La Cnil balise le chemin de la maturité RGPD
La Cnil vient de publier un outil d’autoévaluation pour permettre aux organismes d’évaluer leur degré de "maturité" dans la prise en compte du règlement général sur la protection des données (RGPD). Une grille d’analyse assortie de propositions d’actions concrètes dans le domaine de la formation, de la sécurité ou de la gestion des incidents.
Certaines collectivités pourraient penser que la nomination d’un délégué à la protection des données (DPO) et la réalisation d’un inventaire des applications traitant des données personnelles peuvent suffire pour assurer leur conformité de leur structure au RGPD. Il n’en est rien. Pour la Cnil, plus que la conformité, notion juridique, il s’agit pour les organisations d’atteindre la "maturité". Pour aider les organisations à progresser la commission vient de publier un guide méthodologique.
Cinq niveaux de maturité
Celui-ci décrit cinq étapes pour faire de l’intégration du RGPD un "processus continuellement optimisé". Cette maturité ultime est précédée de quatre étapes, sans compter le niveau 0 où les pratiques sont "inexistantes ou incomplètes". Le premier est ainsi celui où "les actions sont mises en œuvre de manière informelle et en réaction à des demandes isolées, sans réel engagement des dirigeants de l'organisme ni réelle coordination entre ceux qui mettent en œuvre ces actions". Le second se caractérise par l’existence d’un DPO, de pratiques planifiées et réplicables sans pour autant être totalement formalisées. Deux niveaux où doivent se situer une majorité de collectivités. Les trois derniers caractérisent par la mise en œuvre d’un processus global (3), contrôlé (4) et optimisé en continu (5).
Des pistes d’action concrètes
Pour aider les organisations à gagner en maturité, la Cnil propose ensuite une liste de huit "activités" : création de procédures, définition d’une gouvernance, réalisation d’un inventaire des traitements, mise en conformité des applications, formation et sensibilisation des personnels, traitement des demandes des usagers, gestion des risques et, enfin, gestion des violations de données. Chacune de ces activités est déclinée par niveau de maturité afin de pouvoir être prises en compte dès les prémices d’une démarche RGPD. Pour le volet risques et sécurité il s’agira par exemple de gérer les habilitations et la sécurité du poste de travail (1), de formaliser une politique de sécurité (2), de réaliser des études d’impact sur la vie privée (3), de mettre en œuvre et d’évaluer un plan d’action (4), le dernier passant par la mise en place d’une veille sur les vulnérabilités et une revue annuelle des études et plan d’actions.
Si les collectivités ont sans aucun doute matière à piocher des idées pour améliorer la protection des données personnelles et leur conformité RGPD, force est de constater que ces recommandations ne sont pas adaptées aux petites structures. Pour ces dernières, la première question reste en effet savoir ce qui est mutualisable et ce qui ne peut être délégué à un tiers.