Un RFI en cours au sein du NIST sur la protection des données personnelles

30 Nov 2018
Charles D'AUMALE
190
0

Le National Institute for Standards and Technology (NIST) a publié mi-novembre un appel à commentaire (Request for Information – RFI) sur un cadre pour la protection des données personnelles par les organisations. L’objectif est de fournir un Privacy Framework aux entreprises pour les aider à structurer leur approche. Vous pouvez apporter vos contributions jusqu’à la fin de l’année.
Petite précision qu’il convient de rappeler : “NIST will develop the Privacy Framework in a manner consistent with its mission to promote U.S. innovation and industrial competitiveness”. Mais il faut aussi noter : “The Privacy Framework should be scalable to organizations of all sizes, public or private, in any sector, and operating within or across domestic borders.” Cela veut dire que cet éventuel standard a des velléités mondiales. D’où la nécessité de s’y intéresser.

Les principaux points abordés

Gestion des risques :

Le NIST souhaite connaitre l’existant : standards, modèles, méthodologies, outils, meilleurs pratiques, cadres juridiques et réglementaires, principes, etc.
Quelques idées que nous pourrions soumettre : RGPD, guides et recommandations de la CNIL, guides et recommandations des autres autorités nationales européennes, principes et recommandations de l’EDPS et l’EDPB, etc.

Aspects organisationnels

Les questions posées sont très larges et couvrent tous les aspects d’un tel enjeu :

  • Principaux enjeux pour les individus pour améliorer la protection des données au sein des organisations
  • Principaux enjeux pour développer un standard pour tous les secteurs
  • Définition et évaluation du risque en général et du risque lié aux données personnelles en particulier
  • Les procédures et pratiques actuelles pour gérer ce risque aujourd’hui
  • Gestion du risque des données personnelles au niveau de la gouvernance des entreprises
  • Les règles minimales qu’il conviendrait de mettre en place
  • Lister les standards, cadres et meilleures pratiques pour gérer tout le cycle de vie des données personnelles avec les aspects managériaux, opérationnels et techniques
  • Les éventuels standards et cadres locaux, nationaux et internationaux utilisés des autorités réglementaires
  • Identifier les éventuels conflits entre exigences et meilleures pratiques
  • Les rôles des différentes organisations nationales et internationales sur ce type de standards
  • Les implications internationales d’un futur Privacy Framework pour les multinationales et pour la mise en place de politique dans d’autres pays
  • L’embauche de talents pour gérer la protection des données personnelles

Structuration du Privacy Framework

Le NIST souhaite obtenir des avis sur la façon de structurer son futur standard, notamment en posant les questions suivantes :

Il y a ensuite un certain nombre de questions plus spécifiques aux méthodes techniques de protection des données.

L’intérêt pour les organisations européennes de s’intéresser à ce RFI

Si le NIST est surtout un organisme de standardisation américain, il y a clairement des impacts au niveau mondial. Les organisations suivantes ont donc intérêt à apporter leurs visions au NIST :

    • Institutions nationales et européennes : pour apporter leurs expériences européennes et faire converger les principes RGPD et éventuels futurs principes américains
    • Multinationales européennes : qu’elles soient présentes ou pas aux Etats-Unis, la capacité américaine à déployer ses standards imposent à minima de suivre ce dossier voire d’y participer pour avoir une approche commune entre européen et nord-américain
    • Toutes les autres organisations : tout simplement parce qu’elles utilisent de nombreux services de sociétés américaines qui gèrent des données personnelles.