Pour respecter le Règlement Général sur la Protection des Données (RGPD), il faut être conforme sur 8 items différents : la documentation de conformité (accountability), la gouvernance, le registre des activités de traitement, la conformité juridique des traitements, la formation des collaborateurs, les droits des personnes concernées, la gestion des risques et la sécurité des données, les violations de données.
Chaque item a un niveau de maturité entre 1 et 5 en fonction de son avancement dans sa mise en conformité. Plus le niveau de maturité est élevé, plus l’organisation respecte les principes et les obligations du RGPD.
Cet outil vous permet de mesurer le formalisme et la rigueur avec lesquels vous gérez les activités liées à la protection des données dans votre entreprise.
Vous pouvez ainsi identifier vos points forts et vos axes d’amélioration, et élaborer un plan d’action adapté à votre situation.
| 1 - Pratique informelle | 2 - Pratique répétable et suivie | 3 - Processus défini | 4 - Processus contrôlé | 5 - Processus continuellement optimisé | |
| ITEM 1 - Définir et mettre en œuvre des procédures sur la protection des données |
Quelques bonnes pratiques sont ponctuellement mises en œuvre (ex. : minimisation de la collecte ou effacement des données mentions d'information). | Des documents relatifs à la protection des données (bonnes exemples, etc.) sont partagés. Il existe une charte d'utilisation des comportant des règles relatives à la protection des données. | Une documentation formelle (ex. : politique de protection des données), approuvée par le comité de direction, est communiquée à l’ensemble du personnel. Des procédures sont formalisées et transmises à l’ensemble du personnel. Les règles sont appliquées. | Une revue annuelle des procédures est réalisée. Des indicateurs sont produits (ex. : sur la mise en œuvre des règles, sur les difficultés rencontrées, sur leur efficacité, etc.). | Les politiques et procédures sont mises à jour dès identification d’une amélioration possible |
| ITEM 2 - Piloter la gouvernance de la protection des données |
Des compétences relatives à la protection des données sont identifiées au sein de l'organisme (ex : service juridique) et exploitées ponctuellement. | Un responsable des questions relatives à la données, chargé notamment des interactions avec les personnes concernées (courriers, etc.), est identifié. | Un délégué à la protection des données est désigné auprès de l’autorité nationale de protection des données personnelles (avec une fiche de poste ou une lettre de mission formelle et connue du personnel), une organisation est mise en place et les rôles et responsabilités sont définis. | Le délégué à la protection des données fait un bilan annuel de ses actions aux dirigeants de l’organisme (notamment le(s) responsable(s) de traitements). | Des moyens sont régulièrement alloués pour mettre en œuvre des plans d’action au regard du bilan du délégué à la protection des données et s’assurer de leur mise en œuvre et de leur amélioration continue |
| ITEM 3 - Recenser et tenir à jour la liste des traitements |
Les services sont capables d’identifier les traitements de données personnelles qu’ils mettent en œuvre. | Les traitements de données personnelles sont identifiés et/ou signalés de manière centralisée. | Un registre des activités de traitement, conforme au RGPD, est tenu. | La complétude et la qualité du registre sont régulièrement vérifiées. | Le registre sert d'instrument de pilotage des actions relatives aux traitements de données personnelles (ex. : il sert de recensement, mais aussi d’instrument de gestion comparative des risques et de suivi des plans d’action). |
| ITEM 4 - Assurer la conformité juridique des traitements |
Une information des personnes (ex : mentions légales) est faite sur les principaux endroits de collecte de données personnelles (ex : site web, formulaires). | Pour chaque traitement, des mentions légales sont réalisées et une étude des principes fondamentaux (proportionnalité, nécessité et droits des personnes) est menée. Les clauses contractuelles sont évaluées et comprennent une partie relative à la protection des données. | Des clauses types pour les contrats avec les sous-traitants sont formalisées et utilisées. Des analyses d’impact relatives à la protection des données sont menées sur les traitements susceptibles d'engendrer des risques élevés sur les personnes, en collaboration avec les services concernés et la personne en charge de la protection des données. | Les mesures prévues sont vérifiées. Des revues régulières des mentions légales et des clauses contractuelles sont programmées et réalisées. La qualité des analyses d’impact relatives à la protection des données est évaluée par des indicateurs. Des plans d’action (ex : en cas de non-conformité d’un traitement) sont créés et mis en œuvre. | La protection des données est prise en compte dès l’initiation des projets, en collaboration avec le délégué à la protection des données. Les améliorations possibles sont régulièrement étudiées.Une veille juridique et technique est réalisée. Des analyses sont produites et diffusées. |
| ITEM 5 - Former et sensibiliser |
Certains collaborateurs sont sensibilisés à la protection des données. | Les métiers sont formés à identifier et transmettre les sujets liés à la protection des données à la personne en charge (ex. : demandes des personnes concernées, de l’autorité de contrôle, nouveaux traitements, etc.). | Des sessions de sensibilisation sont régulièrement organisées pour le personnel. | Des indicateurs mesurent qualitativement et quantitativement la compréhension des sujets liés à la protection des données (ex. : sondage, questionnaire annuel, etc.). | Des formations ou sessions d'information sont régulièrement proposées sur de nouvelles technologies ou problématiques relatives à la protection des données. |
| ITEM 6 - Traiter les demandes des usagers internes et externes |
Les demandes des usagers sont gérées au cas par cas. | Des courriers types sont créés (ex. : à partir des modèles de laCNIL) pour répondre aux demandes régulièrement effectuées. | Des réponses types aux demandes d’exercice des droits et questions sont créées et utilisées. Une procédure de gestions des demandes d’exercice de droits est définie et communiquée au personnel. Un formulaire de contact est mis en place sur le site internet et toutes les requêtes sont centralisées. | La personne en charge de la protection des données est systématiquement informée de chacune des demandes concernant le droit des personnes. Les demandes d’exercice des droits font l'objet d'indicateurs qui apparaissent dans le bilan annuel. | Le processus de gestion des demandes d’exercice des droits et les outils sur lesquels il repose font régulièrement l'objet d'améliorations. |
| ITEM 7 - Gérer les risques de sécurité |
Des mesures de sécurité élémentaires sont mises en place (ex. : habilitations, sécurisation des postes de travail, etc.). | Des référentiels sont utilisés pour choisir et mettre en place des mesures de sécurité (ex. : Guide sécurité des données personnelles de la CNIL, politique de sécurité interne, etc.). | Les analyses d’impact relatives à la protection des données (AIPD)comprennent une étude des risques de sécurité. Une méthode est employée pour apprécier les risques des traitements susceptibles d'engendrer des risques élevés sur les personnes concernées et les traiter de manière proportionnée. Les études de risques font l’objet de plans d’action. | La mise en œuvre des plans d’action est vérifiée en termes d’effectivité et d’efficacité. Les risques résiduels sont suivis par des indicateurs. | Les études de risques et plans d’action font l’objet d’une revue annuelle. Une veille active est réalisée sur les vulnérabilités liées aux supports des données et des actions correctrices sont prises en cas d’impact sur le système d’information. |
| ITEM 8 - Gérer les violations de données |
Des incidents sont signalés. Des mesures correctrices sont parfois prises. Une notification de violation de données est parfois effectuée auprès de la CNIL. | La gestion des incidents, mise en œuvre de manièrecentralisée, inclut les violations de données. Des mesures correctrices sont systématiquement prises. Une communication aux personnes dont les données ont fait l'objet d'une violation pouvant engendrer un risque élevé est prévue. | Une procédure de gestion des violations de données est formalisée et mise en œuvre de manière systématique. Toutes les violations sont inscrites dans un registre dédié. Suite à une violation de données, un plan d’action est prévu afin de réduire le risque qu'elle ne se reproduise. | L'application des mesures correctives est vérifiée. Des indicateurs de suivi des violations de données sont créés et communiqués (ex. : dans le bilan annuel). | Un bilan des violations est régulièrement réalisé afin d'identifier et de mettre en œuvre des mesures permettant d'améliorer la sécurité des données. La gestion des violations de données alimente les études de risques (ex. : AIPD). Une gestion automatique des traces permet de détecter les violations de données dans les plus brefs délais. |