Les incollables RGPD 2

Testez votre degré de maturité !

 

Dans notre précédent article, vous avez testé votre degré de conformité, c’est-à-dire votre capacité à respecter vos obligations légales en matière de protection des données personnelles.

Si vous avez manqué ce premier quiz, tout se passe ici :https://www.rgpd-experts.com/les-incollables-rgpd-1

Mais la façon dont votre organisme exécute, contrôle, maintient et assure le suivi de sa « dynamique RGPD » est-elle optimale ? Vos mesures de conformité sont-elles pleinement intégrées dans le fonctionnement global de votre entité ?

Pour le savoir, estimez votre degré de maturité sur le sujet !

Inspiré de l’auto-évaluation publiée par la CNIL[1], ce second quiz est l’occasion de jauger où en est votre organisme dans ses efforts pour assurer la protection des données personnelles qu’il manipule.

La norme ISO/IEC 21827 définit 5 niveaux de maturité, listés par ordre croissant :

① Pratique informelle

② Pratique répétable et suivie

③ Processus défini

④ Processus contrôlé

⑤ Processus continuellement optimisé

 

Votre organisme n’a pas nécessairement besoin de répondre aux exigences du plus haut échelon de cette norme. Pour situer le niveau de maturité que votre organisme devrait idéalement atteindre, il convient d’étudier [2] :

– Les conséquences potentielles d’une éventuelle atteinte à vos systèmes d’information, en interne et en externe ;

– La sensibilité de votre patrimoine informationnel ;

– Votre degré d’exposition aux menaces ;

– L’importance des vulnérabilités auxquelles vos systèmes d’information sont exposés.

Alors ? Où en êtes-vous dans votre conformité ? Êtes-vous suffisamment mature ?
Question 1: Définition et mise en œuvre des procédures de protection des données

A) Certains documents relatifs à la protection des données ont été formalisés (charte d’utilisation des moyens informatiques, politique de protection des données, etc.)

B) L’organisme a adopté des politiques et protocoles et les a transmis à l’ensemble de ses salariés/membres. Ils sont appliqués.

C) Les politiques et protocoles adoptés et transmis aux salariés/membres de l’organisme sont appliqués. Grâce aux indicateurs de suivi instaurés, ces documents sont actualisés dès qu’une possible amélioration est mise en évidence.

D) Des salariés/membres de l’organisme, intéressés par le sujet, ont spontanément mis en œuvre quelques mesures pour protéger les données personnelles que nous manipulons.

Question 2: Gouvernance de la protection des données

A)  Certains salariés/membres de l’organisme semblent avoir des compétences sur le sujet, et acceptent de se charger des questions ou problèmes parfois rencontrés, en lien avec la protection des données.

B) L’organisme a désigné un Délégué à la Protection des Données, qui a constitué une équipe pour l’assister dans ses missions. À ce titre, chaque membre s’est vu attribuer une place et un rôle bien définis.

C) Un salarié/membre de l’organisme a été désigné comme référent en matière de protection des données.

D) Nous allouons au Délégué à la Protection des Données que nous avons désigné d’importants moyens pour améliorer sans cesse la conformité de notre organisme, en s’inspirant du plan d’action annuel qu’il a défini.

Question 3: Registre des activités de traitement

A) Nous tenons et actualisons un registre des activités de traitement, conformément aux exigences de l’article 30 du RGPD.

B) Je pense que nous pouvons identifier tous les traitements de données opérés par notre organisme.

C) Non seulement un registre des activités de traitement est tenu et actualisé selon les prescriptions légales, mais en plus nous l’utilisons comme outil de pilotage de nos actions de conformité. En effet, ce document unique est pratique, car il contient toutes les informations dont nous avons besoin pour établir notre plan d’action.

D) Il existe un ou plusieurs documents centralisés, qui retracent l’ensemble des traitements de données que notre organisme met en œuvre.

Question 4: Conformité juridique des traitements

A) L’organisme dispose d’une série de protocoles parfaitement appliqués et adaptés à chaque traitement / à chaque relation commerciale (information des personnes concernées, clauses contractuelles sur la protection des données, analyse d’impact relative à la protection des données, gestion des sous-traitants, charte informatique…). Ces documents sont sans cesse améliorés. Une veille juridique et technique est instaurée pour maintenir notre conformité.

B) Les personnes concernées sont correctement informées de la collecte et du traitement de leurs données personnelles. Notre organisme prévoit, dans chacun de ses contrats (tant les contrats de travail de ses salariés que les conventions conclues avec ses partenaires commerciaux), une clause dédiée à la protection des données.

C) Les personnes concernées sont informées de la collecte de leurs données personnelles et des caractéristiques de ces traitements de données, sur nos principaux canaux de communication (site internet, flyers).

D) En plus de l’information correcte des personnes concernées et l’inclusion de clauses spécifiques à la protection des données dans nos contrats, l’organisme encadre les opérations menées par ses sous-traitants et effectue des analyses d’impact relatives à la protection des données lorsque celles-ci s’imposent.

Question 5: Formation et sensibilisation

A) Nous organisons fréquemment des sessions de sensibilisation sur la protection des données personnelles, auxquelles les salariés/membres de l’organisme sont invités à participer.

B) De nombreux salariés/membres de l’organisme ont été formés sur le sujet. Notre organisme propose régulièrement des sessions de sensibilisation, notamment lorsque nous rencontrons une question précise concernant notre conformité.

C) Les salariés/membres de l’organisme sont entrainés à identifier et à transmettre les sujets touchant à la protection des données aux personnes compétentes.

D) Certains salariés/membres de l’organisme se sont particulièrement bien renseignés sur le sujet, par eux-mêmes.

Question 6: Traitement des demandes des personnes concernées

A) Une procédure de gestion des demandes d’exercice de droits a été définie et communiquée aux salariés/membres de l’organisme (formulaire de contact, courriers types de réponse, registre de suivi des requêtes, indicateurs relatifs à ces demandes…). Nous améliorons continuellement ce processus et ces outils.

B) L’organisme dispose de modèles types de réponses à envoyer aux auteurs d’une telle demande.

C) Nous répondons au cas par cas à ces requêtes, le sujet est trop complexe pour que cette question soit mieux organisée / standardisée.

D) Un point de contact est mis à disposition des personnes concernées. En plus de courriers types de réponse, nous avons défini une procédure de gestion de ces demandes d’exercice de droit, connue des salariés/membres de l’organisme.

Question 7: Gestion des risques de sécurité

A) Notre organisme n’a pas les moyens d’instaurer plus de mesures de sécurité que celles purement élémentaires (mise en veille automatique des postes de travail, code d’accès individuel, habilitations d’accès…).

B) Nous essayons de mettre en place les mesures de sécurité préconisées par la CNIL et l’ANSSI notamment.

C) Des analyses d’impact relatives à la protection des données [3] sont réalisées lorsque nous pensons qu’un de nos traitements est susceptible de générer des risques pour les personnes concernées. Dans tous les cas, un plan d’action adapté, destiné à limiter les risques induits par nos activités de traitement, est établi.

D) Au-delà des analyses d’impact relatives à la protection des données et des plans d’action visant à minimiser les risques liés à nos activités de traitement, ces études sont revues chaque année. Nous avons instauré une veille sur les vulnérabilités de nos systèmes d’information. Dès qu’une nouvelle menace est identifiée, des mesures correctrices sont adoptées.

Question 8: Gestion des violations de données

A) Ces incidents de sécurité sont gérés de façon centralisée, et des mesures correctrices sont toujours prises.

B) Notre organisme a défini une procédure de gestion des violations de données systématiquement appliquée. Les failles de sécurité sont consignées dans un registre dédié. Un plan d’action est édicté après chaque incident, pour éviter qu’il ne se reproduise.

C) Impossible de dresser une règle générale, notre réaction en cas de faille de sécurité ou violation de données n’est pas toujours la même. Nous procédons au cas par cas : parfois nous opérons un signalement, parfois nous prenons des mesures correctrices, parfois nous en informons la CNIL, cela dépend.

D) Au-delà de notre procédure de gestion des violations de données, du registre dédié à ces incidents de sécurité et des plans d’action consécutifs, nous essayons de tirer les leçons de ces événements. Un bilan de ces violations est régulièrement réalisé pour identifier les failles de nos systèmes d’information, et améliorer nos démarches de conformité et nos études des risques.

 

Vos résultats :

Vous avez une majorité de A

  Félicitations, votre conformité semble faire l’objet d’un processus continuellement optimisé. Vous analysez le suivi des mesures que vous avez mises en place, et entendez apprendre de vos erreurs. Vous souhaitez profiter des carences que votre organisme relève ponctuellement pour adapter de façon dynamique et standardisée vos actions de conformité à votre propre situation. Ne lâchez-rien de votre démarche d’amélioration continue !

Vous avez une majorité de B

Bravo ! Votre conformité s’inscrit dans un processus bien défini, voire même contrôlé. Vos pratiques en matière de protection des données sont formalisées et rationalisées. Votre organisme mobilise pour cela les moyens humains, matériels et financiers nécessaires.

Vous pouvez aller plus loin en instaurant des indicateurs destinés à mesurer l’application et l’efficacité de ces mesures de conformité. « C’est peut-être un détail pour vous, mais pour [nous] ça veut dire beaucoup » : ce calibrage vous permettra de corriger vos éventuels défauts, et ainsi renforcer encore davantage votre « dynamique RGPD ».

Vous avez une majorité de C

Votre degré de maturité correspond à celui d’une pratique dite « répétable et suivie ». En d’autres termes, si quelques mesures sont formalisées, la plupart d’entre elles résultent de l’action d’une ou plusieurs personnes compétentes en interne en matière de protection des données. Celles-ci planifient des actions éparses, non coordonnées.

Pour plus de cohérence et de performance, il est essentiel que vos actions impliquent le plus grand nombre. Pour cela, nous vous recommandons de mettre en place dans votre structure une véritable gouvernance de la protection des données, qui se doit d’être insufflée par les dirigeants de l’organisme. L’établissement d’un plan d’action, sollicitant la participation de l’ensemble des salariés/membres de l’entité, est à prévoir.

Vous avez une majorité de D

Votre conformité s’inscrit dans le cadre d’une pratique informelle. Seules les mesures de base en termes de protection des données personnelles sont adoptées, soit à l’initiative spontanée de quelques personnes sensibles au sujet, par obligations ponctuelles des dirigeants de l’entité. Il est primordial que votre organisme se renseigne davantage sur les obligations légales lui incombant en la matière, et intègre ces formalités dans son fonctionnement. Non seulement ces formalités représentent une véritable plus-value pour votre structure sur le marché[1], mais cela vous permettra aussi de contenir les risques d’une éventuelle enquête de la CNIL. Nous vous assurons que le sujet est intéressant, et que vous regretterez de ne pas avoir agi plus tôt en cas de condamnation par l’autorité compétente…

 

 

Si vous souhaitez que votre organisme atteigne un degré de maturité supérieur en matière de protection des données, notre équipe de professionnels vous propose des conseils adaptés à votre situation et un accompagnement personnalisé pour approfondir encore davantage vos démarches de conformité.

Nous vous invitons à prendre contact avec les services de RGPD-Experts via notre formulaire : https://www.rgpd-experts.com/contactez-rgpd-experts/

 

 

 

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles. Son guide d’auto-évaluation de maturité en gestion de la protection des données est accessible à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/autoevaluation_de_maturite_en_gestion_de_la_protection_des_donnees.pdf

[2] Si vous souhaitez réaliser un diagnostic rapide et succinct du niveau de maturité que votre organisme se devrait d’atteindre, nous vous invitons à prendre connaissance du guide publié à cet effet par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), disponible à l’adresse suivante : https://www.ssi.gouv.fr/uploads/2009/07/maturitessi-plaquette-2007-11-05_maj-20170309.pdf

[3] Si vous souhaitez en apprendre davantage concernant les analyses d’impact relatives à la protection des données (AIPD), nous vous invitons à prendre connaissance de notre précédent article sur ce point : https://www.rgpd-experts.com/les-dessous-dun-acronyme-bien-trop-meconnu/

L.H

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.