La CNIL propose une autoévaluation de maturité en gestion de la protection des données

09 septembre 2021

La protection des données personnelles repose sur des activités mises en œuvre par chaque organisme (pilotage, gestion du registre, veille juridique, etc.). Toutefois, ces activités ne sont pas systématiquement prises en charge dans toutes les organisations et ne sont pas toujours gérées de manière homogène. La CNIL partage ses premières réflexions sur la réalisation d’un « modèle de maturité » en gestion de la protection des données.

Maturité en gestion de la protection des données et conformité : deux notions complémentaires

La maturité représente le formalisme avec laquelle les activités liées à la protection des données sont gérées. Alors que la conformité s'applique à chaque traitement de données personnelles, la maturité s'applique aux activités gérées par l’organisme pour tous les traitements qu’il met en œuvre. Ces deux visions sont différentes mais se complètent. 

Le projet de « modèle de maturité gestion de la protection des données » transpose les niveaux de maturité définis dans les normes internationales à la gestion de la protection des données et vise à décrire l'ensemble des possibles. Le projet de modèle décrit 8 activités types liées à la protection des données en 5 niveaux de maturité. Des exemples d'actions ou productions illustrent chaque niveau de maturité pour chaque activité type sous forme de tableau.

Qui peut utiliser ce modèle ?

Ce modèle est un projet qui fait état des réflexions de la CNIL sur la maturité. Il ouvre la voie à de nombreux usages et outils pour l'accompagnement des organismes.

Il permet aux organismes d’évaluer leur propre niveau de maturité et de déterminer comment améliorer leur gestion de la protection des données. Un plan d’action pour combler les écarts constatés entre la pratique et le niveau adéquat ciblé par chaque organisme peut ainsi être élaboré sur cette base.   

En revanche, cette méthodologie n’a pas pour objet d’assurer de fait la conformité. C’est un outil d’aide à l’analyse qui pourra contribuer à mettre en place des conditions favorables pour l’organisation des actions requises et les rendre pérennes, dans la logique de responsabilisation des acteurs (accountability).