La protection des données personnelles repose sur des activités mises en œuvre par chaque organisme (pilotage, gestion du registre, veille juridique, etc.). Toutefois, ces activités ne sont pas systématiquement prises en charge dans toutes les organisations et ne sont pas toujours gérées de manière homogène. La CNIL partage ses premières réflexions sur la réalisation d’un « modèle de maturité » en gestion de la protection des données.
Le modèle décrit 8 activités types liées à la protection des données en 5 niveaux de maturité. Des exemples d'actions ou productions illustrent chaque niveau de maturité pour chaque activité type sous forme de tableau.
Il permet aux organismes d’évaluer leur propre niveau de maturité et de déterminer comment améliorer leur gestion de la protection des données. Un plan d’actions pour combler les écarts constatés entre la pratique et le niveau adéquat ciblé par chaque organisme peut ainsi être élaboré sur cette base.
Cette méthodologie n’a pas pour objet d’assurer de fait la conformité. C’est un outil d’aide à l’analyse qui pourra contribuer à mettre en place des conditions favorables pour l’organisation des actions requises et les rendre pérennes, dans la logique de responsabilisation des acteurs.