Niji utilise des cookies techniques pour le bon fonctionnement du site et des cookies de mesure d’audience pour analyser le trafic. Des cookies sont également déposés par des tiers pour vous permettre de partager des contenus sur les réseaux sociaux. Si les cookies techniques ne nécessitent pas votre consentement, vous pouvez choisir d’accepter, de personnaliser ou de refuser les autres cookies. Votre choix est conservé pendant un an, il est modifiable à tout moment via le lien « Gérer vos cookies ». L’absence de choix sera considérée comme un refus.

Pour en savoir plus sur ces cookies, consultez notre politique de gestion des données via le lien « Vos données ».

11 octobre 2021

RGPD : mesurez votre maturité avec le guide de la CNIL... et les conseils signés Imineti by Niji

RGPD : mesurez votre maturité avec le guide de la CNIL... et les conseils signés Imineti by Niji

La CNIL (Commission nationale de l'informatique et des libertés) a publié début septembre un guide riche de fond et de forme intitulé "Autoévaluation de maturité en gestion de la protection des données". Plus qu’une simple auto-évaluation, ce guide propose un véritable modèle ! Il transpose le concept de maturité, bien connu en développement logiciel (cf. référentiel issu de l'Université Carnegie Mellon) et en sécurité de l’information (cf. référentiels de l’ISO et de l’ANSSI), aux activités types que tout organisme met en œuvre pour gérer la protection de la vie privée.

Il répond au besoin des organismes de gérer la protection de la vie privée de manière cohérente, pérenne et factorisée, au lieu de bâtir la conformité de chaque traitement de données personnelles de manière unitaire. L’amélioration de la maturité des activités liées à la protection de la vie privée apparaît ainsi comme une condition à la conformité des traitements.

 

En synthèse, le guide de la CNIL définit :

  • 5 niveaux de maturité, qui représentent la rigueur avec laquelle « un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quelle que soit cette activité » : pratique inexistante ou incomplète, pratique informelle (quelques actions isolées), pratique répétable et suivie (des actions reproductibles), processus défini (standardisation des pratiques), processus contrôlé (mesure quantitative et correction des défauts), processus continuellement optimisé (amélioration continue) ;
  • 8 activités liées à la protection de la vie privée « (que l'on peut théoriquement retrouver dans tout organisme, qu'ils soient réellement mis en œuvre ou non) » : définir et mettre en œuvre des procédures de protection de la vie privée, piloter la gouvernance de la protection de la vie privée, recenser et tenir à jour la liste des traitements, assurer la conformité juridique des traitements, former et sensibiliser, traiter les demandes des usagers internes et externes, gérer les risques de sécurité, gérer les violations de données ;
  • une illustration de chaque niveau de maturité de chaque activité liée à la protection de la vie privée par des exemples de constats.

 

Suite à ses communications sur la préparation aux contrôles de la CNIL ([webinar], [article]), Imineti a prolongé ses travaux sur la notion de maturité en protection de la vie privée :

  • d’une part, nous accompagnons nos clients dans l’évaluation de leur niveau de maturité actuel, car nous avons bien conscience que l’exercice n’est pas toujours évident quand on est peu familier avec le domaine de la protection de la vie privée ;
  • d’autre part, nous proposons de déterminer leur niveau de maturité adéquat, proportionné aux risques auxquels ils sont réellement exposés, car tout organisme n’a pas forcément besoin de mettre ses activités liées à la protection de la vie privée au plus haut niveau de maturité ;
  • enfin, nous aidons à construire leur progression optimale, pour arriver à leur niveau adéquat depuis leur niveau actuel, sous la forme d’un plan d’action concret et cohérent à leur contexte.

 

Découvrir le service d'auto-évaluation de la CNIL en cliquant sur ce lien.

Contact Relations Presse
Frédéric PAYEN
Directeur Marketing et Communication
presse@niji.fr