Recevez chaque jour toute l'actualité du numérique

x

La Cnil propose aux organismes d'autoévaluer leur niveau de respect du RGPD

La Cnil poursuit ses efforts de pédagogie en publiant un guide permettant aux organismes d'évaluer leur niveau de respect du RGPD. Cinq niveaux de maturité y sont détaillés pour aider les utilisateurs à faire le point sur leurs faiblesses.
Twitter Facebook Linkedin Flipboard Email
×

La Cnil propose aux organismes d'autoévaluer leur niveau de respect du RGPD
La Cnil propose aux organismes d'autoévaluer leur niveau de respect du RGPD

Respectez-vous les dispositions du Règlement général sur la protection des données (RGPD) ? C'est pour aider les organismes à répondre à cette question que la Commission nationale de l'informatique et des libertés (Cnil) a publié un module d'autoévaluation.

Mesurer le niveau de maturité
L'objectif est de mesurer le niveau de "maturité" des entités soumises au RGPD, c'est-à-dire le formalisme avec lequel les activités liées à la protection des données sont gérées. Tandis que la conformité s'applique à chaque traitement de données, la maturité concerne les activités gérées par l'organisme pour tous les traitements qu'il met en œuvre. "Ces deux visions sont différentes mais complémentaires", précise l'autorité. 

Cette méthodologie reprend les niveaux de maturité définis dans l'ISO/IEC 21827 et le guide "maturité SSI" de l'Agence nationale de la sécurité des systèmes d'information (Anssi). Il inclut cinq niveaux de maturité. Chaque niveau représente la manière dont un organisme conçoit, met en oeuvre, contrôle, maintient et assure le suivi d'une activité. A noter que l'atteinte d'un niveau suppose d'avoir déjà atteint le niveau précédent. 

Le niveau 0 désigne "la pratique inexistante ou incomplète", c'est-à-dire que rien n'est fait en matière de protection des données. Le niveau 1 signifie que des actions sont réalisées en employant des pratiques de base "sans réel engagement des dirigeants de l'organisme ni réelle coordination entre ceux qui mettent en oeuvre ces actions". Le niveau 2 assure que les actions sont réalisées par une personne qui possède des compétences, des actions sont planifiées et que des mesures qualitatives sont réalisées.

Le niveau 3 signifie que les actions sont réalisées conformément à un processus défini, standardisé et formalisé. Le niveau 4 indique que le processus est coordonné dans tout le périmètre choisi et que des améliorations sont apportées à partir de l'analyse des mesures effectuées. Enfin, le niveau 5 assure que le processus est adapté de façon dynamique à la situation et que les évolutions du processus sont tracées.

8 activités pour évaluer son niveau
Le document définit également 8 activités liées à la protection des données afin de structurer les actions menées, telles que la définition et la mise en oeuvre des procédures de protection des données, la pilotage de la gouvernance de la protection des données, le recensement de la liste des traitements... La Commission propose de croiser les niveaux de maturité et ces activités pour donner des exemples concrets.
 


La Cnil précise bien dans son communiqué que ce document n'a pas pour objet d'assurer de fait la conformité mais de contribuer à mettre en place des "conditions favorables" et "des actions requises" dans une logique de responsabilisation des acteurs.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.