Auto-évaluation de maturité en gestion de la protection ...

1 Auto valuation de maturit en gestion de la protection des donn es Un mod le pour se positionner et choisir les actions mener Auto valuation de maturit en gestion de la protection des donn es 2 Table des mati res Le concept de maturit applique la protection des donn es personnelles .. 3 niveaux de maturit pour valuer la mani re dont sont g r s les processus li s la protection des donn es . activit s types li es la protection des donn es pour structurer les actions men es .. 5 niveaux de maturit appliqu s aux activit s li es la protection des donn es .. 6 3 Auto valuation de maturit en gestion de la protection des donn es Le concept de maturit appliqu la protection des donn es personnelles La protection des donn es repose sur des activit s mises en uvre par chaque organisme (pilotage, gestion du registre, veille juridique, etc.)

2 Toutefois, ces activit s n'existent pas dans toutes les entreprises et ne sont pas toujours g r es de mani re homog ne (informelles, d crites, g n ralis es, etc.). Ce document propose un mod le, dit de maturit , qui quantifie la rigueur et le formalisme avec laquelle les activit s li es la gestion de la protection des donn es sont g r es. L objectif de ce document est de : la notion de niveaux de maturit , d j bien d finie (ex. : ISO/IEC 21827, guide maturit SSI ), la protection des donn des activit s types li es la protection des donn chaque niveau de maturit pour chaque activit type par des exemples d'actions ou : a lors que la conformit s'applique des traitements de donn es personnelles, la maturit s'applique des activit s. Ces deux visions sont diff rentes mais compl mentaires. 4 Auto valuation de maturit en gestion de la protection des donn es 1.

3 Cinq niveaux de maturit pour valuer la mani re dontsont g r s les processus li s la protection des donn esDans le domaine de la protection des donn es, les diff rents niveaux de maturit correspondent ceux d finis dans l ISO/IEC 21827 et le guide maturit SSI de l ANSSI. Le tableau suivant d crit les cinq niveaux de maturit de mani re g n rique. Chaque niveau repr sente la mani re dont un organisme con oit, met en uvre, contr le, maintient et assure le suivi d une activit , quel que soit cette activit . L atteinte d un niveau suppose d avoir d j atteint le niveau pr c dent. Niveaux Caract ristiques 0 Pratique inexistante ou incompl te Rien n est fait en mati re de protection des donn es. Celle-ci n est pas connue ni prise en charge au sein de l organisme et le besoin n est pas reconnu. 1 Pratique informelle (quelques actions isol es) Des actions sont r alis es en employant des pratiques de sont mises en uvre de mani re informelle et en r action des demandes isol es, sans r el engagement des dirigeants del'organisme ni r elle coordination entre ceux qui mettent en uvre ces r p table et suivie (des actions reproductibles) Les actions sont r alis es par une personne qui poss de descomp tences en protection des donn es.

4 Les actions sont planifi es. Quelques pratiques sont formalis es, ce qui permet la duplicationet la r utilisation ( ventuellement par une autre personne). La protection des donn es est suivie par les dirigeants del organisme, mais tout le m tier est loin de s tre impliqu . Des mesures qualitatives sont r alis es (indicateurs simples surles r sultats, ex : consid ration de la protection des donn es danstel ou tel projet).3 Processus d fini (standardisation des pratiques) Les actions sont r alis es conform ment un processus d fini(ex. : emploi de m thodes), standardis (commun toutl organisme) et formalis (existence d une documentation). Les personnes r alisant les actions poss dent les comp tencesappropri es au processus. L organisme soutient le processus (il accorde les ressources, lesmoyens et la formation n cessaires son fonctionnement).

5 Le processus est bien compris autant par le management que parles ex contr l (mesure quantitative et correction des d fauts) Le processus est coordonn dans tout le p rim tre choisi et pourchaque ex cution. Des mesures quantitatives sont r guli rement effectu es (entermes de performance, ex. : proportion de projets consid rant laprotection des donn es). Les mesures effectu es (indicateurs qualitatifs et quantitatifs)sont analys es (ex. : quelqu un est charg d tudier les indicateurs et de proposer une analyse et un plan d action). Des am liorations sont apport es au processus partir del analyse des mesures effectu continuellement optimis (am lioration continue) Le processus est adapt de fa on dynamique la situation(am liorations et changements directement int gr s). L analyse des mesures effectu es est d finie, standardis e etformalis e.

6 L am lioration du processus est d finie, standardis e etformalis e. Les volutions du processus sont trac valuation de maturit en gestion de la protection des donn es 5 activit s types li es la protection des donn es pourstructurer les actions men esDe mani re g n rique, les activit s li es la protection des donn es sont les suivantes (que l'on peut th oriquement retrouver dans tout organisme, qu'ils soient r ellement mis en uvre ou non) : Actions Caract ristiques Responsables g n ralement impliqu s D finir et mettre en uvre des proc dures de protection des donn es D finition, tenue jour et communication des politiques et proc dures g n rales relatives la gestion des donn es personnelles et la protection de la vie priv e (charte d utilisation du syst me d information, clauses contractuelles types, etc.), v rification de leur application et d clenchement des ventuelles mesures pr vues en cas de manquement.

7 D finition par la direction juridique, direction des risques ou direction des syst mes d information, v rification via les processus de contr le interne. Piloter la gouvernance de la protection des donn es D finition, mise en place, mise en uvre, communication et am lioration de la strat gie de protection des donn es au sein de l'organisme (gouvernance, r les et responsabilit s, y compris ceux du d l gu la protection des donn es DPO). Direction g n rale de l entreprise et, selon les organismes, pilotage et mise en uvre par la direction juridique, la direction des risques ou la direction des syst mes d information. Recenser et tenir jour la liste des traitements Identification et tenue jour de l'inventaire des traitements de donn es personnelles, des donn es et des flux de donn es qui leurs sont associ s. D l gu la protection des donn es (DPO) Assurer la conformit juridique des traitements valuation des traitements de donn es personnelles existants ou en projet au regard des obligations l gales et r glementaires en mati re de protection des donn es (proportionnalit et n cessit , ainsi que droits des personnes), d termination de mesures pour am liorer la conformit (y compris des clauses contractuelles types), conseil au responsable de traitement et v rification de la mise en uvre des mesures pr vues.

8 Directions m tiers concern es, direction juridique, direction des achats, DPO, responsable de la s curit des syst mes d information (RSSI), quipes projet Former et sensibiliser Diffusion de la connaissance et cr ation ou renforcement des comp tences internes concernant la protection des donn es. Note : les sessions de formation/sensibilisation doivent permettre de garantir la bonne connaissance de la politique de protection des donn es de la part du personnel. DPO, direction des ressources humaines, direction de la communication. Traiter les demandes des usagers internes et externes D finition, mise en place, mise en uvre et communication des moyens permettant la gestion des demandes d'exercice des droits des personnes concern es (ex : demandes de droit d acc s), des plaintes et autres r clamations internes et externes concernant la protection des donn es. DPO G rer les risques de s curit Appr ciation des risques de s curit que les traitements de donn es personnelles sont susceptibles d'engendrer sur les personnes concern es, d termination de mesures contribuant les traiter (y compris des clauses contractuelles types) et v rification de la mise en uvre des mesures pr vues.

9 Directions m tiers concern es, direction juridique, direction des achats, DPO, responsable de la s curit des syst mes d information (RSSI), quipes projet. G rer les violations de donn es Identification, qualification, r solution des violations de donn es personnelles, notifications aux autorit s de protection de donn es et communication aux personnes concern es, tenue d'un registre des violations. DPO, directions m tiers concern es, direction des risques, direction des syst mes d information, direction de la communication, entit s charg es de la gestion des incidents et de la gestion de crise. Auto valuation de maturit en gestion de la protection des donn es 6 niveaux de maturit appliqu s aux activit s li es laprotection des donn esLe tableau suivant illustre chaque niveau de maturit de chaque activit li e la protection des donn es par des exemples de constats.

10 1 Pratique informelle 2 Pratique r p table et suivie 3 Processus d fini 4 Processus contr l 5 Processus continuellement optimis D finir et mettre en uvre des proc dures sur la protection des donn es Quelques bonnes pratiques sont ponctuellement mises en uvre (ex. : minimisation de la collecte ou effacement des donn es obsol tes, mentions d'information). Des documents relatifs la protection des donn es (bonnes pratiques, r gles, exemples, etc.) sont partag s. Il existe une documentation (ex. : charte d'utilisation des moyens informatiques) comportant des r gles relatives la protection des donn es. Une documentation formelle (ex. : politique de protection des donn es), approuv e par le comit de direction, est communiqu e l ensemble du personnel. Des proc dures sont formalis es et transmises l ensemble du personnel. Les r gles sont appliqu es. Une revue annuelle des politiques et proc dures est r alis e.