Gouvernance des données PME : par où commencer en 2026 ?
« Gouvernance des données » sonne comme un mot qui s'adresse aux directions IT des grands groupes. C'est faux. Une PME de 30 personnes en a autant besoin qu'un CAC 40, à proportion. Et les sanctions CNIL ont augmenté de 340 % en 2025, avec 60 % des PME françaises encore non conformes [1]. La CNIL cible explicitement les petites structures en 2026. Voici une mise en place proportionnée, sans usine à gaz, avec les bons outils et les bonnes priorités.
Pourquoi vous y intéresser maintenant
Sans gouvernance, voici ce que nous observons régulièrement dans des PME entre 30 et 200 personnes :
- Trois définitions différentes du chiffre d'affaires selon qu'on demande à la compta, au commercial ou au CEO
- Des fichiers Excel pivots que personne ne sait remettre à jour quand l'auteur original a quitté l'entreprise
- Des accès sauvages : les commerciaux voient les données RH, le marketing voit les marges, les stagiaires ont des droits admin
- Aucune trace quand une méthode de calcul change entre deux trimestres, ce qui fausse les comparaisons annuelles
- Pas de registre des traitements, alors que c'est une obligation RGPD depuis 2018 [2]
Ce n'est pas dramatique tant que l'entreprise reste petite. À 50 personnes, ça commence à faire mal. À 100, ça casse. Et la première fois qu'un contrôle CNIL frappe ou qu'un client demande la cartographie de ses données traitées, vous découvrez que la dette gouvernance se paie au prix fort.
Le contexte régulatoire 2026
Trois faits à retenir :
- Sanctions CNIL en hausse de 340 % en 2025, avec un focus déclaré sur les PME en 2026 [1]
- Amende Free et Free Mobile de 42 M€ en janvier 2026 pour défauts de sécurité [1]
- Le registre des traitements reste obligatoire pour toute structure traitant des données personnelles, quelle que soit sa taille [2]
Une PME peut se voir infliger des sanctions allant jusqu'à 4 % du chiffre d'affaires mondial. Ce n'est plus un risque théorique.
Le cadre conceptuel : DAMA-DMBOK simplifié
Le référentiel international de gouvernance data s'appelle DAMA-DMBOK (Data Management Body of Knowledge). Il définit 11 domaines de connaissance, avec la gouvernance au centre [3]. Pour une grande entreprise, c'est une feuille de route complète. Pour une PME, c'est une menace de paralysie.
Bonne nouvelle : le framework est explicitement non-prescriptif et conçu pour être appliqué par phases. En PME, on en garde 4 des 11 domaines :
| Domaine DAMA-DMBOK | Priorité PME | Outil minimal |
|---|---|---|
| Data Governance | Critique | Comité trimestriel |
| Metadata | Critique | Dictionnaire Notion |
| Data Quality | Important | Revue dans comité |
| Data Security & Privacy | Critique (RGPD) | Politique d'accès 3 niveaux |
| Data Architecture | Plus tard | Quand stack > 5 outils |
| Data Modeling | Plus tard | Avec dbt ou équivalent |
| Data Integration | Plus tard | Quand on industrialise les flux |
| Documents & Content | Pas tout de suite | Quand on dépasse 50 personnes |
| Reference & Master Data | Plus tard | Quand on a 2+ sources clients |
| Data Warehousing & BI | En parallèle | Power BI, Metabase ou équivalent |
| Big Data & Storage | Non | Inutile à votre taille |
Les 4 priorités critiques (Governance, Metadata, Quality, Security) représentent 90 % de la valeur en PME. C'est sur elles qu'on concentre l'effort.
La checklist minimale : 90 % du résultat avec 10 % de l'effort
Voici ce que nous installons en priorité chez nos clients PME, dans l'ordre.
1. Un dictionnaire de données
Un simple Notion, Coda ou Google Docs structuré qui liste :
- Les indicateurs métier clés : CA, marge brute, marge nette, NPS, taux de churn, panier moyen, CAC, LTV
- Leur définition exacte : formule, source, périmètre temporel, exclusions
- Le propriétaire métier : la personne qui valide une évolution de la définition
- La date de dernière mise à jour de la définition
Maintenir ce document représente 1 heure par mois en régime de croisière. C'est l'outil qui produit le ROI le plus rapide.
2. Un inventaire des sources
Lister exhaustivement :
- Tous les outils qui contiennent des données métier : ERP, CRM, comptabilité, marketing automation, RH, SIRH, billing, support, fichiers partagés sensibles
- L'admin technique et le contact métier de chaque outil
- Les flux d'export récurrents : qui exporte quoi, vers où, à quelle fréquence
- Les flux d'import : qui pousse de la donnée dans quel outil
Cet inventaire révèle systématiquement des doublons et des dépendances cachées. Sur 10 missions PME, nous avons trouvé en moyenne 3 outils que la direction ne connaissait pas.
3. Une politique d'accès simple
Trois niveaux suffisent en PME :
- Public interne : tableaux de bord exécutifs partagés à tous (CA global, headcount, KPI produit)
- Métier : accès aux données de son département (un commercial voit son pipeline, pas la marge)
- Sensible : finance, paie, données clients identifiables. Accès restreint et tracé
Ne tombez pas dans le piège des matrices RACI sur 200 lignes. En PME, ça ne tient pas dans le temps. Une politique sur une page suffit.
4. Un registre des traitements RGPD
Obligatoire dès qu'on traite des données personnelles (ce qui concerne 100 % des entreprises). Le registre doit lister [2] :
- La finalité du traitement
- Les catégories de données et de personnes concernées
- Les destinataires
- La durée de conservation
- Les mesures de sécurité
La CNIL fournit un modèle Excel gratuit. Reproduisez-le, remplissez-le, tenez-le à jour. C'est le document n°1 que demandera tout contrôleur.
5. Un comité data trimestriel
Une réunion d'une heure tous les trois mois avec :
- Le CEO ou DG
- Le DAF
- Le DRH
- Un IT manager si vous en avez un
- Un partenaire externe data (advisor ou partenaire de mission)
L'agenda type : 10 min de revue KPI, 20 min de projets data en cours, 20 min de nouvelles questions métier, 10 min de priorisation et de décisions. C'est ce comité qui maintient la data alignée sur le business.
Ce qu'il ne faut pas faire en PME
Quatre travers fréquents que nous voyons en mission.
Acheter un outil de Data Catalog enterprise
Alation démarre autour de 60 k$ et grimpe à 198 k$ pour 25 utilisateurs créateurs en déploiement réel [4]. Collibra coûte 170 k$ à 510 k$ par an de licence de base [5]. Et le TCO complet (services, support, modules, formation) représente 6 à 8 fois le prix de la licence [4]. Pour une PME, c'est non.
Si vraiment vous voulez un catalogue outillé, regardez plutôt les alternatives open-source : DataHub, OpenMetadata, Apache Atlas. Mais soyez honnête : à votre taille, un Notion structuré suffit.
Créer un poste de Data Steward dédié
Ce rôle structure les responsabilités dans un grand groupe. En PME, il crée de la friction sans valeur ajoutée. Le propriétaire métier de chaque indicateur fait office de steward de fait.
Mettre en place un Data Quality Framework formel
Les outils de Data Quality (Great Expectations, Monte Carlo, Soda) sont puissants mais demandent une équipe data pour les opérer. En PME, regardez les anomalies au cas par cas dans le comité trimestriel et automatisez uniquement les tests critiques en SQL ou dbt.
Démarrer par la gouvernance avant la livraison
Vu sur le terrain : des PME passent 6 mois à modéliser leur gouvernance avant de produire un premier dashboard. À la fin, la direction a perdu patience. La gouvernance se construit en parallèle de la livraison de valeur, pas avant.
Les outils gratuits ou peu chers qui suffisent
Pour démarrer, vous n'avez pas besoin de plus que :
| Besoin | Outil recommandé | Coût mensuel |
|---|---|---|
| Dictionnaire de données | Notion ou Coda | 0 à 16 € |
| Inventaire des sources | Notion ou tableur partagé | 0 à 16 € |
| Stockage versionné des docs | Google Drive ou OneDrive | 0 à 12 €/user |
| Registre RGPD | Modèle CNIL Excel | 0 € |
| Application BI | Metabase OSS ou Power BI Pro | 0 à 13 €/user |
| Catalogue open-source (optionnel) | DataHub ou OpenMetadata | Infra ~50 €/mois |
Total : 0 à 200 €/mois selon votre stack existante. Aucune raison d'investir 50 k€ avant d'avoir saturé ce socle.
Quand passer à un catalogue open-source
Le déclic se fait généralement vers 100 à 150 personnes, ou quand vous dépassez 10 sources data actives et 20 utilisateurs analytics. À ce stade, DataHub ou OpenMetadata commencent à payer. DataHub a la communauté la plus active (plus de 11 000 étoiles GitHub) [6], OpenMetadata a une architecture plus simple à déployer (pas de graph database) [6]. Comptez 2 à 5 jours de setup et 4 à 8 heures de maintenance par mois pour une instance de production.
Roadmap progressive : 12 mois pour bien démarrer
Mois 1 : dashboard exécutif avec les 5 KPI principaux.
Mois 2 : dictionnaire de données pour ces 5 KPI.
Mois 3 : inventaire des sources, premier comité data.
Mois 4 à 6 : registre RGPD, politique d'accès, extension des dashboards.
Mois 7 à 12 : automatisation, raffinement, ouverture aux managers métier.
Après an 1 : revue stratégique, décision sur des outils plus avancés.
L'ordre est important. Si vous démarrez par le dictionnaire ou l'inventaire sans dashboard, l'organisation perd patience et abandonne avant de voir la valeur. Si vous démarrez par le dashboard sans dictionnaire, vous accumulez de la dette gouvernance que vous payez plus tard.
Le piège de l'usine à gaz
La gouvernance data en PME se construit au fil de l'eau, en parallèle de la livraison. Pas en mode big bang.
Trois principes qui évitent l'usine à gaz :
- Démarrer petit, étendre progressivement : 5 KPI documentés valent mieux que 50 KPI à modéliser.
- Outils légers d'abord : Notion + Excel CNIL battent Alation tant que vous êtes sous 100 personnes.
- Adopter avant d'industrialiser : un dictionnaire utilisé une fois par semaine vaut mieux qu'un catalogue parfait jamais ouvert.
La règle du 80/20 s'applique massivement. La discipline produit 80 % du résultat, l'outil 20 %.
Notre recommandation
Trois situations, trois feuilles de route.
PME de 30 à 80 personnes
Lancez le socle minimal en 90 jours : dashboard exécutif, dictionnaire des 10 KPI principaux, inventaire des sources, registre RGPD, premier comité data. Coût total : 0 à 200 €/mois d'outillage, plus 2 à 4 jours/mois de pilotage interne ou externalisé.
PME ou ETI de 80 à 200 personnes
Consolidez la gouvernance par département. Un comité data mensuel au lieu de trimestriel. Politique d'accès formalisée avec revue annuelle. Si vous avez plus de 10 sources et 20 utilisateurs analytics, déployez DataHub ou OpenMetadata en complément.
ETI au-delà de 200 personnes
Désignez un Data Lead interne avec mandat clair. Évaluez sérieusement les outils enterprise (Alation, Collibra, Atlan) en comparant TCO sur 3 ans avec une alternative open-source musclée. Nommez un DPO interne si vos traitements de données sensibles l'imposent [2].
Et dans tous les cas
La gouvernance n'est pas un projet à terminer. C'est une discipline à maintenir. Le jour où vous arrêtez de la pratiquer, elle s'érode. Le comité trimestriel, le dictionnaire à jour, la politique d'accès relue chaque année : c'est ça qui fait la différence entre une PME qui maîtrise ses données et une PME qui les subit.
Vous voulez auditer votre maturité gouvernance ? On fait l'atelier en 1 heure : prendre rendez-vous →.
Sources
[1] Blaaaz, "RGPD 2026 : Nouvelles Obligations & Mise en Conformité PME", 2026. blaaaz.com/rgpd-2026-nouvelles-obligations-mise-en-conformite-pme
[2] CNIL, "Appliquer le RGPD dans une TPE ou PME", 2026. cnil.fr/fr/appliquer-le-rgpd-dans-une-tpe-ou-pme
[3] DAMA International, "DAMA-DMBOK Framework: An Ultimate Guide for 2026", 2026. atlan.com/dama-dmbok-framework
[4] Atlan, "Alation Pricing Explained: Key Factors & TCO in 2026", 2026. atlan.com/alation-pricing
[5] CheckThat.ai, "Collibra Pricing 2026: Plans, Costs & Benchmarks", 2026. checkthat.ai/brands/collibra/pricing
[6] The Data Guy, "Open-Source Data Governance Frameworks: OpenMetadata, DataHub, Apache Atlas, Amundsen", 2026. thedataguy.pro/blog/2025/08/open-source-data-governance-frameworks