J'avoue, j'ai fait du shadow IT il y a 40 ans !
J’ai commencé ma carrière professionnelle à 16 ans, par un stage chez Shell, où mon père était vice-président en charge des ressources humaines. Un stage que j’ai obtenu sans beaucoup d’efforts… je le reconnais… mais où je me suis investi à fond, fier que j’étais de commencer à travailler. Cela devait être en 1982 ou 1983, c’est à dire il y a tout juste 40 ans, et cela se passait au Washington Plaza, le fameux immeuble construit par Shell en 1932 entre les rues de Berri et Washington, à Paris.
Aujourd’hui spécialiste de la gouvernance des données, je prends conscience que 40 ans ont passé, et que je tente d’apporter des solutions à des problèmes qui existaient déjà il y a quatre décennies… rien n’a changé ou presque… certes, j’en vis, et plutôt bien, mais n’est-ce pas démoralisant de constater qu’en quatre décennies, les problèmes semblent à peu près identiques… et les solutions proposées jamais implémentées !
L’informatique en ce début des années 80, était une tour d’ivoire, au sens propre et au sens figuré. Accéder à l’ordinateur central était impossible pour le commun des mortels. Les salles blanches, peuplées d’ingénieurs en blouses blanches, communiquaient avec les bureaux au travers d’un casier à double entrée. Grâce au piston de mon père, le directeur informatique m’avait fait visiter cet espace réservé et j’avais pu admirer ces mainframes que beaucoup d’employés n’avaient jamais vu de leurs yeux.
Mais ce n’est pas le sujet. Mon stage se déroulait au département ressources humaines, que mon père dirigeait. Shell avait a l’époque besoin de gérer ses « hauts potentiels », des cadres identifiés par les RH comme susceptibles d’accéder à des fonctions de haute direction. Il fallait constituer sur eux une base de données comportant de nombreuses informations considérées comme trop sensibles pour être stockées dans l’application de gestion des ressources humaines.
J’ai donc mis à 16 ans, un pied dans le shadow IT, l’informatique fantôme, celle développée par les départements métiers en marge du département informatique. Pour quelles raisons ? Je n’en ai aucune idée. Mais mon responsable de stage avait pu obtenir un IBM PC, à deux lecteurs de disquettes je crois; et choisi, parmi les outils validés par le département informatique, un concurrent de dBase II, dont je ne me souviens pas précisément du nom, KB, Knowledge Base ou quelque chose d’approchant. A cette époque, tout geek de 16 ans savait programmer en dBase. J’ai du découvrir ce nouvel outil, mais les principes étaient similaires : un langage de programmation simple, interprété, et le stockage des données regroupés dans un même outil.
J’ai donc programmé une gestion des cadres à haut potentiel, sans aucune règle de gouvernance à respecter (pas de dictionnaire de données, peu de documentation, pas de contrôle du code, et bien sûr aucun « DevOps »…
Difficile de me remémorer après toutes ces années les détails de cette application, mais je peux vous garantir que le RGPD était encore bien loin ! Données personnelles en pagaille, sur le conjoint, les enfants, les loisirs, collectées sur des salariés dont certains ne savaient pas qu’ils figuraient dans cette base de données.
A l’époque, aucun questionnement, aucune réserve, le concept de donnée personnelle était inconnu. Aucune intégration avec le reste du système d’information, n’était prévue, et le mot de gouvernance n’avait sans doute jamais été prononcé.
Quatre décennies plus tard, lorsqu’un département métier installe Tableau, Qlik ou PowerBI, où lorsqu’il s’ouvre un compte sur le Cloud avec un de ces outils de self service BI, il reproduit ce qui posait déjà un problème à l’époque.
Du point de vue fonctionnel, il répond à ses besoins. Dans le même temps, le département informatique lui a sans doute répondu qu’ils n’avaient pas le temps, où que le budget serait très élevé. Mais pour ce département d’affaires l’important est de trouver la solution. Du point de vue de la gouvernance des données, c’est une catastrophe. Les données quittent le système d’information central, sans traçabilité, rejoignent un système périphérique parfois mal ou pas contrôlé par la DSI, créant de potentielles failles de sécurité.
Une fois intégrées dans un outil plus ou moins caché, les données ne sont plus référencées, leurs modifications non plus, et les calculs réalisés ne sont pas partagés. C’est oublier un peu rapidement que le RGPD s’applique à toutes les données, où qu’elles soient stockées. Et que le partage de données devrait être la règle et pas l’exception.
En tous cas, quand dans mes formations je parle de la “dette de gouvernance”, héritée de plusieurs décennies de mauvaises pratiques, je me sens un peu coupable d’y avoir participé, modestement, il y a 40 ans !