5 conseils pour évaluer la protection des données en entreprise

Alors que les entreprises ne gèrent pas la protection de leurs données de manière homogène, la Commission Nationale de l’Informatique et des Libertés (CNIL) les aide à effectuer une « auto-évaluation de maturité en gestion de la protection des données ». Elle présente un modèle qui permet de formaliser les usages et les outils à exploiter pour respecter les règles en vigueur. La méthodologie repose sur 5 niveaux de maturité :

• Niveau 0 – Pratique inexistante ou incomplète : la protection des données n’est pas reconnue ni prise en charge au sein de l’entreprise,
• Niveau 1 – Pratique informelle : les pratiques de base sont mises en œuvre de manière informelle pour répondre à des demandes isolées, sans un engagement réel des dirigeants,
• Niveau 2 – Pratique répétée et suivie : les actions sont planifiées, réalisées et mesurées par une personne en charge de la protection des données et suivies par les dirigeants,
• Niveau 3 – Processus défini : des méthodes standardisées à l’ensemble de l’entreprise et formalisées (par écrit) sont mises en place, des ressources et des moyens y sont alloués,
• Niveau 4 – Processus contrôlé : des mesures sont réalisées à partir d’indicateurs quantitatifs et qualitatifs, qui permettent d’apporter des améliorations au processus mis en place,
• Niveau 5 – Processus continuellement optimisé : l’analyse des mesures et l’amélioration du processus sont standardisées et formalisées pour s’adapter à chaque situation.

Même si la méthodologie n’a pas pour objet d’assurer la conformité avec les règles obligatoires elle apporte des clés pour mieux les appliquer. Le but est de responsabiliser les acteurs plutôt que de les sanctionner.

Auto-évaluation de maturité de protection des données