Interview de Pierre Guillemin, Chief Data Officer chez Natixis

Le rôle de CDO a véritablement émergé sous l’impulsion de la réglementation BCBS 239, qui a eu la vertu de placer la gouvernance des données comme élément clé du dispositif de régulation devant aller de pair avec l’évolution de l’architecture du système d’information. Même si la fonction n’est pas clairement évoquée dans le texte, il est intéressant de noter que ces rôles ont émergé au même moment et que les CDO des plus grandes banques françaises ont pris leurs fonctions dans un laps de temps très rapproché.

Après une phase de cadrage, nous avons finalement pu dégager les 5 grandes missions du CDO :

La définition de la stratégie autour de la data 

Initialement, la fonction était rattachée aux départements Risques / Finance et devait permettre à Natixis de s’assurer de sa compliance vis-à-vis du BCBS 239, en définissant notamment un certain nombre de données critiques et de reportings prudentiels prioritaires, ce qui constituait le fil rouge de nos attributions. Notre rattachement hiérarchique et fonctionnel se fait désormais directement au niveau du COO Système d’information et Opérations. Un arrimage au dispositif CDO de BPCE est également en projet.

La création d’une organisation de data management 

Nous avons envisagé deux scenarii : la création d’une filière ou une organisation pyramidale reposant sur un « réseau » de correspondants. C’est cette dernière option que nous avons choisie. Option qui avait également été privilégiée, au moins dans un premier temps, chez nos pairs et notamment dans les pays anglo-saxons. Cela s’explique par le fait que la création d’une filière exige un certain degré de maturité. Nous travaillons donc avec une organisation centrale assez réduite, puisque notre équipe est composée de 5 personnes, mais nous nous appuyons sur des relais locaux, avec des Data Domain Officer par périmètre métier. Cela représente un réseau d’une vingtaine de correspondants qui est cependant amené à se développer de manière à obtenir un relai pour chaque entité ou filiale de Natixis SA.

La gestion de la qualité des données 

Evidemment, cette notion existait déjà chez Natixis avant la création de notre équipe, et s’organisait notamment autour de comités qualité. Cependant, les pratiques étaient hétérogènes et surtout non exhaustives, certains secteurs n’étant pas couverts par des comités de qualité par exemple. Nous avions donc comme mission d’établir un tableau de bord transversal et fédéral et d’assurer qu’il y ait autant de comités qualité que nécessaire grâce notamment à nos relais locaux. Notre mode opératoire s’appuie sur la comitologie des risques opérationnels avec un comité faitier et des comités plus orientés métier.

La veille 

Cette veille est de plusieurs ordres : réglementaire dans un premier temps, avec notamment les impacts du BCBS 239 et la General Data Protection Regulation qui bousculent la gestion opérationnelle des activités bancaires, mais aussi technologique, puisque nous nous devons de nous tenir au courant des dernières nouveautés en la matière. Le partage fréquent des bonnes pratiques avec nos pairs fait également partie de ce volet.

L’orientation des choix d’architecture des systèmes d’information / urbanisation :

Il doit y avoir une corrélation très forte entre l’architecture du système d’information cible et la stratégie autour de la data. Prenons un exemple très parlant : un des enjeux principaux du BCBS 239 est d’assurer la convergence entre les données Finance et Risques. Cette convergence métier doit nécessairement s’appuyer sur l’évolution du système d’information, sous peine que le projet soit plus couteux et moins efficient. Nous avons donc créé un datalake commun Finance et Risques. Cette évolution de l’écosystème permettra notamment au CDO de définir une nouvelle gouvernance des données et de définir et mettre en place un ensemble de contrôles autour de la donnée. Le CDO n’est évidemment pas le responsable de l’architecture IT mais il est important qu’il prenne part aux décisions. Pour émettre un avis, nous avons par exemple mis en place un label « data quality », reposant sur un certain nombre de critères (asservissement à des référentiels maîtres, identification de golden sources,…), qui est décerné lors de la création d’un nouveau module ou d’un upgrade majeur. Les comités nouveaux produits, nouvelles activités décernent également ce label avec des critères légèrement différents.

Enfin, et en tâche de fond, le CDO doit diffuser un ensemble de bonnes pratiques pour mettre la donnée au cœur des priorités de la banque et de sa culture. Natixis en a d’ailleurs fait une de ses priorités puisque la qualité des données fait partie intégrante du futur plan stratégique du Groupe. Natixis opte ainsi pour une approche client centric : cela implique qu’il s’axe largement autour des problématiques data et digital, puisque la donnée est la matière première des institutions financières. Le rôle du CDO est de fournir une vision transversale (de bout en bout) de la donnée, basée sur un corpus documentaire (retraçant les rôles et les responsabilités des différents acteurs), dont la déclinaison opérationnelle intervient au travers de l’implémentation d’un outillage dédié à cette nouvelle fonction, visant à améliorer la connaissance de son patrimoine de données et à objectiver les sujets de qualité de données.

Le plan stratégique 2018/2020 de Natixis est en cours de construction et sera présenté aux marchés à l’automne. Nous savons d’ores et déjà qu’il comportera un stream data, ce qui constitue une véritable opportunité pour notre fonction.

Outre le plan stratégique, nous avons également la roadmap 2017 qui comporte différents projets. Nous assistons par exemple Natixis Assurance dans l’implémentation d’une solution de marché pour mettre en place leur gouvernance de données dans le cadre de Solvency 2. Evidemment, nous travaillons également sur la mise en conformité aux principes du BCBS 239 dont la gouvernance de données reposera également sur le même outil. La 1ère phase du projet devra être achevée d’ici la fin de l’année 2017, notamment sur les données critiques, et la full compliance vis-à-vis de la réglementation, y compris le plan de remédiation, d’ici la fin de l’année 2018. Cela représente un réel travail d’objectivation des problèmes identifiés (problèmes de qualité des données, d’exhaustivité des données, de cohérence entre les reportings) même si le superviseur en a pris conscience, grâce notamment aux précédents exercices de deep dive réalisés.

Nous sommes par ailleurs très sollicités par nos filiales sur des sujets de data quality, en lien avec des enjeux réglementaires, par exemple dans le cadre de la lutte anti-blanchiment.

Outre BCBS 239 et GDPR, nous sommes également mis à contribution sur le projet FRTB. En effet, cette nouvelle réglementation introduit une composante modèles forte avec de véritables sujets relatifs aux données. Nous avons donc engagé des travaux de documentation et de mise en gouvernance sur un certain nombre d’indicateurs de marché. L’enjeu est très fort pour Natixis puisqu’il s’agit de conserver nos modèles internes afin de poursuivre nos activités de marché de capitaux.

De même, le projet MIFID 2 embarque un certain nombre d’enjeux autour de la donnée et est tout aussi structurant pour la banque puisqu’il impacte directement la stratégie business de la banque.

Ces deux projets d’envergure, en tant que consommateurs de données, sont impactés par les principes du BCBS 239 et amènent les banques à revoir leur architecture IT. Ils demandent donc une forte implication des équipes Data.

Le projet GDPR a été lancé par la direction juridique il y a un peu plus d’un an. Il implique notamment de définir un dictionnaire de la donnée et le chemin de la donnée, ce qui lui confère de fortes interactions avec BCBS 239. Plusieurs banques de la Place ont donc adopté une gouvernance unique pour ces deux projets. Chez Natixis, le projet est porté par la direction juridique mais nous en assurons le co-sponsorship avec la compliance.

Cependant, la GDPR comporte un certain nombre de spécificités puisqu’elle vise à protéger les données à caractère personnel, qu’il s’agisse des données internes (RH) mais aussi des données externes (clients, prospects,..). Ainsi, un travail très important et une sensibilisation autour de ces données personnelles vont devoir être engagés. En effet, il conviendra par exemple de redoubler de vigilance lors de la duplication de bases lorsque celles-ci comportent des données personnelles ou lors de l’archivage de fichiers comprenant des données RH, … Enfin, le périmètre touché par cette réglementation est encore plus vaste que celui impacté par BCBS 239 : le nombre de données reste à définir mais on estime chez Natixis qu’environ 230 applications comportent des données privées.

Effectivement, il y aura probablement une fonction de DPO qui ne peut être assumée par le CDO car il se doit d’être plus neutre et moins impliqué opérationnellement. De plus, le rôle de DPO intègre également une responsabilité pénale. Le CDO pourrait très certainement être son « bras armé ». Les contours de la fonction et la fonction elle-même reste cependant à définir chez Natixis.

A mon sens, la data constitue le carburant du digital. Par conséquent, le Chief Data Officer et le Chief Digital Officer se doivent d’être partenaires. La frontière entre les attributions de chacun reste à définir et nous allons ainsi engager une réflexion sur ce que la data peut apporter au digital. Au niveau de la Place, il n’existe pas de règle générale sur l’organisation hiérarchique entre ces deux fonctions.

Le big data est très en vogue actuellement. Cependant, il faut garder à l’esprit que cela ne constitue pas une solution miracle et comporte également son lot de difficultés (problématiques de stabilité, de performance, d’indexation, manque de retour d’expérience…). Une vision idéale de la fonction CDO se décline selon moi selon les 3 points suivants :

• Tout d’abord, la base de la fonction repose sur la gouvernance de la donnée,
• Ensuite viennent, les uses cases autour de cette donnée, au sens des sujets d’efficience opérationnel par exemple,
• Et enfin la valorisation / monétisation de la donnée. Ce dernier point ne s’applique pas uniquement à la banque de détail comme on peut avoir tendance à le croire. Par exemple, l’étude des données de marché, de meilleurs indicateurs de risque, permettent de prendre de meilleures décisions et d’aboutir à de meilleurs processus.

La fonction dont les premiers projets étaient principalement d’ordre réglementaire va également s’élargir sur des sujets d’efficacité opérationnelle et de valorisation / monétisation de la donnée, au travers d’un certain nombre de use cases, notamment en lien avec le digital.