La Commission nationale de l’informatique et des libertés présente son projet et modèle sur la maturité des organismes en matière de gestion de protection des données. Il ouvre la voie à de nombreux usages et outils pour l’accompagnement des entreprises. (Crédit : Cnil)
La gestion de la protection des données reste un sujet sensible pour les entreprises. Parfois mal accompagnées et souvent peu informées sur le sujet, les entreprises doivent s’en remettre à l’existant. Pour pallier, la CNIL publie ses premières réflexions sur la réalisation d’un « modèle de maturité » en gestion de la protection des données. Ce projet transpose les niveaux de maturité définis dans les normes internationales à la gestion de la protection des données et vise à décrire l’ensemble des possibles. Le projet de modèle décrit « 8 activités types liées à la protection des données en 5 niveaux de maturité ».
Par ce modèle, la Cnil souhaite fournir aux organismes tous les éléments de réponse dans la gestion de protection des données. Des exemples d’actions ou productions illustrent chaque niveau de maturité pour chaque activité type sous forme de tableau. Dans le domaine de la protection des données, les différents niveaux de maturité correspondent à ceux définis dans l’ISO/IEC 21827 et le guide « maturité SSI » de l’ANSSI. Le tableau suivant décrit donc les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quelle que soit cette activité. L’atteinte d’un niveau suppose bien évidemment d’avoir déjà atteint le niveau précédent. Les différents niveaux de maturité – allant de 0 à 5 – permettent d’évaluer la manière dont sont gérés les processus liés à la protection des données.
[…]
Célia Seramour
