Gouvernance des données dans les PME : un bilan pratique sur la nouvelle loi DGG
9 min de lecture
La nouvelle loi allemande sur la gouvernance des données (DGG) transpose le règlement européen 2022/868 en droit national. Toute PME qui ne dispose pas aujourd’hui d’une stratégie des données s’expose non seulement à des amendes pouvant atteindre 500 000 euros, mais risque aussi de se retrouver exclue des chaînes de valeur pilotées par les données. Un bilan pratique montre comment amorcer concrètement cette démarche.
L’essentiel en bref
- La loi sur la gouvernance des données (DGG) transpose le règlement européen 2022/868 en droit allemand
- En cas d’infraction, des amendes allant jusqu’à 500 000 euros sont prévues (Bundestag, 2026)
- À l’échelle européenne, seules 3 organisations altruistes en matière de données sont à ce jour enregistrées
- L’Agence fédérale des réseaux (Bundesnetzagentur) devient l’autorité de surveillance centrale pour les services de médiation des données
- Les PME devraient commencer par établir un catalogue des données avant d’évaluer des outils dédiés à la gouvernance
Ce que la loi sur la gouvernance des données prévoit concrètement
L’Allemagne a longtemps tergiversé. Alors que le règlement européen sur la gouvernance des données (DGA) est applicable depuis septembre 2023, le projet de loi nationale de transposition n’a été présenté qu’au début de l’année 2026. La loi sur la gouvernance des données régule trois domaines essentiels : la réutilisation des données publiques protégées, l’agrément et la surveillance des services de médiation des données, ainsi que l’enregistrement des organisations altruistes en matière de données.
Pour les PME, c’est surtout le deuxième point qui revêt une importance particulière. Les services de médiation des données sont des plateformes permettant l’échange de données entre entreprises, sans qu’elles-mêmes n’aient un intérêt économique direct dans ces données. À l’avenir, toute entreprise souhaitant exploiter un tel service devra obligatoirement s’enregistrer auprès de l’Agence fédérale des réseaux. Tout manquement aux règles exposera son auteur à une amende pouvant atteindre 500 000 euros.
L’Office fédéral de la statistique (Statistisches Bundesamt) assume quant à lui le rôle de point central d’information. Il doit conseiller les administrations publiques souhaitant ouvrir leurs propres jeux de données à une réutilisation. Or, lors de l’audition devant la commission numérique du Bundestag en janvier 2026, il est apparu clairement que de nombreuses autorités envisagent désormais de ne pas mettre leurs données à disposition du tout, car la charge administrative liée à cette mise à disposition l’emporte sur les avantages escomptés.
Pourquoi les PME sont concernées, même si elles n’exploitent aucun service de médiation des données
L’interprétation erronée la plus courante est la suivante : « La DGG ne nous concerne pas, nous ne sommes pas une plateforme de données. » Il est exact que les obligations directes (enregistrement, surveillance) ne pèsent que sur les prestataires de services de médiation des données et les organisations altruistes en matière de données. Indirectement, toutefois, la loi modifie les règles du jeu pour toutes les entreprises travaillant avec des données d’entreprise.
« La gouvernance des données n’est pas un monstre bureaucratique. C’est la base indispensable pour éviter que les projets d’intelligence artificielle ne s’effondrent en raison d’une qualité insuffisante des données. »
Boris Otto, Fraunhofer ISST, Dortmund
Concrètement : toute entreprise souhaitant participer aux espaces de données européens (Gaia-X, Catena-X, Manufacturing-X) devra prouver que ses propres données sont structurées, documentées et gérées conformément à des règles claires de gouvernance. Aucun espace de données n’accepte de participants incapables d’indiquer quelles données ils détiennent, qui y accède et quels droits d’utilisation s’y appliquent.
En outre, la DGG ne constitue qu’un élément d’un réseau réglementaire en pleine expansion. Associée au Data Act (applicable à partir de septembre 2025), au Règlement général sur l’intelligence artificielle (AI Act) et au Règlement général sur la protection des données (RGPD), elle forme un ensemble de contraintes de conformité qui devient tout simplement ingérable sans une gouvernance systématique des données. Aborder chaque réglementation isolément conduit à une dispersion inévitable. En revanche, disposer d’une structure de données globale permet de répondre simultanément à la plupart des exigences.
Le cas pratique : comment une entreprise de fabrication a mis en place la gouvernance des données
Un bon exemple est fourni par la démarche adoptée par Siemens AG dans le cadre de Manufacturing-X. Pour sa division industrielle, Siemens a introduit un catalogue de données centralisé, dans lequel chaque jeu de données est enrichi de métadonnées : origine, fréquence de mise à jour, responsable désigné, classification (public, interne, confidentiel). Ce n’est pas un projet à plusieurs millions d’euros. Siemens utilise à cet effet un outil open source (DataHub, développé par LinkedIn/Acryl Data), parfaitement accessible aux PME ne disposant pas d’un budget « enterprise ».
Le point décisif : le catalogue de données n’était pas une fin en soi, mais un point de départ. Ce n’est qu’après avoir pris conscience de l’existence effective de tels jeux de données qu’il a été possible de définir des règles de gouvernance. Avant cela, la « gouvernance des données » n’était qu’une simple déclaration d’intention, inscrite sur une diapositive PowerPoint.
« Une gouvernance sans catalogue de données est comme une comptabilité sans plan comptable. On peut certes rédiger des règles, mais personne ne sait à quoi elles s’appliquent. »
Boris Otto, directeur de l’institut Fraunhofer ISST, Dortmund
La position contraire : la gouvernance comme frein
Tous les experts ne voient pas la DGG sous un jour favorable. Lors de l’audition devant le Bundestag, certains spécialistes ont critiqué le fait que « le règlement aboutit, sur bien des points, à l’effet contraire de celui recherché ». Plutôt que de rendre les données plus accessibles, la charge administrative qu’il génère pousse les administrations publiques à garder leurs jeux de données sous scellés.
Cela constitue également un risque réel pour les PME. Une gouvernance trop bureaucratique – par exemple, exigeant trois niveaux d’approbation pour chaque accès aux données – ralentit considérablement les équipes internes. L’art consiste à concevoir une gouvernance aussi légère que possible : rôles clairement définis, classification simplifiée, contrôle d’accès automatisé. Tout ce qui va au-delà crée des frictions particulièrement dommageables dans les PME, dont les hiérarchies sont naturellement plates.
Le chiffre parle de lui-même : à l’échelle européenne, seules trois organisations se sont à ce jour enregistrées comme altruistes en matière de données. Trois. Dans toute l’Union européenne. Cela illustre combien l’impact pratique de la DGA reste, à ce jour, très limité. Les détracteurs en concluent que la réglementation passe à côté de la réalité. Ses partisans, eux, estiment que c’est précisément pourquoi la loi nationale de transposition doit créer des incitations plus pragmatiques.
Cinq étapes pour démarrer : construire la gouvernance des données dans les PME
L’erreur la plus fréquente consiste à penser trop grand. Lancer immédiatement une plateforme de gouvernance des données à l’échelle de l’ensemble de l’entreprise conduit inévitablement à l’échec, en raison de la complexité et des contraintes budgétaires. Mieux vaut procéder ainsi :
● Étape 1 : Établir un catalogue des données. Dresser la liste de tous les systèmes traitant des données à caractère personnel, critiques pour l’activité ou soumises à une réglementation spécifique : ERP, CRM, serveurs de fichiers, services cloud. Ne visez pas l’exhaustivité, mais identifiez les 20 principaux systèmes. Cette étape prend deux à trois semaines, pas des mois.
● Étape 2 : Attribuer des responsabilités. Désigner, pour chaque jeu de données figurant dans le catalogue, un « propriétaire des données » (Data Owner). Il s’agit de la personne habilitée à décider qui peut accéder aux données et quelles exigences de qualité doivent être respectées. Il ne s’agit pas de créer un nouveau poste, mais d’ajouter cette responsabilité à celle d’un cadre dirigeant déjà en place.
● Étape 3 : Mettre en place une classification. Trois niveaux suffisent : Public, Interne, Confidentiel. Chaque nouveau document ou nouveau jeu de données reçoit automatiquement une classification dès sa création. Les données existantes sont classifiées progressivement, en commençant par les 20 systèmes prioritaires identifiés à l’étape 1.
● Étape 4 : Automatiser le contrôle des accès. Mettre en œuvre des droits d’accès basés sur les rôles (RBAC) dans les systèmes les plus importants. La plupart des systèmes ERP modernes et des solutions cloud intègrent déjà cette fonctionnalité. L’effort réside dans la configuration, non dans la technologie.
● Étape 5 : Instaurer un cycle d’audit. Tous les six mois, vérifier : les responsabilités attribuées sont-elles toujours pertinentes ? De nouvelles sources de données sont-elles apparues ? Les exigences réglementaires ont-elles évolué ? Pour commencer, une demi-journée par trimestre suffit.
Ce que cela signifie pour les investissements en RegTech en 2026
La DGG intervient sur un marché déjà fortement soumis à la pression réglementaire. DORA, AI Act, MiCA, NIS2, Data Act : en 2026, les PME devront remplir simultanément davantage d’exigences de conformité qu’à aucune période antérieure. La gouvernance des données n’est donc pas un projet supplémentaire, mais la base commune à toutes ces exigences. Celui qui sait où se trouvent ses données, qui y accède et à quelles fins, aura déjà accompli 80 % de la documentation nécessaire à la conformité.
L’Agence fédérale des réseaux affirme, de son propre aveu, avoir déjà entamé les préparatifs nécessaires à l’exercice de sa nouvelle mission de surveillance. Dès que la loi sera définitivement adoptée, ses dispositions entreront immédiatement en vigueur. Les PME qui, à ce moment-là, ne disposeront pas encore d’un catalogue des données démarreront avec un retard qu’elles devront rattraper dans l’urgence. Ce sera coûteux et chaotique.
La voie pragmatique consiste à démarrer dès maintenant avec ces cinq étapes, avant même l’entrée en vigueur de la loi. L’investissement requis est modeste (un chef de projet interne, deux à trois mois pour poser les fondations), et les bénéfices vont bien au-delà de la simple conformité à la DGG. Car une structure de données rigoureuse ne rend pas seulement conforme : elle rend plus rapide, puisque les décisions reposent alors sur des données validées, et non plus sur des intuitions.
Questions fréquentes
Qu’est-ce que la loi sur la gouvernance des données (DGG) ?
La DGG est la loi allemande de transposition du règlement européen sur la gouvernance des données (DGA, UE 2022/868). Elle régit la réutilisation des données publiques protégées, la surveillance des services de médiation des données et l’enregistrement des organisations altruistes en matière de données. L’Agence fédérale des réseaux devient l’autorité de surveillance centrale.
Les PME doivent-elles s’enregistrer ?
Uniquement si elles exploitent un service de médiation des données ou agissent en tant qu’organisation altruiste en matière de données. Indirectement, toutefois, la loi concerne toutes les entreprises souhaitant participer aux espaces de données européens (Gaia-X, Catena-X, Manufacturing-X) ou travailler avec des jeux de données publics.
Quel est le montant des amendes en cas d’infraction ?
Le projet de loi prévoit des amendes pouvant atteindre 500 000 euros par infraction. Ces sanctions visent notamment les prestataires de services de médiation des données qui négligent leur obligation d’enregistrement ou enfreignent les exigences de neutralité.
Quels outils conviennent pour débuter la gouvernance des données ?
Des solutions open source telles que DataHub (LinkedIn/Acryl Data) ou Apache Atlas offrent un point d’entrée économique pour la construction d’un catalogue de données. Pour le contrôle des accès, les fonctions RBAC intégrées aux systèmes ERP modernes et aux plateformes cloud suffisent dans de nombreux cas.
Quel lien existe-t-il entre la DGG et le Data Act ?
Ces deux textes font partie de la stratégie européenne sur les données. Le Data Act régit l’accès aux données générées par les machines (par exemple, les données IoT) et les clauses contractuelles relatives au changement de fournisseur cloud. La DGG, quant à elle, met en place l’infrastructure nécessaire à un échange de données fiable. Ensemble, ils constituent le fondement de l’espace de données européen.
Lectures complémentaires
- DORA, AI Act, MiCA simultanément : pourquoi la RegTech devient une dépense obligatoire en 2026
- Gouvernance des clusters Kubernetes dans les PME (cloudmagazin)
- Souveraineté numérique 2026 : ce que les DSI doivent savoir sur Delos Cloud, Gaia-X et le Data Act européen (Digital Chiefs)
Plus d’articles du réseau média MBF
- → Gouvernance des clusters Kubernetes dans les PME (cloudmagazin)
- → Agenda des DSI 2026 (Digital Chiefs)
Source de l’image : Pexels / Mike van Schoonderwalt
