hiérarchie décisionnelle de l'entreprise, du Conseil d'Administration à l'opérationnel. Chaque niveau a des responsabilités spécifiques — et des obligations réglementaires distinctes.
Supervision de la stratégie data & IA. Revue annuelle du reporting Data (COBIT Critère 5 : bilan présenté à la DG). Responsabilité DORA Art. 5.2 sur la résilience numérique. Validation de l'appétit au risque data.
Définition et validation de la politique de gouvernance data & IA (COBIT Critère 2). Arbitrage des investissements data. Nomination des Data Owners. Comité de gouvernance data mensuel. Pilotage de la conformité réglementaire.
Gestion quotidienne du dictionnaire, lineage, qualité. Animation des comités data de domaine. Contrôle de l'utilisation des référentiels dans les projets (COBIT Critère 5). Remontée des incidents qualité.
Quand la stratégie data n'est pas portée au niveau exécutif, elle reste un projet technique. La direction générale doit être responsable de l'exécution de la stratégie data (COBIT Critère 4). Sans ce sponsorship, les initiatives data échouent à l'échelle : les métiers ne s'approprient pas les données, la qualité se dégrade et la valeur ne se réalise pas.
Le Chief Data Officer n'est pas un directeur technique. C'est un dirigeant qui traduit la stratégie corporate en politique data opérationnelle, et qui rend compte à la direction générale de l'état de santé de l'actif-data de l'organisation.
| Rattachement | Avantage | Limite |
|---|---|---|
| DG direct | Légitimité max, arbitrage fort | Risque isolement opérationnel |
| CFO | Accès aux KPIs financiers | Biais vers reporting réglementaire |
| CIO / DSI | Proximité technique | Sous-valorisation stratégique |
| CDO autonome | Transversalité totale | Dépend du sponsor COMEX |
Le CDO doit idéalement être membre du COMEX ou y avoir un accès direct. La stratégie data doit faire partie intégrante du volet numérique du plan stratégique de l'organisation — pas d'un programme isolé.
Le modèle de maturité et d'audit de la gouvernance du numérique (Cigref/IFACI/ISACA, édition 2026) structure la gouvernance data en 5 bonnes pratiques mesurables. C'est le référentiel de place en France pour l'auto-évaluation et l'audit externe.
| Bonne pratique | Description synthétique | Niveau 3 (maîtrisé) — critère clé | Lien gouvernance corporate |
|---|---|---|---|
| BP1 · Stratégie & Gouvernance | Stratégie data documentée, politique de gouvernance, IA intégrée au plan stratégique | La direction générale est responsable de l'exécution de la stratégie data | CA + COMEX obligatoires |
| BP2 · Processus de gestion | Référentiel des données cartographié, cycle de vie couvert, dictionnaire partagé, instance désignée | Instance de gouvernance animée par une personne désignée rendant compte à la DG | CDO ou équivalent |
| BP3 · Valorisation | Dispositifs pour atteindre les objectifs stratégiques data : usages métier, produits data, BI | Les métiers sont autonomes dans le développement de leurs usages data | Data Owners métier actifs |
| BP4 · Sécurisation | Mesures CIA (Confidentialité, Intégrité, Authenticité), contrôles embarqués, propriétaires responsables | Dispositif qualité supervise les risques IA (hallucination, biais, décisions induites) | DPO + CISO + Data Owner |
| BP5 · Intelligence Artificielle | Politique IA définie, partagée, mise à jour ; IA intégrée aux décisions d'investissement ; feuille de route passage à l'échelle | Feuille de route IA élaborée et déployée, compétences valorisées | CDO + CTO + COMEX |
Source : Modèle de maturité et d'audit de la gouvernance du numérique, Cigref/IFACI/ISACA, 2026 — Vecteur 05 Données & IA.
Le Conseil d'Administration ne pilote pas les données au quotidien — mais il a une responsabilité de supervision de la stratégie data. Voici ce qu'un reporting annuel Data doit couvrir, structuré en 4 sections COBIT-compatibles.
DORA impose aux organes de direction une responsabilité directe, non-délégable, sur la résilience numérique — ce qui inclut les systèmes data critiques. NIS2 Art. 32 rend les dirigeants personnellement responsables du non-respect des obligations cyber. Ces deux textes transforment la supervision data d'une bonne pratique en obligation légale avec sanction potentielle.
CA (supervision stratégique), COMEX/CDO (politique et arbitrage), Data Owners (opérationnel). Chaque niveau a des obligations réglementaires précises — et une responsabilité non-transférable vers le bas.
Le rattachement du CDO à la DSI sous-valorise l'actif data. La stratégie data doit figurer dans le plan stratégique de l'organisation (BP1 Cigref). Le CDO doit avoir un accès direct au COMEX et au CA.
Le modèle Cigref/IFACI/ISACA 2026 est le référentiel de place en France. Il permet l'auto-évaluation, l'audit externe et le dialogue avec le Comité d'Audit sur des critères objectifs en 5 niveaux de maturité.
① Template de reporting Data annuel au CA (4 sections) ② Grille de positionnement CDO dans l'organigramme de gouvernance ③ Auto-évaluation maturité Cigref BP1-BP5 avec plan de progression.
"Une organisation qui traite la data comme un actif stratégique ne la gère plus comme un sous-produit de ses systèmes — elle la pilote avec la même rigueur que son capital."