Fermer
Fermer

Autoévaluer la protection des données en entreprises avec la CNIL

LA CNIL est partie d’un constat simple : les entreprises ne gèrent pas la protection de leurs données de manière homogène. Elle leur propose donc « une auto-évaluation de maturité en gestion de la protection des données ».

Il s’agit d’accompagner les entreprises pour mieux mesurer et quantifier leurs actions liées à la protection de leurs données. Ce modèle est un projet qui fait état des réflexions de la CNIL sur la maturité. Il ouvre la voie à de nombreux usages et outils pour l’accompagnement des entreprises.

A notre que cette méthodologie n’a pas pour objet d’assurer de fait la conformité. 
C’est un outil d’aide à l’analyse qui s’inscrit dans une démarche de responsabilisation des entreprises.

Description du modèle

5 niveaux de maturité

La CNIL s’appuie sur une méthodologie reposant sur 5 niveaux de « maturité » définis à partir des normes internationales, à savoir l’ISO/IEC 21827 et le guide relatif à la maturité SSI de l’ANSSI.
Ils correspondent à la manière dont une entreprise « conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité ».

  • Niveau 0 – Pratique inexistante ou incomplète : la protection des données n’est pas reconnue ni prise en charge au sein de l’entreprise,
  • Niveau 1 – Pratique informelle : les pratiques de base sont mises en œuvre de manière informelle pour répondre à des demandes isolées, sans un engagement réel des dirigeants,
  • Niveau 2 – Pratique répétable et suivie : les actions sont planifiées, réalisées et mesurées par une personne en charge de la protection des données et suivies par les dirigeants,
  • Niveau 3 – Processus défini : des méthodes standardisées à l’ensemble de l’entreprise et formalisées (par écrit) sont mises en place, des ressources et des moyens y sont alloués,
  • Niveau 4 – Processus contrôlé : des mesures sont réalisées à partir d’indicateurs quantitatifs et qualitatifs, qui permettent d’apporter des améliorations au processus mis en place,
  • Niveau 5 – Processus continuellement optimisé : l’analyse des mesures et l’amélioration du processus sont standardisées et formalisées pour s’adapter à chaque situation.

8 activités types liées à la protection des données

  1. Définir et mettre en œuvre des procédures de protection des données,
  2. Piloter la gouvernance de la protection des données,
  3. Recenser et tenir à jour la liste des traitements,
  4. Assurer la conformité juridique des traitements,
  5. Former et sensibiliser,
  6. Traiter les demandes des usagers internes et externes,
  7. Gérer les risques de sécurité,
  8. Gérer les violations de données.

Télécharger l’autoévaluation

En savoir plus sur la CNIL

Besoin de conseils ? De renseignements ?
D'échanger sur votre projet de formation ?
Contactez-nous
Notre site utilise les cookies pour des besoins de statistiques. Acceptez vous leur utilisation ? J'accepte