Normes internationales pertinentes
- ISO/IEC 27001 - SMSI
- ISO/IEC 27701 - Privacy management
FIRE Auditor Platform
DGA
Data Governance Act - Gouvernance de partage
Reglement (UE) 2022/868 sur l'organisation du partage de donnees
Le module DGA structure la gouvernance du partage de donnees: intermediaires, confiance, transparence et responsabilites.
Il sert de couche organisationnelle pour fiabiliser les flux de donnees au-dela des seuls aspects contractuels.
Mode
Questionnaire structure
Sortie
Score + plan + rapport IA
Integration
Compatible Gemma2 / Mistral
References issues du classeur Indicateurs.xlsx
Reglements et directives pertinents
- RGPD - Reglement (UE) 2016/679
- Data Act - Reglement (UE) 2023/2854
- Data Governance Act - Reglement (UE) 2022/868
Segments strategiques associes
- Resilience donnees - RGPD
Indicateurs transversaux de reference
14 indicateurs KPI/KRI rattaches a ce module. Ils sont convertis en questionnaires versionnes dans le catalogue FIRE.
KPI-001 - Couverture de la cartographie des actifs critiques
% d'actifs/processus critiques identifies, classes et proprietaires designes.
Calcul: (# actifs critiques cartographies / # actifs critiques estimes) * 100
Couvre: NIS2, DORA, CER, ISO/IEC 27001, ISO 22301
KPI-003 - Score de maturite gouvernance cyber/ICT
Existence et efficacite des roles, comites, politiques, reporting.
Calcul: Score 0-5 base sur grille d'audit.
Couvre: NIS2, DORA, ISO/IEC 27001, ISO 22316
KPI-005 - Delai moyen de traitement des risques
Temps entre identification du risque et decision de traitement.
Calcul: Moyenne(date decision - date identification)
Couvre: NIS2, DORA, ISO/IEC 27001, ISO/IEC 27005, ISO 31000
KPI-006 - Taux de couverture des controles de securite
% des controles attendus effectivement implementes.
Calcul: (# controles en place / # controles requis) * 100
Couvre: ISO/IEC 27001, ISO/IEC 27002, NIS2, DORA
KPI-009 - Taux d'incidents significatifs / trimestre
Volume d'incidents materiels selon seuils internes.
Calcul: # incidents significatifs / periode
Couvre: NIS2, DORA, RGPD, ISO/IEC 27035
KPI-010 - Conformite notification d'incident (timeliness)
% des incidents notifies dans les delais applicables.
Calcul: (# notifs dans delai / # notifs obligatoires) * 100
Couvre: NIS2, DORA, RGPD
KPI-016 - Couverture EDR/MFA/Chiffrement (controles cles)
% des utilisateurs/systemes couverts par controle cle.
Calcul: (# couverts / # total) * 100
Couvre: NIS2, DORA, ISO/IEC 27002, RGPD, ISO/IEC 27017
KPI-018 - Couverture d'evaluation securite des tiers
% des tiers critiques evalues/audites.
Calcul: (# tiers evalues / # tiers critiques) * 100
Couvre: DORA, NIS2, ISO/IEC 27036, ISO/IEC 27001
KPI-019 - Exit readiness cloud / reversibilite
Capacite prouvee a migrer ou basculer un service.
Calcul: Score 0-5 + preuve de test
Couvre: Data Act, DORA, NIS2, ISO 22301, ISO/IEC 27017
KPI-021 - Taux de secure by design (revues, S-SDLC)
% projets avec gates securite design/review/test.
Calcul: (# projets conformes / # projets) * 100
Couvre: CRA, NIS2, ISO/IEC 27001, ISO/IEC 27002
KPI-022 - Taux de DPIA/PIA realises et a jour
% traitements/produits a risque couverts par analyse d'impact.
Calcul: (# DPIA a jour / # DPIA requis) * 100
Couvre: RGPD, ISO/IEC 27701, AI Act
KPI-023 - Taux de minimisation/retention compliance
% donnees conformes aux regles de conservation.
Calcul: (# datasets conformes / # datasets) * 100
Couvre: RGPD, ISO/IEC 27701
KPI-025 - Indicateur assurance via certification
% perimetre couvert par certifications/schemas.
Calcul: (# systemes certifies / # cible) * 100
Couvre: Cybersecurity Act, ISO/IEC 27001, Data Governance Act, eIDAS
KPI-026 - IA - taux de conformite high-risk controls
% systemes IA haut risque avec mesures requises (gouv, logs, tests, monitoring).
Calcul: (# IA conformes / # IA haut risque) * 100
Couvre: AI Act, ISO/IEC 27001, ISO 22301
Piliers d'evaluation
Cadre de gouvernance
Definir roles, responsabilites et regles de decision.
- Owner de gouvernance data designe
- Regles de validation des partages
- Comite de supervision des flux critiques
Confiance et intermediation
Encadrer les mecanismes de mediation et de confiance.
- Evaluation des intermediaires de donnees
- Conditions de transparence formalisees
- Mecanismes de controle des abus
Protection et conformite
Aligner les pratiques avec RGPD et exigences de securite.
- Classification des donnees partagees
- Mesures de securite proportionnees
- Tracabilite complete des echanges
Impacts attendus
Impact ecosysteme
Partage de donnees plus fiable entre acteurs.
- Relations de confiance renforcees
- Moins de frictions dans les echanges
- Capacite de mutualisation amelioree
Impact interne
Meilleure coherence entre legal, metier et IT.
- Decisions de partage plus rapides
- Moins de zones d'incertitude
- Responsabilites clairement attribuees
Impact conformite
Meilleure capacite de justification lors des controles.
- Journalisation des decisions et exceptions
- Dossier de preuve plus structurable
- Alignement plus simple avec Data Act et RGPD
Structure du questionnaire
Structure questionnaire DGA
4 axes: gouvernance, intermediaires, protection, supervision.
- Questions de maturite + questions de preuve
- Scoring 0..3 avec focus confiance
- Risque residual calcule par axe
Indicateurs de suivi
Mesurer la qualite de gouvernance dans le temps.
- Taux de partages formalises
- Temps moyen de validation des echanges
- Nombre d'exceptions non justifiees
Sortie rapport et IA
Sortie rapport DGA
Vue executable pour gouvernance des donnees.
- Score de maturite gouvernance data
- Liste des controles insuffisants
- Roadmap de professionnalisation des pratiques
Roadmap d'implementation
Phase 1 - Setup
- Definir politique de partage cible
- Lancer evaluation DGA de reference
- Affecter owners par processus
Phase 2 - Stabilisation
- Industrialiser workflow de validation
- Brancher indicateurs dans dashboard FIRE
- Relier DGA avec questionnaire Data Act
Prochaine etape: transformer ces blocs de contenu en banques de questions versionnees, puis lancer les campagnes dans le dashboard FIRE.