Gestion de la protection des données : La CNIL publie une méthode d’autoévaluation

Technologie : Ce travail mené par la CNIL part du constat qu’il existe une disparité sur le plan de la nature et de la maturité des activités mises en place par les organismes pour la gestion de la protection des données.

Dans un document partagé en ligne, la Commission nationale de l’informatique et des libertés (CNIL) invite les organisations à réaliser une autoévaluation des activités mises en place liées à la protection des données, qui couvrent plusieurs actions, du pilotage à la gestion du registre, en passant par la veille juridique.

La CNIL rappelle d’emblée la distinction entre la « maturité » évoquée, qui s’applique aux « activités gérées par l’organisme pour tous les traitements qu’il met en œuvre », et la « conformité », qui, elle, s’applique « à chaque traitement de données personnelles ».

La commission partage ses premières réflexions sur la réalisation d’un « modèle de maturité » en matière de gestion de la protection des données. De façon synthétique, ce modèle « transpose les niveaux de maturité définis dans les normes internationales à la gestion de la protection des données et vise à décrire l’ensemble des possibles », précise la commission.

Cinq niveaux de maturité théoriques

Le document méthodologique proposé par la CNIL est présenté comme un outil d’aide à l’analyse. Il permet aux organismes d’évaluer leur propre niveau de maturité, et d’en tirer des enseignements pour améliorer leur gestion de la protection des données. Autrement dit, il s’agit d’« un plan d’action pour combler les écarts constatés entre la pratique et le niveau adéquat ciblé par chaque organisme [qui] peut ainsi être élaboré sur cette base », explique la CNIL.

La CNIL identifie huit types d’activité que les organisations peuvent mettre en place : définir et mettre en œuvre des procédures de protection des données ; piloter la gouvernance de la protection des données ; recenser et tenir à jour la liste des traitements ; assurer la conformité juridique des traitements ; former et sensibiliser ; traiter les demandes des usagers internes et externes ; gérer les risques de sécurité ; et enfin gérer les violations de données.

Prenant en compte chacune de ces activités « types », un autre tableau détaille cinq niveaux de maturité auxquels les organismes peuvent s’identifier, par le biais d’exemples de chantiers concrets. Si l’on prend, par exemple, le sujet de la conformité juridique des traitements, la Commission considère que le niveau de maturité le plus élevé (le niveau 5) est atteint lorsque la protection des données est prise en compte dès l’initiative des projets, en collaboration avec le délégué à la protection des données. A ce stade ultime, une veille juridique et technique est alors réalisée, et des analyses sont produites et diffusées, observe la CNIL.

Sur un autre sujet à l’étude, celui de la gestion des violations de données, la Commission estime que le stade de maturité de niveau 5 est atteint lorsqu’un organisme réalise sur une base régulière un bilan des violations, en vue de la mise en œuvre de mesures permettant d’améliorer la sécurité des données.

Source : ZDNet.com

Catégories