CNIL : une grille pour évaluer la protection des données en entreprise

Le modèle proposé par la CNIL permet aux entreprises d’évaluer leurs actions en matière de protection des données.

Un modèle de maturité pour mesurer la gestion de la protection des données

Alors que les entreprises ne gèrent pas la protection de leurs données de manière homogène, la Commission Nationale de l’Informatique et des Libertés (CNIL) propose aux entreprises une « auto-évaluation de maturité en gestion de la protection des données ». Les premières réflexions partagées par la commission visent à accompagner les organisations pour mieux mesurer et quantifier leurs actions liées à la protection de leurs données.

La CNIL souhaite que ces actions soient traitées sous le prisme de la maturité, à savoir « le formalisme avec laquelle les activités liées à la protection des données sont gérées » et qui s’applique « aux activités gérées par l’organisme pour tous les traitements » mis en œuvre, ainsi que la conformité pour « chaque traitement de données personnelles ».

Pour cela, la CNIL s’appuie sur une méthodologie reposant sur 5 niveaux de maturité. Ces derniers sont définis à partir des normes internationales, à savoir l’ISO/IEC 21827 et le guide relatif à la maturité SSI de l’ANSSI.

Quel est votre niveau de maturité ?

Pour aider les entreprises à « évaluer leur propre niveau de maturité et déterminer comment améliorer leur gestion de la protection des données », la CNIL liste 5 niveaux décrits à travers une série de caractéristiques et d’actions à avoir mis en place avant de passer à l’étape suivante. Ces 5 niveaux de maturité correspondent à la manière dont une entreprise « conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité ».

Les 5 niveaux de maturité définis par la CNIL :

• Niveau 0 – Pratique inexistante ou incomplète : la protection des données n’est pas reconnue ni prise en charge au sein de l’entreprise,
• Niveau 1 – Pratique informelle : les pratiques de base sont mises en œuvre de manière informelle pour répondre à des demandes isolées, sans un engagement réel des dirigeants,
• Niveau 2 – Pratique répétable et suivie : les actions sont planifiées, réalisées et mesurées par une personne en charge de la protection des données et suivies par les dirigeants,
• Niveau 3 – Processus défini : des méthodes standardisées à l’ensemble de l’entreprise et formalisées (par écrit) sont mises en place, des ressources et des moyens y sont alloués,
• Niveau 4 – Processus contrôlé : des mesures sont réalisées à partir d’indicateurs quantitatifs et qualitatifs, qui permettent d’apporter des améliorations au processus mis en place,
• Niveau 5 – Processus continuellement optimisé : l’analyse des mesures et l’amélioration du processus sont standardisées et formalisées pour s’adapter à chaque situation.

Les 5 niveaux de maturité détaillés par la Commission. © CNIL

Quelles actions mettre en place au sein de votre entreprise ?

Le document de la CNIL présente également une série de 8 activités types, liées à la protection des données :

1. Définir et mettre en œuvre des procédures de protection des données,
2. Piloter la gouvernance de la protection des données,
3. Recenser et tenir à jour la liste des traitements,
4. Assurer la conformité juridique des traitements,
5. Former et sensibiliser,
6. Traiter les demandes des usagers internes et externes,
7. Gérer les risques de sécurité,
8. Gérer les violations de données.

Ces activités types sont croisées avec les 5 niveaux de maturité, afin de proposer des actions concrètes à mettre en œuvre au sein des entreprises dans le cadre de cette auto-évaluation. La CNIL précise qu’il s’agit d’un « outil d’aide à l’analyse qui pourra contribuer à mettre en place des conditions favorables pour l’organisation des actions requises et les rendre pérennes ». Il n’a donc pas vocation à « assurer de fait la conformité » mais s’inscrit dans une démarche de responsabilisation des entreprises.

Recevez par email toute l’actualité du digital