Etude de maturité RGPD

L’étude de maturité s’appuie sur le résultat des informations collectées relatives aux critères définis afin d’établir le degré de maturité de l’organisme et de mettre en place les actions à réaliser pour s’approcher de la conformité.

Critères évalués

Gouvernance I&L / GDPR

Nomination du DPO et mise en place de la gouvernance.

Cartographies

La cartographie applicative permet d’établir les interdépendances entre applications et d’identifier et de contrôler la présence de DCP.

Découverte des DCP et données sensibles

Les DCP sont identifiées, à l’origine, par les responsables métiers et renseignées dans le registre des traitements.

EIVP / PIA

Les études de risques sur la vie privée s’appliquent pour les traitements qui remplissent un certain nombre de critères : données sensibles, données de santé, traitements à grande échelle…

Durées de conservation, cycle de vie des données

Les durées de conservation des données sont définies par les textes de lois et par les responsables métier, en conformité avec les recommandations de la CNIL.

Procédures droits des personnes

La gestion du droit des personnes est un élément clé dans le RGPD dans la mesure où celui-ci renforce le droit des personnes à l’accès et à la maîtrise des informations et données qu’ils communiquent aux responsables de traitement.

Procédure de gestion des violations de données

La procédure de gestion des violations de données est une procédure importante et impactante dans le cadre du RGPD.

La détection d’une violation de données peut venir de plusieurs canaux différents :

  • Des services informatiques : production, exploitation, sécurité, développement, mail,
  • Des personnels de l’organisme qui vont signaler un vol ou une perte de matériel (PC, clé USB, fichiers…),
  • De la part des clients ou des utilisateurs externes.

En cas d’incident mis en évidence sur des données de l’organisme, il faut diagnostiquer si cet incident touche des données à caractère personnel.

En cas de violation avérée de données à caractère personnel, il faut mettre en œuvre les procédures nécessaires à la gestion des violations :

  • Protéger les données à caractère personnel,
  • Informer le DPO et/ou le responsable de traitement dans les 24 heures,
  • Evaluer les conséquences,
  • Appliquer les plans d’action,
  • Gérer la crise,
  • Informer la CNIL et les personnes concernées dans les 72 heures,
  • Communiquer aux partenaires, aux prestataires, aux instances représentantes du personnel,
  • Communiquer aux personnels,
  • Appliquer les procédures,
  • Retourner à la normale,
  • Faire un retour d’expérience,
  • Améliorer pour empêcher la reproduction de l’incident…

La gestion des violations de données est du ressort du DPO.

Gestion du consentement

La gestion du consentement est un sujet complexe à traiter car beaucoup de traitements reposent sur le consentement de l’utilisateur à l’exploitation de ses DCP.

Il est nécessaire de s’assurer que les sites web intègrent nativement la gestion des consentements si les traitements reposent sur ce fondement juridique.

Documentation / Registre des traitements

Le registre des traitements est sous la responsabilité du DPO.

Il doit être tenu à jour sur ses quatre volets.

Accountability

Avec la disparition des déclarations CNIL, suite à l’arrivée du RGPD, les organismes de contrôle requièrent que les responsables de traitement soient en mesure de montrer comment sont traitées les DCP et d’en faire la preuve.

Cette nouvelle approche, impose de pouvoir fournir un historique de toutes les opérations appliquées à un traitement, tout au long de son cycle de vie.

Du point de vue du SI, les domaines impactés sont les suivants :

  • Traçabilité des accès aux données,
  • Traçabilité des opérations relatives à l’exercice des droits d’accès :
    • Modifications,
    • Effacement,
    • Anonymisation,
    • Extractions…
  • Traçabilité des failles de sécurité,
  • Traçabilité des opérations relatives à la gestion des violations de données,
  • Traçabilité des mesures et des actions relatives à la sécurité des données,

Sensibilisation des équipes

La sensibilisation du personnel est de la responsabilité du DPO.

Privacy by design / by default

La notion de Privacy by Design (by Default) porte sur la manière dont les projets doivent être conçus, en intégrant la protection des DCP dès la conception.

  • Lors de la phase d’idéation, une première approche RGPD est réalisée sous forme d’un questionnaire simple.
CritèreRéponseCommentaire
Y aura-t-il un traitement de données à caractère personnelOUIOn entend par traitement un traitement au sens de la CNIL (cf. définitions).
Si la réponse est non, le scoring RGPD-PbD s’arrête là.
La finalité du traitement sera-t-elle clairement définieNON 
La collecte des données à caractère personnel sera-t’elle réduite au strict nécessaireOUI 
Y aura-t-il des données sensibles au sens de la CNIL : politiques, religieuses, données de santé, NIR (n° de sécu)…OUIAttention : la présence de données sensibles peut nécessiter une étude d’impact sur la vie privée (EIVP) obligatoire ou à la demande du DPO, ainsi que la mse en place de mécanismes d’Chiffrement
Y aura-t-il des flux de DCP vers des pays hors de l’UE ou considérés comme non adéquatsNON 
Le consentement des personnes sur les cookies et sur l’utilisation de leurs DCP aura-t-il été acquis sur la base de renseignements clairs et sera-t-il réversibleOUISystème de gestion du consentement
Les durées de conservation seront-elles définies sur la base des durées légalesOUIAttention : la gestion des durées de conservation nécessitera de prévoir les mécanismes d’effacement et de purge à l’issue des délais.
La solution permettra-elle l’exercice du droit d’accès des personnes : droit d’accès, de rectification, d’effacement, limitation du traitement, droit d’opposition et droit à la portabilitéOUI 
Y aura-t-il des champs de commentaire (champs libres) et ceux-ci seront-ils réduits au minimum et encadrés dans leur usageOUISensibilisation sur les champs libres, bulles d’aide à la saisie
Les mentions légales seront-elles conformes, claires et accessiblesOUIAttention : ne pas oublier de penser aux mentions légales associées aux formulaires de saisie
Si le traitement est nouveau, ne pas oublier de préparer sa fiche de traitement à soumettre au DPO pour validationNONAttention : un traitement non validé par le DPO n’a pas de fondement légal et ne peut pas être exploité
   

Mesures de sécurité

Le RGPD porte une attention particulière à la mise en œuvre de mesures de sécurité globales appliquées au DCP.

La CNIL a mis à disposition des entreprises un certain nombre de recommandations sur la base d’un questionnaire élaboré conjointement avec l’ANSSI.

Ce questionnaire donné à titre indicatif a été choisi par les acteurs de la conformité comme référence sécurité au niveau du registre des traitements.

La norme ISO 27701 vient encadrer les mesures de protection des DCP à mettre en œuvre.

Le schéma suivant est un exemple du degré de protection des DCP d’une entreprise par rapport aux critère énoncés par l’ANSSI.

Bilan de maturité

Une grille d’évaluation détaillée est utilisée pour évaluer chaque critère. Les résultats sont ensuite synthétisés pour donner une vue d’ensemble de la maturité RGPD de l’organisation.

IndicateurCritèreActeurs EvaluationActions DSIPrioritéDifficultéStatus
Gouvernance I&L– Un DPO a été nomméDPOBonLes actions de mise en place de la gouvernance RGPD sont du ressort du DPOHauteHauteDPO
 – Les acteurs de la conformité (relais) ont été identifiés et formés à leur participation à la conformité. Faible    
 – La matrice des rôles et responsabilités est définie et communiquée à l’ensemble des personnels concernés. Faible    
Cartographie applicativeLa cartographie applicative est formalisée et à jour. Elle permet d’identifier les applications qui concernent les données à caractère personnel, qui est le responsable applicatif métier (responsable de la mise en œuvre) et qui est en est le responsable technique (responsable de la mise en production).DSI – ArchitectureBonUn gros travail a été mené mais nécessite une mise à jour de la cartographie applicativeHauteHauteEn cours
Cartographie des fluxLa cartographie des flux inter-application est formalisée et à jour. Elle permet d’identifier les flux entrants et sortants de DCP dans et hors l’UE.DSI – ArchitectureBonUn gros travail a été mené mais nécessite une mise à jour de la cartographie des fluxHauteHauteEn cours
Traitements non identifiésLes traitements non identifiés sont connus et maitrisés.DSI – SSIFaibleIdentification approfondie.HauteHautePrévu
 Les composantes concernant les DCP sont identifiées. InexistantDécouverte des DCP existantes afin de cadrer les risques associés.   
Identification des DCPLes DCP structurées et non structurées sont identifiées au sein des applications et des systèmes : mail, espaces collaboratifs.METIER
DSI – Architecture
FaibleMise en œuvre du data lineage
Approche par data mapping
HauteHauteEn cours
 Les champs de commentaires sont réduits au maximum et font l’objet d’une vigilance particulière. BonLes champs de commentaire doivent être cadrés, en particulier dans la Privacy by Design   
Données sensiblesLes données sensibles sont identifiées.METIERBonClassification des données et identification des données sensible par tag dans le référentielHauteHautePrévu
EIVP / PIALes EIVP/PIA sont systématiquement réalisées pour les traitements comportant des données sensibles, ou quand le type de traitement, les types de données et les catégories de personnes concernées présentent des risques, ou, à la demande du DPO.DPO
METIER
DSI – SSI
FaibleMise en place d’un processus collaboratif avec participation de la DSI-SSI sur la base de la méthodologie élaborée par la CNIL.
Utilisation de l’outil PIA ou intégration dans une solution collaborative :
https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
HauteMoyenneA prévoir
 Le processus EIVP/PIA est défini et conforme aux recommandations de la CNIL. Inexistant    
 Le risque résiduel est validé et accepté par le responsable de traitement (ou son représentant). Inexistant    
Durées de conservationPour chaque DCP, les durées de conservation sont clairement définies.METIER
DSI – Architecture
BonElaboration des processus de gestion des durées de conservation à partir du registre des traitements jusqu’aux données concernées.HauteHautePrévu
 Les effacements et les purges sont automatisées, dans le respect des contraintes réglementaires. InexistantEtude des processus de gestion des données et de mise en œuvre de systèmes automatisés avec traçabilité.   
Mesures de sécuritéUn état est fait sur l’ensemble des mesures visant à assurer la sécurité des données sur les volets suivants :DSI – SSIBonValidation et finalisation des travaux initiés sur la PSSI Up pour être pleinement en accord avec les exigences de sécurité du RGPDHauteFaibleEn cours.   ATTENTION à finaliser
 – Disparition      
 – Accès Illégitime      
 – Corruption des données      
 Toutes les mesures nécessaires sont appliquées aux DCP et inscrites dans le registre des traitements :       
 – Chiffrement des données sensibles      
 – Chiffrement des mots de passe      
 – Anonymisation ou pseudonymisation      
Registre des traitementsLe registre des traitements est formalisé et tenu à jour.DPO
METIER
DSI – SSI
FaibleMise en œuvre d’un portail de la conformité permettant le travail collaboratif avec workflow de la gestion des fiches de traitement.
Apport de référentiels de la DSI vers le système.
MoyenneHautePrévu
 Les acteurs de la conformité peuvent y contribuer en y ajoutant les informations dont ils disposent. Faible    
 Le registre des traitements est conforme aux préconisations du RGPD et permet la traçabilité des informations, des évènements et des actions qui y sont inscrits. Faible    
AccountabilityLe responsable de traitement ou son délégué (DPO) est en mesure, en cas de demande de l’autorité de contrôle, de montrer et de démontrer toutes les actions et dispositions concernant un traitement ont bien été appliquées et respectées et que tout a été mis en œuvre afin d’assurer la protection des DCP.DPO
DSI – PROD
DSI – SSI
FaibleMise en œuvre de la traçabilité des actions à tous les niveaux de la chaine.
Rédaction, documentation et implémentation des processus avec leurs points de contrôle
Suivi des logs et inscription de la gestion des logs dans le registre des traitements
HauteHautePrévu
Procédure d’exercice du droit des personnesLes procédures de droits des personnes sont formalisées, les personnels sont sensibilisés, les procédures sont testées et validées.DSI – PRODFaibleElaboration des procédures de gestion des demandes de droits des personnes au sein de la DSI, interconnexion avec les processus globaux, mise en œuvre des mécanismes de contrôle et de traçabilité. Etude de l’ensemble des URLs publiés pour vérifier les méthodes d’exercice du droit des personnesHauteHauteEn cours
Procédure de gestion des violations de donnéesLes procédures de gestion des violations de données sont formalisées, les personnels sont sensibilisés, les procédures sont testées et validées.DPO
DSI – SSI
DSI – PROD
InexistantElaboration des procédures de gestion des violations de données au sein de la DSI, intégration dans le processus POLSSI-incidents.HauteHauteEn cours
Gestion du consentementLe consentement des personnes est bien recueilli et suivi.DSI – PROD
DSI – PROJETS
FaibleMise en place de solution de gestion du consentement :
Gestion du consentement des cookies,
Gestion du consentement aux traitements
HauteHauteA prévoir
 Les procédures de gestion du consentement sont en place et permettent à une personne d’exercer son droit de rétractation d’un consentement durant toute la durée du traitement. Inexistant    
 Toutes les modifications du statut du consentement sont enregistrées et conservées car, en cas de litige, il faut pouvoir prouver que lors de l’opération en cause, le consentement n’avait pas été modifié. Inexistant    
Privacy by design / by defaultLa gestion des DCP est prise en compte en amont des projets, avant la mise en œuvre du traitement.DSI – PROJETMoyenIntégration de la Privacy by design au processus de Gouvernance des investissements.
Communication et sensibilisation des équipes projet
MoyenneMoyenneEn cours
 La protection des DCP est prise en compte dans les phases de développement : minimisation, anonymisation, Chiffrement, journalisation… MoyenElaboration du thésaurus groupe trans-métiers.   
Sensibilisation des collaborateursLes collaborateurs sont sensibilisés à la protection des données à caractère personnel.RHMoyenSensibilisation des collaborateurs à tous les niveaux de l’entreprise.MoyenneFaibleDPO

Ce bilan met en évidence les axes stratégiques de mise en conformité et permet d’établir le plan d’action sur la base d’une approche par les risques légaux et les risques financiers.

Dans l’exemple précédent, nous avons identifié 3 points sensibles qui sont :

  • La gestion de l’exercice du droit des personnes,
  • La gestion des violations de données,
  • L’aide aux réponses aux appels d’offre.

Et rajouté les points qui nous semblent importants :

  • La mise en œuvre de processus globaux de gestion de la conformité RGPD au sein de la DSI,
  • La définition des rôles et responsabilités,
  • La découverte et le cycle de vie des DCP,