Etude de maturité RGPD
L’étude de maturité s’appuie sur le résultat des informations collectées relatives aux critères définis afin d’établir le degré de maturité de l’organisme et de mettre en place les actions à réaliser pour s’approcher de la conformité.
Critères évalués
Gouvernance I&L / GDPR
Nomination du DPO et mise en place de la gouvernance.
Cartographies
La cartographie applicative permet d’établir les interdépendances entre applications et d’identifier et de contrôler la présence de DCP.
Découverte des DCP et données sensibles
Les DCP sont identifiées, à l’origine, par les responsables métiers et renseignées dans le registre des traitements.
EIVP / PIA
Les études de risques sur la vie privée s’appliquent pour les traitements qui remplissent un certain nombre de critères : données sensibles, données de santé, traitements à grande échelle…
Durées de conservation, cycle de vie des données
Les durées de conservation des données sont définies par les textes de lois et par les responsables métier, en conformité avec les recommandations de la CNIL.
Procédures droits des personnes
La gestion du droit des personnes est un élément clé dans le RGPD dans la mesure où celui-ci renforce le droit des personnes à l’accès et à la maîtrise des informations et données qu’ils communiquent aux responsables de traitement.
Procédure de gestion des violations de données
La procédure de gestion des violations de données est une procédure importante et impactante dans le cadre du RGPD.
La détection d’une violation de données peut venir de plusieurs canaux différents :
- Des services informatiques : production, exploitation, sécurité, développement, mail,
- Des personnels de l’organisme qui vont signaler un vol ou une perte de matériel (PC, clé USB, fichiers…),
- De la part des clients ou des utilisateurs externes.
En cas d’incident mis en évidence sur des données de l’organisme, il faut diagnostiquer si cet incident touche des données à caractère personnel.
En cas de violation avérée de données à caractère personnel, il faut mettre en œuvre les procédures nécessaires à la gestion des violations :
- Protéger les données à caractère personnel,
- Informer le DPO et/ou le responsable de traitement dans les 24 heures,
- Evaluer les conséquences,
- Appliquer les plans d’action,
- Gérer la crise,
- Informer la CNIL et les personnes concernées dans les 72 heures,
- Communiquer aux partenaires, aux prestataires, aux instances représentantes du personnel,
- Communiquer aux personnels,
- Appliquer les procédures,
- Retourner à la normale,
- Faire un retour d’expérience,
- Améliorer pour empêcher la reproduction de l’incident…
La gestion des violations de données est du ressort du DPO.
Gestion du consentement
La gestion du consentement est un sujet complexe à traiter car beaucoup de traitements reposent sur le consentement de l’utilisateur à l’exploitation de ses DCP.
Il est nécessaire de s’assurer que les sites web intègrent nativement la gestion des consentements si les traitements reposent sur ce fondement juridique.
Documentation / Registre des traitements
Le registre des traitements est sous la responsabilité du DPO.
Il doit être tenu à jour sur ses quatre volets.
Accountability
Avec la disparition des déclarations CNIL, suite à l’arrivée du RGPD, les organismes de contrôle requièrent que les responsables de traitement soient en mesure de montrer comment sont traitées les DCP et d’en faire la preuve.
Cette nouvelle approche, impose de pouvoir fournir un historique de toutes les opérations appliquées à un traitement, tout au long de son cycle de vie.
Du point de vue du SI, les domaines impactés sont les suivants :
- Traçabilité des accès aux données,
- Traçabilité des opérations relatives à l’exercice des droits d’accès :
- Modifications,
- Effacement,
- Anonymisation,
- Extractions…
- Traçabilité des failles de sécurité,
- Traçabilité des opérations relatives à la gestion des violations de données,
- Traçabilité des mesures et des actions relatives à la sécurité des données,
Sensibilisation des équipes
La sensibilisation du personnel est de la responsabilité du DPO.
Privacy by design / by default
La notion de Privacy by Design (by Default) porte sur la manière dont les projets doivent être conçus, en intégrant la protection des DCP dès la conception.
- Lors de la phase d’idéation, une première approche RGPD est réalisée sous forme d’un questionnaire simple.
Critère | Réponse | Commentaire |
Y aura-t-il un traitement de données à caractère personnel | OUI | On entend par traitement un traitement au sens de la CNIL (cf. définitions). Si la réponse est non, le scoring RGPD-PbD s’arrête là. |
La finalité du traitement sera-t-elle clairement définie | NON | |
La collecte des données à caractère personnel sera-t’elle réduite au strict nécessaire | OUI | |
Y aura-t-il des données sensibles au sens de la CNIL : politiques, religieuses, données de santé, NIR (n° de sécu)… | OUI | Attention : la présence de données sensibles peut nécessiter une étude d’impact sur la vie privée (EIVP) obligatoire ou à la demande du DPO, ainsi que la mse en place de mécanismes d’Chiffrement |
Y aura-t-il des flux de DCP vers des pays hors de l’UE ou considérés comme non adéquats | NON | |
Le consentement des personnes sur les cookies et sur l’utilisation de leurs DCP aura-t-il été acquis sur la base de renseignements clairs et sera-t-il réversible | OUI | Système de gestion du consentement |
Les durées de conservation seront-elles définies sur la base des durées légales | OUI | Attention : la gestion des durées de conservation nécessitera de prévoir les mécanismes d’effacement et de purge à l’issue des délais. |
La solution permettra-elle l’exercice du droit d’accès des personnes : droit d’accès, de rectification, d’effacement, limitation du traitement, droit d’opposition et droit à la portabilité | OUI | |
Y aura-t-il des champs de commentaire (champs libres) et ceux-ci seront-ils réduits au minimum et encadrés dans leur usage | OUI | Sensibilisation sur les champs libres, bulles d’aide à la saisie |
Les mentions légales seront-elles conformes, claires et accessibles | OUI | Attention : ne pas oublier de penser aux mentions légales associées aux formulaires de saisie |
Si le traitement est nouveau, ne pas oublier de préparer sa fiche de traitement à soumettre au DPO pour validation | NON | Attention : un traitement non validé par le DPO n’a pas de fondement légal et ne peut pas être exploité |
Mesures de sécurité
Le RGPD porte une attention particulière à la mise en œuvre de mesures de sécurité globales appliquées au DCP.
La CNIL a mis à disposition des entreprises un certain nombre de recommandations sur la base d’un questionnaire élaboré conjointement avec l’ANSSI.
Ce questionnaire donné à titre indicatif a été choisi par les acteurs de la conformité comme référence sécurité au niveau du registre des traitements.
La norme ISO 27701 vient encadrer les mesures de protection des DCP à mettre en œuvre.
Le schéma suivant est un exemple du degré de protection des DCP d’une entreprise par rapport aux critère énoncés par l’ANSSI.
Bilan de maturité
Une grille d’évaluation détaillée est utilisée pour évaluer chaque critère. Les résultats sont ensuite synthétisés pour donner une vue d’ensemble de la maturité RGPD de l’organisation.
Indicateur | Critère | Acteurs | Evaluation | Actions DSI | Priorité | Difficulté | Status |
Gouvernance I&L | – Un DPO a été nommé | DPO | Bon | Les actions de mise en place de la gouvernance RGPD sont du ressort du DPO | Haute | Haute | DPO |
– Les acteurs de la conformité (relais) ont été identifiés et formés à leur participation à la conformité. | Faible | ||||||
– La matrice des rôles et responsabilités est définie et communiquée à l’ensemble des personnels concernés. | Faible | ||||||
Cartographie applicative | La cartographie applicative est formalisée et à jour. Elle permet d’identifier les applications qui concernent les données à caractère personnel, qui est le responsable applicatif métier (responsable de la mise en œuvre) et qui est en est le responsable technique (responsable de la mise en production). | DSI – Architecture | Bon | Un gros travail a été mené mais nécessite une mise à jour de la cartographie applicative | Haute | Haute | En cours |
Cartographie des flux | La cartographie des flux inter-application est formalisée et à jour. Elle permet d’identifier les flux entrants et sortants de DCP dans et hors l’UE. | DSI – Architecture | Bon | Un gros travail a été mené mais nécessite une mise à jour de la cartographie des flux | Haute | Haute | En cours |
Traitements non identifiés | Les traitements non identifiés sont connus et maitrisés. | DSI – SSI | Faible | Identification approfondie. | Haute | Haute | Prévu |
Les composantes concernant les DCP sont identifiées. | Inexistant | Découverte des DCP existantes afin de cadrer les risques associés. | |||||
Identification des DCP | Les DCP structurées et non structurées sont identifiées au sein des applications et des systèmes : mail, espaces collaboratifs. | METIER DSI – Architecture | Faible | Mise en œuvre du data lineage Approche par data mapping | Haute | Haute | En cours |
Les champs de commentaires sont réduits au maximum et font l’objet d’une vigilance particulière. | Bon | Les champs de commentaire doivent être cadrés, en particulier dans la Privacy by Design | |||||
Données sensibles | Les données sensibles sont identifiées. | METIER | Bon | Classification des données et identification des données sensible par tag dans le référentiel | Haute | Haute | Prévu |
EIVP / PIA | Les EIVP/PIA sont systématiquement réalisées pour les traitements comportant des données sensibles, ou quand le type de traitement, les types de données et les catégories de personnes concernées présentent des risques, ou, à la demande du DPO. | DPO METIER DSI – SSI | Faible | Mise en place d’un processus collaboratif avec participation de la DSI-SSI sur la base de la méthodologie élaborée par la CNIL. Utilisation de l’outil PIA ou intégration dans une solution collaborative : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil | Haute | Moyenne | A prévoir |
Le processus EIVP/PIA est défini et conforme aux recommandations de la CNIL. | Inexistant | ||||||
Le risque résiduel est validé et accepté par le responsable de traitement (ou son représentant). | Inexistant | ||||||
Durées de conservation | Pour chaque DCP, les durées de conservation sont clairement définies. | METIER DSI – Architecture | Bon | Elaboration des processus de gestion des durées de conservation à partir du registre des traitements jusqu’aux données concernées. | Haute | Haute | Prévu |
Les effacements et les purges sont automatisées, dans le respect des contraintes réglementaires. | Inexistant | Etude des processus de gestion des données et de mise en œuvre de systèmes automatisés avec traçabilité. | |||||
Mesures de sécurité | Un état est fait sur l’ensemble des mesures visant à assurer la sécurité des données sur les volets suivants : | DSI – SSI | Bon | Validation et finalisation des travaux initiés sur la PSSI Up pour être pleinement en accord avec les exigences de sécurité du RGPD | Haute | Faible | En cours. ATTENTION à finaliser |
– Disparition | |||||||
– Accès Illégitime | |||||||
– Corruption des données | |||||||
Toutes les mesures nécessaires sont appliquées aux DCP et inscrites dans le registre des traitements : | |||||||
– Chiffrement des données sensibles | |||||||
– Chiffrement des mots de passe | |||||||
– Anonymisation ou pseudonymisation | |||||||
Registre des traitements | Le registre des traitements est formalisé et tenu à jour. | DPO METIER DSI – SSI | Faible | Mise en œuvre d’un portail de la conformité permettant le travail collaboratif avec workflow de la gestion des fiches de traitement. Apport de référentiels de la DSI vers le système. | Moyenne | Haute | Prévu |
Les acteurs de la conformité peuvent y contribuer en y ajoutant les informations dont ils disposent. | Faible | ||||||
Le registre des traitements est conforme aux préconisations du RGPD et permet la traçabilité des informations, des évènements et des actions qui y sont inscrits. | Faible | ||||||
Accountability | Le responsable de traitement ou son délégué (DPO) est en mesure, en cas de demande de l’autorité de contrôle, de montrer et de démontrer toutes les actions et dispositions concernant un traitement ont bien été appliquées et respectées et que tout a été mis en œuvre afin d’assurer la protection des DCP. | DPO DSI – PROD DSI – SSI | Faible | Mise en œuvre de la traçabilité des actions à tous les niveaux de la chaine. Rédaction, documentation et implémentation des processus avec leurs points de contrôle Suivi des logs et inscription de la gestion des logs dans le registre des traitements | Haute | Haute | Prévu |
Procédure d’exercice du droit des personnes | Les procédures de droits des personnes sont formalisées, les personnels sont sensibilisés, les procédures sont testées et validées. | DSI – PROD | Faible | Elaboration des procédures de gestion des demandes de droits des personnes au sein de la DSI, interconnexion avec les processus globaux, mise en œuvre des mécanismes de contrôle et de traçabilité. Etude de l’ensemble des URLs publiés pour vérifier les méthodes d’exercice du droit des personnes | Haute | Haute | En cours |
Procédure de gestion des violations de données | Les procédures de gestion des violations de données sont formalisées, les personnels sont sensibilisés, les procédures sont testées et validées. | DPO DSI – SSI DSI – PROD | Inexistant | Elaboration des procédures de gestion des violations de données au sein de la DSI, intégration dans le processus POLSSI-incidents. | Haute | Haute | En cours |
Gestion du consentement | Le consentement des personnes est bien recueilli et suivi. | DSI – PROD DSI – PROJETS | Faible | Mise en place de solution de gestion du consentement : Gestion du consentement des cookies, Gestion du consentement aux traitements | Haute | Haute | A prévoir |
Les procédures de gestion du consentement sont en place et permettent à une personne d’exercer son droit de rétractation d’un consentement durant toute la durée du traitement. | Inexistant | ||||||
Toutes les modifications du statut du consentement sont enregistrées et conservées car, en cas de litige, il faut pouvoir prouver que lors de l’opération en cause, le consentement n’avait pas été modifié. | Inexistant | ||||||
Privacy by design / by default | La gestion des DCP est prise en compte en amont des projets, avant la mise en œuvre du traitement. | DSI – PROJET | Moyen | Intégration de la Privacy by design au processus de Gouvernance des investissements. Communication et sensibilisation des équipes projet | Moyenne | Moyenne | En cours |
La protection des DCP est prise en compte dans les phases de développement : minimisation, anonymisation, Chiffrement, journalisation… | Moyen | Elaboration du thésaurus groupe trans-métiers. | |||||
Sensibilisation des collaborateurs | Les collaborateurs sont sensibilisés à la protection des données à caractère personnel. | RH | Moyen | Sensibilisation des collaborateurs à tous les niveaux de l’entreprise. | Moyenne | Faible | DPO |
Ce bilan met en évidence les axes stratégiques de mise en conformité et permet d’établir le plan d’action sur la base d’une approche par les risques légaux et les risques financiers.
Dans l’exemple précédent, nous avons identifié 3 points sensibles qui sont :
- La gestion de l’exercice du droit des personnes,
- La gestion des violations de données,
- L’aide aux réponses aux appels d’offre.
Et rajouté les points qui nous semblent importants :
- La mise en œuvre de processus globaux de gestion de la conformité RGPD au sein de la DSI,
- La définition des rôles et responsabilités,
- La découverte et le cycle de vie des DCP,