La CNIL a publié le 9 septembre 2021 son modèle d’auto-évaluation de la maturité de la gestion de la protection des données. La commission a souligné que le modèle transpose les niveaux de maturité définis dans les standards internationaux.
Mesurer la maturité du processus de protection des données
La CNIL a expliqué que le modèle permet aux organisations d’évaluer leur propre niveau de maturité et de déterminer comment améliorer leur gestion de la protection des données. Selon la commission d’observation des données, un plan d’action destiné à combler les écarts observés entre la pratique et le niveau adéquat visé par chaque organisation peut être établi sur la base d’une telle auto-évaluation. Cependant, la CNIL a ajouté que le modèle n’est pas conçu pour assurer une conformité de fait.
Concrètement, grâce à ce modèle, les organisations disposent d’un outil afin de quantifier les actions mises en place pour assurer la protection des données, mais pas seulement. Le modèle leur permet également de mesurer le niveau de maturité des processus existants. À travers ce modèle qui se présente comme une méthodologie d’audit de conformité, la CNIL espère pousser les organisations à réaliser une auto-évaluation en plus de les sensibiliser à leurs obligations.
Huit activités types liées en cinq niveaux de maturité
Ce modèle permet à toute organisation de s’auto-évaluer au niveau des huit activités suivantes :
- la définition et la mise en œuvre des procédures de protection des données
- le pilotage de la gouvernance de la protection des données
- le recensement et la mise à jour de la liste des traitements
- la mise en conformité juridique des traitements
- la formation et la sensibilisation
- le traitement des demandes des usagers internes et externes
- la gestion des risques de sécurité
- la gestion des violations de données
Pour chacune des activités, la CNIL a défini cinq niveaux de maturité, le niveau 5 étant le plus élevé (processus optimisé en permanence). Le niveau 4 concerne les processus contrôlés (amélioration systématique du processus en place) contre les processus définis (mise en place de standard) pour le niveau 3. Si une organisation possède un niveau 2 de maturité, cela signifie que ses actions sont planifiées, mises en place et suivies. Le niveau 1 concerne les actions isolées. Enfin, le niveau 0 définit les organisations de processus de protection de données.
- Partager l'article :