La Commission nationale de l’informatique et des libertés est pédagogue. Avec son nouveau guide d’autoévaluation, la CNIL veut aider les organismes qui disposent d’outils sur le web à faire le point sur leur niveau de respect du RGPD et éventuellement détecter leurs faiblesses : « un module pour se positionner et choisir les actions à mener ».

Un guide pour évaluer votre niveau de respect du RGPD

La CNIL ne fait pas que mettre des amendes, comme ce fût récemment le cas pour AG2R La Mondiale… Le guide d’autoévaluation commence par ces mots : « la protection des données repose sur des activités mises en œuvre par chaque organisme (pilotage, gestion du registre, veille juridique, etc.). Toutefois, ces activités n’existent pas dans toutes les entreprises et ne sont pas toujours gérées de manière homogène (informelles, décrites, généralisées, etc.) ». Une introduction au module d’évaluation proposé par la CNIL aux organismes présents sur le web.

Un document présenté comme un modèle, dit de maturité, qui doit vous aider à quantifier la rigueur et le formalisme avec laquelle les activités liées à la gestion de la protection des données sont gérées au sein de votre entreprise. Avec ce guide, vous allez pouvoir évaluer votre niveau de respect du RGPD, à l’aide de cinq niveaux de maturité détaillés, afin d’aider les utilisateurs à faire le point sur leurs faiblesses. Alors il est temps de vous poser cette question : « respectez-vous les dispositions du Règlement général sur la protection des données (RGPD) ? ».

Situez-vous parmi cinq niveaux de maturité

Le guide de la CNIL reprend les niveaux de maturité définis dans l’ISO/IEC 21827 et le guide « maturité SSI » de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Si on regarde dans le détail chaque niveau, on s’aperçoit que le niveau 0 désigne logiquement « une pratique inexistante ou incomplète ». Concrètement, si vous êtes dans ce cas, c’est que quasiment rien n’est fait en matière de protection des données au sein de votre entreprise.

Niveau 1 : quelques actions sont réalisées en employant des pratiques de base mais « sans réel engagement des dirigeants de l’organisme ni réelle coordination entre ceux qui mettent en oeuvre ces actions ». Niveau 2 : le guide mentionne qu’une personne est en charge du RGPD au sein de l’entreprise et que cette dernière possède les compétences nécessaires pour mettre en place les bonnes actions et que des mesures qualitatives sont réalisées.

Niveau 3 : « les actions sont réalisées conformément à un processus défini, standardisé et formalisé ». Niveau 4 : « le processus est coordonné dans tout le périmètre choisi et que des améliorations sont apportées à partir de l’analyse des mesures effectuées ». Niveau 5 : « le processus est adapté de façon dynamique à la situation et que les évolutions du processus sont tracées ». La CNIL précise que ce document pour évaluer le niveau de respect du RGPD, a été pensé dans une logique de responsabilisation des acteurs