La Commission nationale de l'informatique et des libertés (CNIL) distingue avant tout la maturité qui s'applique « aux activités gérées par l'organisme pour tous les traitements qu'il met en œuvre » de la conformité qui s'applique « à chaque traitement de données personnelles ». L'ambition de la méthodologie est de permettre de se situer parmi les cinq niveaux de maturité théoriques au regard du Règlement général sur la protection des données (RGPD).
La publication s'appuie notamment sur un guide rédigé par l'Anssi sur la Sécurité des systèmes industriels (SSI) pour identifier huit types d'activités que les organisations peuvent mettre en place (ci-dessous la première : Définir et mettre en œuvre des procédures sur la protection des données).
Les niveaux de maturité appliqués aux activités liées à la protection des données © CNIL
Avec la flambée du nombre de cyberattaques exploitants les failles de sécurité des entreprises, les données personnelles des salariés sont également exposées. Il y a un peu plus d'un an, les logiciels de visioconférence tels que Zoom, Cisco Webex, Google Meets ou Teams, étaient épinglés pour leurs lacunes sur le respect du RGPD. Un signe que la mise en conformité passe aussi par la sensibilisation à la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d'une activité.