LA CNIL est partie d’un constat simple : les entreprises ne gèrent pas la protection de leurs données de manière homogène. Elle leur propose donc « une auto-évaluation de maturité en gestion de la protection des données ».
Il s’agit d’accompagner les entreprises pour mieux mesurer et quantifier leurs actions liées à la protection de leurs données. Ce modèle est un projet qui fait état des réflexions de la CNIL sur la maturité. Il ouvre la voie à de nombreux usages et outils pour l’accompagnement des entreprises.
A notre que cette méthodologie n’a pas pour objet d’assurer de fait la conformité.
C’est un outil d’aide à l’analyse qui s’inscrit dans une démarche de responsabilisation des entreprises.
Description du modèle
5 niveaux de maturité
La CNIL s’appuie sur une méthodologie reposant sur 5 niveaux de « maturité » définis à partir des normes internationales, à savoir l’ISO/IEC 21827 et le guide relatif à la maturité SSI de l’ANSSI.
Ils correspondent à la manière dont une entreprise « conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité ».
- Niveau 0 – Pratique inexistante ou incomplète : la protection des données n’est pas reconnue ni prise en charge au sein de l’entreprise,
- Niveau 1 – Pratique informelle : les pratiques de base sont mises en œuvre de manière informelle pour répondre à des demandes isolées, sans un engagement réel des dirigeants,
- Niveau 2 – Pratique répétable et suivie : les actions sont planifiées, réalisées et mesurées par une personne en charge de la protection des données et suivies par les dirigeants,
- Niveau 3 – Processus défini : des méthodes standardisées à l’ensemble de l’entreprise et formalisées (par écrit) sont mises en place, des ressources et des moyens y sont alloués,
- Niveau 4 – Processus contrôlé : des mesures sont réalisées à partir d’indicateurs quantitatifs et qualitatifs, qui permettent d’apporter des améliorations au processus mis en place,
- Niveau 5 – Processus continuellement optimisé : l’analyse des mesures et l’amélioration du processus sont standardisées et formalisées pour s’adapter à chaque situation.
8 activités types liées à la protection des données
- Définir et mettre en œuvre des procédures de protection des données,
- Piloter la gouvernance de la protection des données,
- Recenser et tenir à jour la liste des traitements,
- Assurer la conformité juridique des traitements,
- Former et sensibiliser,
- Traiter les demandes des usagers internes et externes,
- Gérer les risques de sécurité,
- Gérer les violations de données.