La gestion de la protection des données reste un sujet sensible pour les entreprises. Parfois mal accompagnées et souvent peu informées sur le sujet, les entreprises doivent s’en remettre à l’existant. A cet effet, la CNIL publie ses premières réflexions sur la réalisation d’un « modèle de maturité » en gestion de la protection des données. Ce projet transpose les niveaux de maturité définis dans les normes internationales à la gestion de la protection des données et vise à décrire l'ensemble des possibles. Le projet de modèle décrit « 8 activités types liées à la protection des données en 5 niveaux de maturité ».

Par ce modèle, la Cnil souhaite fournir aux organismes tous les éléments de réponse dans la gestion de protection des données. Des exemples d'actions ou productions illustrent chaque niveau de maturité pour chaque activité type sous forme de tableau. Dans le domaine de la protection des données, les différents niveaux de maturité correspondent à ceux définis dans l’ISO/IEC 21827 et le guide « maturité SSI » de l’ANSSI. Le tableau suivant décrit donc les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quelle que soit cette activité. L’atteinte d’un niveau suppose bien évidemment d’avoir déjà atteint le niveau précédent. Les différents niveaux de maturité - allant de 0 à 5 – permettent d’évaluer la manière dont sont gérés les processus liés à la protection des données.

Numérotés de 0 à 5, les différents niveaux de maturité permettent à l'entreprise de s'autoévaluer. (Crédit : Cnil)

Les différentes activités autour de la protection des données

Afin d’être plus concret, l'organe de contrôle présente huit activités types liées à la protection des données (que l'on peut théoriquement retrouver dans tout organisme, qu'elles soient réellement mises en œuvre ou non). Voici une liste exhaustive de ces activités : définir et mettre en œuvre des procédures de protection des données, piloter la gouvernance de la protection des données, recenser et tenir à jour la liste des traitements de données personnelles, assurer la conformité juridique des traitements, former et sensibiliser, traiter les demandes des usagers internes et externes, gérer les risques de sécurité et gérer les violations de données.

La Cnil présente des activités types générales présentes au sein des entreprises. (Crédit : Cnil)

En appliquant les différents niveaux de maturité aux activités types, la Cnil donne quelques exemples sur les bonnes et les mauvaises pratiques au sein des entreprises. Le modèle type de bonne conduite en matière de gestion de la protection des données consisterait donc à avoir « un processus continuellement optimisé, avec des politiques et des procédures mises à jour dès identification d’une amélioration possible ». Concernant la sensibilisation, il convient de proposer « des formations ou sessions d'information régulièrement sur de nouvelles technologies ou problématiques relatives à la protection des données ».

Par ailleurs, le registre des traitements doit servir d'instrument de pilotage des actions relatives aux traitements de données personnelles (ex : il sert de recensement, mais aussi d’instrument de gestion comparative des risques et de suivi des plans d’action). Enfin, « un bilan des violations doit régulièrement être réalisé afin d'identifier et de mettre en œuvre des mesures permettant d'améliorer la sécurité des données. La « gestion des violations de données alimentera les études de risques » (ex : AIPD) et une « gestion automatique des traces permettra de détecter les violations de données dans les plus brefs délais ». Ce guide de bonne conduite à l’attention des entreprises et organismes apportera quelques réponses sur la voie à suivre.