Le NIST américain publie un référentiel pour améliorer la gestion des risques liés au traitement de données personnelles. Le document suit la même trame que le NIST CSF, centré sur la cyber sécurité et qui rencontre beaucoup de succès, y compris en Europe. C’est un cadre flexible et très utile pour définir et mettre en œuvre d’une manière très pragmatique un programme « Data Privacy » orienté risques, adapté à ses exigences légales et à ses métiers. Il complète ainsi parfaitement d’autres cadres organisationnels comme l’ISO 27701. Le DPO européen peut s’en inspirer pour étayer son traitement des risques dans le cadre de sa check-list de conformité au Règlement Général sur la Protection des données.

Aperçu

Le référentiel « Data Privacy » du NIST suit la même structure que le CSF en définissant trois parties. Les activités « CORE » comprennent les cinq fonctions du CSF : identifier, organiser, contrôler, communiquer et protéger. Les catégories et sous-catégories permettent de détailler l’activité. Une annexe donne des références que l’on peut utiliser pour sélectionner les activités à mener dans son contexte. Par exemple les inventaires des traitements, la cartographie des applications, l’analyse des risques, la documentation, la sécurité des données, la communication.

Les « PROFILES » sont utilisés pour prioriser les activités. On pourra ainsi alimenter un programme de conformité avec un premier profil des activités menées actuellement et un deuxième profil des actifs « cibles ».

Les niveaux « TIER » (de 1 à 4) définissent un niveau à atteindre en termes de formalisation. Ce niveau est fixé en fonction de ses objectifs, de son contexte métiers, de la taille de son entité et de la sensibilité des données. Par exemple « TIER 2 » implique que les pratiques de gestion des risques soient validées même si elles ne sont pas systématiquement appliquées. Des bonnes pratiques existent même si les processus ne sont pas formalisés.

Utilisation

Le référentiel du NIST est un outil pour faciliter la mise en place d’un programme. Il est flexible et doit être adapté à son contexte. Il ne définit pas de règles à appliquer ni de niveau de conformité à atteindre. Il peut être utilisé dans plusieurs contextes. Par exemple, établir un état de l’existant (cas complexe d’un groupe qui doit respecter plusieurs lois en fonction des pays et des filiales), renforcer la notion importante de responsabilité (qui fait quoi entre les métiers, le DPO, le département conformité, la sécurité par exemple sur le sujet des AIPD), développer ou améliorer un programme « Data Privacy », intégrer les notions de conformité à son cycle de développement pour un éditeur ou encore prévoir et justifier des demandes de ressources humaines et budgétaires.

PROSICA propose des missions de conseil ciblés pour définir ou améliorer son programme de conformité en protection des données à caractère personnel. Organisme de formation, nous proposons aussi des sessions de préparation à la certification européenne CIPP/E sur Paris ou en mode intra chez le client.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :