Qu’est-ce que le Privascore ?

Une des grandes nouveautés du RGPD est d’avoir introduit le principe d’accountability (que l’on pourrait traduire par responsabilisation ou redevabilité) signifiant que les organismes sont désormais tenus de documenter leur conformité. Ces derniers doivent être en mesure de transmettre cette documentation à tout moment à une autorité de contrôle dès que celle-ci en fait la demande.

Bien sûr le contenu de cette documentation variera en fonction de l’activité de l’organisme et des traitements mis en œuvre. En revanche si il y a un minimum à mettre en place et qui plus est, visible de tous, c’est bien la politique de confidentialité. Disposer d’une mauvaise politique de confidentialité (mal rédigée, inexacte…), c’est comme afficher sur votre site un gros panneau « nous ne sommes pas conformes au RGPD ». Sachant qu’il s’agit sans doute de la première chose que regarde la CNIL, ce n’est vraiment pas une bonne stratégie…

Notre méthode de notation

Afin de noter les politiques de confidentialité, nous avons élaboré une grille de notation en tenant compte des obligations légales (notées sur 3 points), des recommandations de la CNIL ou issues des Guidelines du G29 (notées sur 2 points) et enfin de quelques bonnes pratiques en matière de protection de données que nous notons sur 1 point. À cela s’ajoute un système de bonus et de malus afin de corriger à la marge des politiques qui seraient particulièrement efficaces ou au contraire très faibles (d’où l’existence de notes négatives ou au contraire supérieures au maximum prévu pour chaque catégorie). Nous obtenons ainsi 42 critères pour un total de 61 points et nous en tirons une note sur dix.

La note reflète l’état d’une politique de confidentialité à une date précise. Nous ne sommes pas tenus de la changer si la politique évolue car nous ne sommes pas en capacité de contrôler les mises à jour de l’ensemble des politiques de confidentialité évaluées. Toutefois, n’hésitez pas à nous signaler si celles-ci ont été actualisées.