Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorNouveau cadre de protection de la vie privée du NIST : une ressource taillée sur mesure pour l’audit interne

Nouveau cadre de protection de la vie privée du NIST: une ressource taillée sur mesure pour l’audit interne

Qualifiées d’or noir du XXIesiècle, les données ont une valeur inestimable. C’est en effet sur les fameuses « data » que reposent certaines des plus grandes entreprises du monde, dont Amazon, Facebook et Google. Devenue un véritable moteur économique, la course aux données a également marqué en parallèle l’avènement de la cybercriminalité et motivé les avancées technologiques visant à collecter plus rapidement et plus efficacement des volumes de données toujours plus importants.

Au cours des deux dernières décennies, la plupart des organisations sont parvenues à utiliser les technologies de l’information pour collecter et exploiter les données de clients. Or seule une poignée de ces acteurs a pris le temps d’analyser l’impact de cette collecte sur la vie privée des individus. Des efforts concertés ont été déployés ces dernières années afin de contrôler la collecte et la monétisation intempestives des données personnelles. Pour preuve, la multiplication des lois et réglementations relatives à la collecte, à la gestion, au stockage et à la protection de ces données, telles que le Règlement général sur la protection des données (RGPD) de l’Union européenne.

Le mois dernier, le National Institute of Standards and Technology (NIST), agence rattachée au département du Commerce américain, a publié un nouveau cadre de référence en matière de protection de la vie privée. Ce dernier propose des stratégies pour améliorer les pratiques en matière de protection des données personnelles, renforcer la confiance des clients et assurer la conformité avec un nombre croissant de réglementations sur la protection des données personnelles.

Ce cadre, dont le titre exact est Privacy Framework: A Tool for Improving Privacy Through Enterprise Risk Management (cadre de protection de la vie privée: un outil pour améliorer la protection des données personnelles grâce au management des risques d’entreprise), a vocation à soutenir chaque organisation, quelle qu’elle soit, dans ses efforts de protection des données personnelles. Il s’utilise parallèlement au cadre de cybersécurité du NIS publié en2014. Le cadre de protection de la vie privée vise à fournir un appui dans l’analyse des pratiques de collecte des données et de leur impact sur la vie privée des individus. Pour aider les organisations à maîtriser les risques liés à la protection de la vie privée, ce cadre les incite à:

  • Prendre en compte la protection des données personnelles dès la conception et le déploiement de systèmes, de produits et de services
  • Communiquer sur leurs pratiques en matière de protection de ces données
  • Favoriser la collaboration transversale au sein de l’organisation, par exemple entre les dirigeants, le directeur juridique et le service informatique

Ce cadre divise le management des risques liés à la protection de la vie privée en trois parties: la base (Core), les profils (Profiles) et les niveaux de mise en œuvre (Tiers).

  • Engager un dialogue. L’étape « Core » permet de discuter des activités et des résultats liés à la protection de la vie privée.
  • Atteindre les objectifs de l’organisation. L’étape « profils » permet de définir d’une part les priorités des activités et d’autre part les résultats attendus ; répondant aux valeurs et aux risques de l’organisation en matière de protection de la vie privée.
  • Maîtriser les risques. Plusieurs niveaux de mise en œuvre aident à analyser l’adéquation des processus et des ressources dédiés à la maîtrise des risques liés à la protection de la vie privée.

Le cadre de protection de la vie privée est un formidable outil, des plus utiles pour les auditeurs internes. L’accent placé sur le management des risques, l’adéquation des processus et l’équilibre entre les besoins de l’organisation et les risques liés à la protection de la vie privée reflète l’essence même des missions et des forces de l’audit interne. En outre, et les auditeurs internes devraient trouver cela fort utile, plusieurs annexes fournissent des outils permettant d’évaluer et de mettre en œuvre des stratégies raisonnées sur le front de la protection des données personnelles.

  • L’annexe « Privacy Framework Core » contient un tableau de fonctions, de catégories et de sous‑catégories détaillant les activités et les résultats spécifiques à même de soutenir le management des risques liés aux données personnelles dès lors que des systèmes, des produits et des services traitent des données. Il fournit une approche fondée sur les risques qui identifie les rôles, aborde l’adaptabilité en fonction du contexte et donne des précisions concernant l’alignement du cadre de protection de la vie privée sur le cadre de cybersécurité du NIST.
  • L’annexe « Privacy Risk Management Practices » traite de questions relevant du management des risques liés aux données personnelles, notamment le rapport entre la cybersécurité et ces risques, ainsi que le rôle de l’évaluation de ces derniers. Sont également abordées l’organisation de ressources préparatoires, la détermination des capacités et la définition d’exigences en matière de protection des données personnelles, ainsi que la réalisation d’évaluation des risques liés à ce type de données.
  • La dernière annexe détaille les quatre niveaux de mise en œuvre de la protection de la vie privée: partiel (partial), validé (risk-informed), itératif (repeatable), adaptatif (adaptive).

Le cadre de protection de la vie privée du NIST apporte un soutien aux organisations pour appréhender et gérer la protection des données personnelles– soutien qui leur faisait jusqu’à présent cruellement défaut. Suffisamment flexible, ce cadre leur permet de concevoir des stratégies et des processus adaptés à leurs besoins individuels, ainsi qu’à leurs propres stratégies et appétence pour le risque.

J’invite tous les responsables de l’audit interne à examiner ce cadre, à déterminer la manière dont il peut aider leur organisation et à informer les parties prenantes de l’existence de ce précieux outil.

Comme toujours, je me réjouis de lire vos commentaires.

Communication: Richard F. Chambers, Président et CEO du Global Institute of Internal Auditors, publie un article hebdomadaire pour InternalAuditor.org sur les questions et tendances relatives à la profession de l'audit interne.