Administrateurs Professionnels Indépendants Associés

Data et Gouvernance

APIA Est – 10 janvier 2025

Nous abordons aujourd’hui un sujet qu’il nous paraît essentiel de faire figurer dans les thèmes des conseils d’administration, et qui semble néanmoins largement occulté, ou traité partiellement en PME/PMI : il s’agit de l’intérêt qu’un conseil d’administration ou tout autre organe de gouvernance se doit de porter à la data, à la donnée présente, générée et exploitée par les entreprises. Il est à noter est un préalable nécessaire à toute intelligence artificielle.

Traitement actuel de la data par le conseil d’administration

Elle est majoritairement traitée aujourd’hui sous trois aspects :

  • Accessibilité de certaines données nécessaires au bon fonctionnement du CA. Ici, le CA joue souvent indirectement un rôle bénéfique, en s’inquiétant d’indicateurs jusqu’à présent non disponibles, ce qui suscite des travaux en interne pour les produire. Avec un peu de chance, les données demandées, après une phase de construction spécifique pour satisfaire la demande, sont intégrées dans le corpus de données utilisées au quotidien par le dirigeant pour son fonctionnement opérationnel. Elles y gagnent souvent en pertinence, fiabilité et permettent de mesurer des évolutions.
  • Propriété et confidentialité des données : c’est un domaine largement réglementé en Europe. Il concerne en particulier l’usage de données individuelles réputées personnelles, du droit d’accès des propriétaires, etc. A minima, le CA s’inquiétera du respect de ces obligations (RGPD etc). ou incitera à la mise en place des outils de mesure et de contrôle.
  • Sécurité des données : il s’agit ici de se prémunir contre les cyberattaques, sujet très médiatique, et dont les effets sont reconnus par la majorité des PME comme dévastateurs (financièrement par les demandes de rançon, économiquement par la perte de données ou l’arrêt de l’exploitation, plus que par la divulgation de données réputées sensibles). Les efforts portent en particulier sur la sécurisation du poste de travail, et les mesures de sensibilisation et de formation des salariés. Ainsi, le CA se préoccupe plus de la construction d’un « mur d’enceinte » que de la sécurité du coeur du système d’information contenant la data d’entreprise.

Ces aspects, pour autant qu’ils soient aujourd’hui traités, le sont toutefois souvent de manière partielle, voire insuffisante ou erronée. Le dirigeant est souvent mal à l’aise avec la délocalisation « cloud » de ses données et la gestion de ses systèmes d’information. Il fait partie du rôle du CA de l’inciter à réfléchir aux sujets suivants :

  • Il y a « cloud et cloud », un data center digne de ce nom (Tier 4) coûte environ 20k€ au m2 à la construction, hors équipement, et offrira infiniment plus de sécurité que la salle blanche de l’entreprise ou qu’un data centrer à planchers de bois plus propice aux incendies incontrôlables ; dupliquer des données par exemple dans le cadre d’un PRA (plan de reprise d’activité) n’a de sens que si elles sont dupliquées dans des data centers géographiquement distincts, et on devra s’assurer que les données dupliquées sont saines. Faites visiter un data center à vos dirigeants !
  • Toutes ces précautions ne retirent rien à la conclusion, certes contre-intuitive, mais néanmoins avérée : pour 98% des PME (hors secteurs hyper sensibles), un hébergement « cloud » en data centrer de logiciels « multi-instances » (partagés par plusieurs clients, sans développement spécifique « maison ») est infiniment plus sécurisé et moins énergivore que des systèmes « maison ». Cette remise en cause des certitudes doit s’accompagner chez le dirigeant par la prise en compte de modifications profondes des modèles économiques (souscription d’un droit d’usage plutôt que l’achat d’un logiciel), et aussi des coûts liés; pas nécessairement appréhendés quand on utilise depuis des années un logiciel qui n’est plus maintenu.
  • En termes d’obsolescence : les risques liés à la « dette technique » de certains systèmes gérant des données globalement stables (comme les données comptables) sont souvent largement ignorés du dirigeant. Et pourtant, un système globalement « en retard » d’un point de vue technique offre des risques de « plantage » largement supérieurs (langages obsolètes, pannes difficiles à identifier, trous de sécurité, compétences disparues…), il est nettement plus sensible aux attaques de piratage (protections insuffisantes, et donc cible privilégiée des hackers) et il est nettement moins communiquant, ce qui conduit à la non-exploitation de données pourtant intéressantes, à la duplication des saisies, à une perte de cohérence, d’efficacité administrative etc. Le dirigeant vits souvent sur un volcan insoupçonné, et perd au quotidien des avantages concurrentiels par rapport à des concurrents plus jeunes dans le métier et qui sont « cloud native » depuis leur apparition sur le marché.

Et surtout, sans attention soutenue à la data, l’entreprise pourrait passer à côté de ce qui constituera vraisemblablement un enjeu stratégique majeur de survie dans ses prochaines années

  • Travail de structuration des données : il s’agit ici de la description, définition, maintenance dans le temps des données gouvernance, de l’enrichissement du corpus de données générées de manière unique, disponibles de manière régulière, automatique et fiable. Un bel exemple est donné aujourd’hui par les données RSE : les données environnementales des entreprises, qui exigeraient un traitement semblable à celui des données comptables (systémie, automatisme, règles fortes) sont la plupart du temps négligées ou traitées de manière partielle et ponctuelle, bref, absentes des systèmes structurés. Plus largement, il en va ainsi souvent des données qualitatives et sociétales (RH, formation, fidélité des clients, identification et suivi des « signaux faibles » commerciaux etc.), tant nos systèmes d’informations sont centrés sur la comptabilité (ERP) ou sur des mesures commerciales et techniques purement quantitatives (CRM). Le développement de nouvelles activités (SAV ou transformation des produits pour une entreprise de négoce par exemple), de même que les recherches fines de rentabilité (par type de produit, par client, par zone géographique etc.) sont aussi souvent négligés. Ces manques d’information nuisent à l’efficacité de la PME, sont une limite dans la connaissance de son métier, une barrière à l’entrée inexploitée, et l’empêchent potentiellement de prendre les bonnes décisions.
  • La communication entre systèmes est un deuxième sujet d’attention. Le cloud ne suppose pas une interopérabilité absolue des données, qui peuvent rester ensilotées, redondantes, incohérentes. Un travail est donc à mener sur la communication entre systèmes. Pour fixer les idées, un ERP fait rarement un bon CRM, et inversement, alors qu’il est essentiel que les deux communiquent de manière fluide.
  • L’intelligence artificielle est encore aujourd’hui largement à l’état de potentialité dans les PME. Mais il est clair que de très nombreux métiers vont lourdement évoluer du fait de l’IA, et que celle-ci va permettre d’économiser du temps et ainsi de créer de très nombreuses opportunités de business supplémentaires et une nouvelle manière de les traiter. A ce titre, les données stockées dans les entreprises représentent une richesse énorme, qu’elles sont seules bien souvent à posséder. Songeons par exemple aux possibilités de foisonnement et de cross-selling générées par l’exploitation intelligente d’un historique d’offres traitées, acceptées ou non, de commandes passées, des délais de transformation, de chiffres d’affaires, de taux de marge, de coûts commerciaux liés, d’incidents et de délais moyens de paiement. Encore faudra-t-il que ces données soient disponibles au niveau de finesse nécessaire, et interopérables. Ne pas se préparer à ces évolutions avec une data cohérente et structurée, c’est potentiellement voir le train de l’IA passer.

Conclusion : En termes de gestion opérationnelle immédiate, comme d’appréhension des risques et surtout de préparation aux évolutions stratégiques de demain, la data est au coeur du réacteur de la PME quelle que soit son activité, et devrait donc se trouver au coeur des préoccupations du conseil d’administration, dépassant largement les seuls aspects juridiques ou réglementaires. APIA est conscient de ces évolutions, dispose parmi ses effectifs de spécialistes de la data, et intègre dans ses procédures d’instruction de mandat des questions sur la data, en permettant ainsi d’éclairer certains aspects qui ne faisaient pas nécessairement partie à l’origine de la feuille de route du dirigeant.


Gilles Knoery

Retour
Trouver un Administrateur