Apprenez à intégrer systématiquement les pratiques de confidentialité dans votre organisation ou votre vie numérique personnelle en adoptant un cadre structuré de confidentialité.

"Une approche en quatre étapes pour adopter un cadre de confidentialité"

Réfléchissez à la façon dont vous pouvez appliquer ces principes dans leurs propres pratiques de confidentialité ou politiques organisationnelles.

Une approche en quatre étapes pour l’adoption d’un cadre de confidentialité

Auteur : Minaz Khan, CISA
Date de publication : 1 avril 2021

Selon l’étude Privacy Benchmark 2021 de Cisco, les organisations disposant de programmes de confidentialité matures bénéficient d’avantages supérieurs à la moyenne et trouvent qu’il est plus facile de se conformer aux nouvelles réglementations en matière de confidentialité. Mais quelle est la meilleure façon de construire et mesurer la maturité de la vie privée? Les cadres de confidentialité sont un excellent outil pour évaluer, surveiller et améliorer les programmes de confidentialité. Parce qu’il n’existe actuellement que quelques cadres traditionnels pour la confidentialité (par exemple, le National Institute of Standards and Technology [NIST] Privacy Framework), dans ce cas le terme "cadre" est utilisé plus largement pour inclure les règles et règlements (par exemple, l’Organisation internationale de normalisation [ISO] 29100 et le règlement général sur la protection des données de l’UE [GDPR]) que les organisations peuvent utiliser pour construire, gouverner et mûrir leurs pratiques en matière de confidentialité. Quel que soit le cadre choisi par une organisation, la mise en œuvre correcte de la protection des données peut permettre d’atteindre la maturité.

Sélection d’un cadre
De nombreuses organisations choisissent un cadre lorsqu’elles tentent de résoudre des problèmes liés à la protection de la vie privée, tels que les changements dans les exigences réglementaires, les politiques/procédures contradictoires ou changeantes, le chevauchement des efforts de conformité et l’augmentation des coûts opérationnels. Le choix d’un cadre unique comme base d’un programme résout bon nombre de ces défis et facilite l’adaptation aux changements organisationnels et réglementaires.

Cependant, le choix d’un cadre de confidentialité n’est pas exempt de ses propres obstacles. Pour surmonter ou éviter ces problèmes, il y a quelques questions clés à poser:

• Qui devrait participer?
• En quoi un cadre sera-t-il bénéfique pour l’organisation?
• Quels processus commerciaux peuvent être affectés?
• Quels cadres sont déjà utilisés dans l’organisation?
• Quelles exigences réglementaires (par exemple, la loi sur la portabilité et la responsabilité en matière d’assurance maladie [HIPAA], la loi californienne sur la protection des données à caractère personnel [CCPA], le GDPR) doivent être prises en compte ?

Bien qu’un cadre de confidentialité se concentre sur les efforts en matière de confidentialité, il affecte de nombreuses autres parties de l’organisation et peut chevaucher d’autres cadres utilisés par d’autres fonctions commerciales.

Il peut être utile d’impliquer le personnel de diverses fonctions telles que la cybersécurité, l’informatique, la sécurité des informations, les aspects juridiques, la conformité, l’audit interne et la gestion des risques, ainsi que les principaux propriétaires des processus commerciaux. Il est important d’inclure une gamme de fonctions commerciales dans le processus de sélection, mais il est important d’établir une autorité (probablement la personne qui dirige les efforts de confidentialité de l’organisation) pour prendre la décision finale.

Quel que soit le cadre choisi, il doit soutenir les objectifs de l’organisation, la stratégie d’entreprise et les besoins des parties prenantes. Si aucun de ces éléments n’est respecté, il sera difficile d’adopter le cadre à l’échelle de l’entreprise, ce qui aura un effet négatif sur sa réussite.

Mise en œuvre de votre cadre de confidentialité

Il n’existe pas d’approche unique pour la sélection et l’adoption d’un cadre. Toutefois, la mise en œuvre effective du cadre peut être assurée en quatre étapes :

1. Cartographie du cadre et de la réglementation : Si une organisation a besoin de se conformer à plusieurs réglementations sur la confidentialité, elle devra cartographier comment elles se chevauchent avec son cadre et entre elles. En outre, il est temps de prendre en compte tout autre cadre (par exemple, le NIST Cybersecurity Framework, ISO 27001) que l’organisation utilise pour s’assurer que tout est aligné. La délimitation des zones de contrôle et leur regroupement par règlement et cadre peut réduire la complexité.
2. Adaptation à l’entreprise : Adapter votre cadre au risque de confidentialité spécifique à l’organisation et aux exigences réglementaires aidera à rendre le processus de mise en œuvre plus fluide. Cela signifie que les contrôles doivent être modifiés pour s’adapter à des fonctions spécifiques de l’entreprise et à l’environnement opérationnel, ce qui nécessitera la participation d’autres parties prenantes. Mais travailler avec d’autres équipes pour intégrer leur cadre devrait aider à assurer l’adoption dans toute l’entreprise.
3. Documentation : Il peut y avoir des cas où un contrôle spécifique ne s’applique pas à l’organisation. Il est de bonne pratique de documenter les raisons commerciales pour lesquelles le contrôle n’a pas été appliqué. Si une documentation appropriée du raisonnement derrière l’exception est maintenue, elle sera un recours pour tout audit et évaluation futurs.
4. Communication : Une partie clé de l’adoption réussie est la communication. Il est important de communiquer tout changement aux équipes commerciales centrales au sein de l’organisation. Il est utile de fournir un appui approprié aux équipes qui pourraient être amenées à apporter des changements suite à l’adoption du cadre.

Quel que soit le cadre ou la combinaison de cadres choisie, il doit y avoir une stratégie pour mettre en œuvre les contrôles nécessaires afin de garantir la confidentialité et la sécurité des informations. Il ne suffit pas d’avoir un programme de protection de la vie privée et d’utiliser un cadre sur papier. L’organisation doit disposer d’un processus permettant de mettre en œuvre, de gérer et d’améliorer les contrôles, ainsi que de processus permettant de revoir régulièrement les contrôles afin de garantir leur efficacité.

Les avantages d’un cadre de confidentialité

Une fois que l’organisation a installé avec succès un cadre de confidentialité, mis en œuvre les contrôles correspondants et établi un programme de surveillance, l’organisation peut récolter tous les merveilleux avantages qu’un cadre fournit. Ces éléments sont les suivants :

• Conformité simplifiée
• Résultats mesurables
• Réduction des coûts
• Amélioration de la réduction des risques
• Évaluation efficace du programme
• Alignement sur la stratégie de l’entreprise
• Efforts unifiés en matière de confidentialité, de sécurité et de conformité
• Un programme de confidentialité durable

Choisir et mettre en œuvre un cadre de confidentialité nécessite un investissement important de temps et d’efforts dès le début, mais en fin de compte fournit à l’organisation un programme de confidentialité efficace et mature qui protège les informations critiques et soutient les objectifs commerciaux.

Note de la rédaction : Pour plus d’informations et d’exemples à ce sujet, veuillez lire l’article récent du magazine Minaz Khan "Guide pour choisir et adopter un cadre de confidentialité," ISACA Journal, volume 2, 2021.

Article original en anglais : https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2021/a-four-step-approach-to-adopting-a-privacy-framework