Data lineage : pourquoi tracer vos données est devenu une question de souveraineté

# Data lineage : pourquoi tracer vos données est devenu une question de souveraineté

Vous savez d'où vient votre chiffre d'affaires. Vous savez d'où vient votre matière première. Mais savez-vous d'où vient le chiffre qui a alimenté votre dernier rapport de conformité DORA ? Ou la donnée client qui a nourri votre modèle de scoring ? Pour beaucoup de DSI européens, la réponse honnête est : pas vraiment. Et en 2026, cette lacune n'est plus seulement un problème technique — c'est un risque stratégique.

Le problème qu'on repoussait depuis dix ans

Le data lineage — la capacité à tracer l'origine, les transformations et les usages d'une donnée tout au long de son cycle de vie — n'est pas un concept nouveau. Les équipes data en parlent depuis l'ère des premiers entrepôts de données. Mais pendant longtemps, il est resté un sujet de spécialistes, relégué aux discussions entre data engineers autour d'un schéma de pipeline.

Ce qui a changé, c'est le contexte réglementaire et géopolitique dans lequel évoluent les entreprises européennes. DORA est entré en application pour le secteur financier. Le Data Act européen produit ses premiers effets. L'AI Act impose des exigences de traçabilité sur les données d'entraînement des systèmes à haut risque. Et dans ce paysage, ne pas savoir d'où vient une donnée, comment elle a été transformée, et où elle transite, ce n'est plus une dette technique : c'est une exposition légale.

Ajoutez à cela la réalité des architectures modernes. Une ETI française moyenne opère aujourd'hui avec un mix de SaaS américains, d'infrastructures cloud hybrides, de connecteurs API et d'outils d'intégration qui font circuler des données entre des dizaines de systèmes. Chaque flux est une boîte noire potentielle. Le data lineage est la lampe torche qui permet de voir à l'intérieur.

Ce que « souveraineté des données » veut vraiment dire en pratique

La souveraineté numérique est devenue un mot-valise. On l'agite dans les discours institutionnels, on l'imprime sur les slides de conférence. Mais pour un DSI qui doit rendre des comptes à son COMEX et à son DPO, elle a une traduction très concrète : savez-vous exactement où se trouvent vos données sensibles, qui y a accès, et sous quelle juridiction elles sont susceptibles d'être exposées ?

C'est précisément là que le data lineage devient un outil de souveraineté au sens opérationnel du terme — pas au sens politique. Lorsqu'une donnée à caractère personnel transite par un connecteur d'un éditeur soumis au Cloud Act américain, sans que personne dans l'organisation ne le sache explicitement, vous avez un problème de souveraineté que nul discours sur « l'Europe puissance numérique » ne résoudra. Le traçage de la donnée, lui, peut le révéler.

Plusieurs grandes entreprises européennes l'ont découvert à leurs dépens lors d'audits RGPD : des données qui « ne devaient pas quitter l'UE » avaient transité par des services de logging ou d'observabilité hébergés hors d'Europe, à la faveur d'une intégration que personne n'avait documentée. Ce n'est pas de la malveillance. C'est de l'invisibilité.

Les outils existent. Le problème est ailleurs.

Il serait inexact de prétendre que le marché manque de solutions. Des plateformes comme Apache Atlas — projet open source de la fondation Apache, très présent dans les stacks Hadoop et Databricks — ou OpenMetadata, autre initiative communautaire en forte croissance, permettent de construire un catalogue de données avec traçabilité intégrée. Du côté des acteurs commerciaux, Alation s'est imposé comme une référence dans les grandes organisations pour combiner gouvernance et lineage.

Mais la vraie difficulté n'est pas technique. C'est organisationnelle. Mettre en place un data lineage efficace suppose d'abord de répondre à des questions que beaucoup d'organisations évitent : Qui est responsable de la donnée ? Qui décide de sa classification ? Qui valide une transformation ? Sans une gouvernance des données au moins embryonnaire, un outil de lineage devient rapidement un catalogue incomplet que personne ne maintient.

C'est le piège classique : on achète la solution avant d'avoir défini le problème. Des DSI ayant déployé des outils coûteux de data catalog se retrouvent six mois plus tard avec un référentiel que les équipes métier n'alimentent plus, parce que personne n'a défini clairement qui en était responsable au quotidien.

La leçon ? Le data lineage n'est pas un projet IT. C'est un projet de gouvernance que l'IT accompagne.

Ce que ça change concrètement pour vos équipes

Prenons quelques situations que tout DSI d'une ETI reconnaîtra.

Lors d'un incident de qualité de données : un tableau de bord financier affiche un chiffre incohérent. Sans lineage, vous passez deux jours à interroger chaque équipe pour remonter la chaîne de transformation. Avec un lineage documenté, vous localisez l'anomalie en quelques heures — parfois en minutes si l'outillage est en place.

Lors d'un audit réglementaire : votre auditeur DORA ou votre DPO vous demande de démontrer que telle donnée sensible n'a pas quitté un périmètre défini. Sans traçabilité, vous produisez une déclaration sur l'honneur. Avec un lineage, vous produisez une preuve.

Lors d'un projet IA : l'AI Act impose, pour les systèmes à haut risque, de documenter les données d'entraînement et leur provenance. Une organisation qui a déjà instrumenté son lineage a une longueur d'avance considérable. Une organisation qui part de zéro à ce moment-là va souffrir.

Lors d'une migration ou d'une acquisition : comprendre rapidement quelles données circulent où, dans quel sens, avec quelles dépendances, est une condition sine qua non pour ne pas casser des flux critiques. C'est aussi le moment où l'on découvre les « fantômes du SI » — des flux actifs que personne ne savait encore actifs.

Par où commencer sans se noyer

La tentation est de vouloir tout tracer d'un coup. C'est l'erreur la plus fréquente et la plus coûteuse. Un programme de data lineage qui commence par vouloir cartographier l'intégralité du SI finit généralement en projet fantôme, mort avant d'avoir produit la moindre valeur.

Une approche plus réaliste consiste à commencer par les données à enjeux. Quelles sont les données qui, si elles étaient erronées ou exposées, vous causeraient le plus de tort — réglementaire, financier, réputationnel ? C'est sur ces flux-là qu'il faut commencer à tracer. Pas sur l'ensemble du lac de données.

Ensuite, la question de l'architecture mérite d'être posée sans naïveté. Si votre stack data repose majoritairement sur des outils d'éditeurs non-européens — ce qui est le cas de la plupart des organisations — la question n'est pas de tout remplacer du jour au lendemain. Ce serait une injonction irréaliste. La question est : est-ce que les métadonnées de gouvernance, les logs de traçabilité, les catalogues de données eux-mêmes, sont hébergés dans des conditions qui vous garantissent un contrôle effectif ? Un data lineage dont les données de référence sont stockées chez un opérateur soumis à une juridiction extraterritoriale crée une dépendance paradoxale.

C'est là que l'angle souveraineté reprend du sens : non pas comme un rejet des technologies américaines, mais comme une exigence de maîtrise de la couche de gouvernance. On peut utiliser Snowflake ou Databricks pour la transformation de données tout en s'assurant que le catalogue et le lineage sont sous contrôle européen.

La question que les DSI évitent encore

Il y a une conversation difficile que le data lineage force à avoir en interne : celle de la responsabilité. Tracer une donnée, c'est aussi tracer les décisions humaines qui l'ont manipulée. Qui a autorisé cette transformation ? Qui a validé cette règle de calcul ? Qui a ouvert cet accès ?

Certaines organisations résistent à cette transparence, non par malveillance, mais parce qu'elle révèle des zones d'ombre organisationnelles que personne n'a envie de documenter. Des processus non documentés, des accès accordés de façon informelle, des règles métier qui vivent dans la tête d'un expert qui a quitté l'entreprise il y a trois ans.

Le data lineage est, en ce sens, un révélateur organisationnel autant qu'un outil technique. Les organisations qui le déploient avec succès sont celles qui l'abordent comme tel — et qui ont l'appui explicite du COMEX pour aller jusqu'au bout de la démarche, même quand elle devient inconfortable.

Reprendre le contrôle n'est pas une option

En 2026, la question n'est plus de savoir si le data lineage est utile. Elle est de savoir combien de temps encore vous pouvez vous permettre de ne pas en avoir. Les régulateurs européens ont clairement choisi leur direction : traçabilité, accountability, preuve de conformité. L'IA générative démultiplie les usages des données et donc les risques associés à leur opacité.

La souveraineté sur vos données ne commencera pas le jour où vous aurez choisi le bon cloud souverain. Elle commencera le jour où vous saurez exactement ce que vos données font, où elles vont, et qui en est responsable. Le data lineage n'est pas la réponse à toutes ces questions. Mais sans lui, vous ne pouvez même pas commencer à les poser sérieusement.

Alors, par quelles données commenceriez-vous ?