Les données personnelles portent sur toutes les informations attachées à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise. C'est pourquoi, leur utilisation est encadrée par la loi, d’autant plus lorsqu’il s’agit de données dites « sensibles ».Nombre d’entreprises se doivent d’intégrer la fonction de délégué à la protection des données personnelles pour être en conformité notamment au RGPD. C’est dans ce contexte qu'est proposé le parcours professionnel « Être Délégué à la protection des données personnelles (DPO/DPD) » à l’issue duquel il est proposé aux candidats de valoriser leurs compétences et de se présenter à l’examen de Certification du DPO réalisé par notre partenaire SGS certificateur agréé par la CNIL.
Objectifs pédagogiques
Programme de la formation
Engagement
Protection des données personnelles : mise en conformité (1 jour)
Voir le moduleRéduire
Rappeler le champ d'application, les objectifs et les enjeux du RGPD
Origine de la directive 95-46 et de la loi Informatique et Libertés et philosophie du RGPDCritères d'application territoriale et personnelleActeurs et responsabilités : coresponsabilité des clients et prestatairesDéfinir les concepts et principes du RGPD
Notion de donnée, traitement, finalité, base légale, responsable de traitement, sous-traitant, destinataire, profilage, etc.)Principes de licéité/loyauté de la collecte, limitation des finalités, minimisation/exactitude et conservation limitée des données, confidentialité, proportionnalité, responsabilité, transparence, et sécurité des traitements...Cas particulier du profilage (eprivacy) et de la prise de décision algorithmiqueEprivacy : spécificités des données de communications électroniques, cookie consentIdentifier les contraintes techniques et organisationnelles
Cartographie des traitements, durées de conservation, finalités aux bases légalesImplémentation et documentation des exigences « Privacy by Design » et mesures de sécurité logistique/physique (pseudonymisation, certifications, plan d'assurance sécurité)Gestion d'une violation de données personnellesAdoption d'une gouvernance interne et sensibilisation des équipesProcédures de conformité : gestion des demandes des droits, des violations de données et des AIDP et communiquer auprès des personnes concernéesRepérer les raisons de nommer un DPO
Prévenir les risques et sanctions : amendes/CA, actions des personnes concernées, condamnation et préjudicesFonction quasi-obligatoire dans l'entrepriseMesurer les fonctions du DPO dans l'entreprise
Tenir le registreLimiter les mises en cause de responsabilitéExpliquer ses missionsRepérer les obligations juridiques
Constitution et suivi du registre des traitementsConception et déploiement des mentions d'information et modalités de recueil des consentements des personnesGérer la conformité RGPD sur le plan contractuel
Qualification des protagonistes et vérification des responsabilités« Roadmap » de mise en conformité des contratsClauses et annexes du RGPDAnalyser les flux transfrontaliers de données
« BCR », clauses contractuelles typesConventions de flux complémentairesUtiliser les fichiers Marketing
Respect du RGPD dans le cadre des prospections commercialesRespect du RGPD dans le cadre des locations ou cessions de fichiersDPO (DPD) : désignation, rôle et missions du délégué à la protection des données personnelles (1 jour)
Voir le moduleRéduire
Déceler l'origine du DPO : accountability et fin des déclarations préalables
Accountability : philosophie de la conformité dynamique et responsabilisation des acteurs (responsable du traitement et sous-traitant)Conséquence immédiate : fin des déclarations préalables à la CNILPrincipaux outils de la conformité dynamique : analyse d'impact à la protection des données (AIPD)Expliquer le rôle du DPO
Pilotage de la mise en conformité : DPO chef d'orchestre de la mise en conformité, DPO et comité de pilotageConseil de l'organisme pour son maintien en conformité/bilan annuelDésigner un DPO interne, externe ou mutualisé
Cas dans lesquels la désignation du DPO est obligatoire (UE et États membres)Conditions et modalités de la désignation (qualifications et compétences requises)Choix entre la désignation d’un DPO interne, externe ou mutualisé, désignation dans un groupeAnalyser le statut et les responsabilités des DPO
Statut du DPO interne/du DPO externe ou mutualiséResponsabilitésLister les missions du DPO
Information et conseil du RT ou du STContrôle du respect du RGPD et des autres dispositions en matière de protection des donnéesConseil sur l'analyse d'impact/coopération et point de contact avec l'autorité de contrôleIdentification, évaluation et préconisations avec le RSSI des mesures organisationnelles et techniques de sécuritéPoint de contact des personnes concernées pour l'exercice des droitsSensibilisation et formation, communication interne et externe (missions complémentaires)Déployer la fonction de DPO dans l'entreprise
Participation à toutes les questions de protection des donnéesRessources pour exercer ses missions/accès aux données à caractère personnel, formation continueEncadrer la fin de mission du DPO
Circonstances de la fin de mission : à l'initiative du DPO ou de l'organismeCadre juridiqueDroits du DPODPO (DPD) : piloter la protection des données personnelles de l'entreprise (1 jour)
Voir le moduleRéduire
Auditer la protection des données
Méthodologie, identification des interlocuteurs, interviews, collecte des documents et informationsDistinction entre les opérateurs (responsables de traitement, responsables conjoints, sous-traitants)Identification des bases juridiques des traitementsMettre en œuvre la cartographie des traitements
Cartographie des traitements et des donnéesRôle du DPO lors de la cartographie des traitements : aide lors de l’enregistrement des traitements ou seul contrôle des registres ?DPO et registres de l’art. 30 (RT et ST)Mettre en conformité la documentation contractuelle et d’information
Rôles respectifs de la direction juridique et du DPOIdentification des réglementations sectoriellesFocus sur les transferts de données personnelles vers des pays tiers (décisions d’adéquation et garanties appropriées)Déterminer l’opportunité d'une AIPD (ou DPIA)
Rappels sur l'AIPD (accountability, finalité, caractère obligatoire)Critères sur l’opportunité d’une AIPDNotion de risque sur la vie privéeRéalisation d'un AIPD : méthode et outils à la disposition du RT et du DPO, conseils sur la sous-traitance et sur les mesures organisationnelles et techniques de sécuritéRépondre aux demandes d'exercice des droits des personnes interessées
Attributions du DPO Mise en place des procédures d’exercice des droitsExercice des droits en pratiqueRépliquer à une violation de données
Procédures de détection/de notification : mise en placeRôle du DPO en cas de violation de donnéesSensibiliser les différentes parties de l'entreprise
Communication dans l'entrepriseÉlaboration des programmes de formationMettre à disposition des outils méthodologiques et logiciels pour l'exercice des fonctions de DPO
Nécessité de s'appuyer sur des outils de gouvernance des donnéesOutils à disposition : CNIL et éditeursOutils et traçabilité des activités de traitementCNIL : gérer les contrôles liés à la protection des données personnelles (1 jour)
Voir le moduleRéduire
Intégrer le renforcement des contrôles de la CNIL depuis le RGPD
Renforcement du cadreOrigine des contrôlesTypologie des contrôlesLister les points d’attention lors du déroulement d’un contrôle sur place (au sein de l’entité)
Vérification de l’identité des contrôleurs habilitésInformations et droits dans le cadre d’une procédure de contrôleEtendue des pouvoirs des agents de contrôleTraiter les suites d'un contrôle
Procès-verbal du contrôleActions à prendre par l'entité contrôlée à la suite du contrôleDécision de l'autorité de contrôlePoint sur la nouvelle procédure simplifiée de sanction CNIL (loi du 24/01/2022 et Décret 8/04/2022)Examiner les sanctions en cas de manquement et les voies de recours offertes
Typologie des sanctions et exemples de décisionsPublicité Voies de recours et exemples de décisionsPoint sur les mesures correctrices dans la nouvelle procédure simplifiée de sanction CNILCoopération renforcée avec le RGPD entre la CNIL et ses homologues européens, exemples de décisionsOrganiser l'intégration de la conformité dans l'entreprise
Sensibilisation des directions opérationnelles aux dispositions du RGPDDésignation d'un DPO interne ou externeBâtir un process
Process de gestion d'un contrôle Diffusion au sein de l'entitéCybersécurité et traitement de données personnelles (1 jour)
Voir le moduleRéduire
Repérer les données à caractère personnel
Identification et modélisation des traitements et les flux de données métiersLocalisation des données à caractère personnel dans le SI et/ou dans le cloudPrévenir les violations de données
Recensement des mesures de sécurité existantesRepérage des vulnérabilités pouvant impacter les biens supportsAnalyser les risques numériques
Listing des scénarios d'attaque convoitant les données sensibles et les données à caractère personnelQuantification des risques numériques en termes de probabilité d'occurrence et d'impacts induitsÊtre acteur de la conformité
Sensibilisation des décideurs sur les risques pour leur donner les moyens d'évaluation des risquesComment devenir force de proposition sur la stratégie à élaborer ?Échafauder des stratégies
Prévention des cyberattaques Utilisation de l'outil PIA de la CNIL pour protéger les données personnellesAgir sur les risques identifiés
Pilotage des actions : réduction, transfert, acceptation, annulationPositionnement des capteurs, des sondes métiers et des techniques pour détecter les signes avant-coureurs ou avérés d'une attaque cyberSélection, implémentation, test et optimisation des mesures de sécurité à même de réduire les risques identifiésRepérer les données à caractère personnel
Identification et modélisation des traitements et les flux de données métiersLocalisation des données à caractère personnel dans le SI et/ou dans le cloudPrévenir les violations de données
Recensement des mesures de sécurité existantesRepérage des vulnérabilités pouvant impacter les biens supportsAnalyser les risques numériques
Listing des scénarios d'attaque convoitant les données sensibles et les données à caractère personnelQuantification des risques numériques en termes de probabilité d'occurrence et d'impacts induitsÊtre acteur de la conformité
Sensibilisation des décideurs sur les risques pour leur donner les moyens d'évaluation des risquesComment devenir force de proposition sur la stratégie à élaborer ?Échafauder des stratégies
Prévention des cyberattaques Utilisation de l'outil PIA de la CNIL pour protéger les données personnellesAgir sur les risques identifiés
Pilotage des actions : réduction, transfert, acceptation, annulationPositionnement des capteurs, des sondes métiers et des techniques pour détecter les signes avant-coureurs ou avérés d'une attaque cyberSélection, implémentation, test et optimisation des mesures de sécurité à même de réduire les risques identifiésTransfert
Les points forts
Approche métier sur les différents aspects du DPO et suivant les critères requis par l'autorité de contrôle (CNIL) - Présentation d'outils d'aide à la gestion du traitement des données personnelles
À qui s’adresse cette formation ?
Délégués à la protection des données (DPO/DPD) - Directeurs de services informatiques (DSI) - Avocats - Juristes - Toute personne s'intéressant à l'économie de la data et/ou en charge de la conformité de traitements de données personnelles
Pré-requis
Aucun prérequis nécessaire
Moyens pédagogiques
Satisfaction et Evaluation
Parmi nos formateurs
Financement de la formation
Vous êtes salarié(e) d’entreprise ? Vous pouvez vous faire financer votre formation par le plan de développement des compétences de votre entreprise (ex- plan de formation) :
Le plan de développement des compétences, c’est l’ensemble des actions de formation établi à l’initiative de l’employeur dans le cadre de la politique de ressources humaines de l’entreprise. Il est annuel et s’élabore généralement en fin d’année. D’après la loi du 5 septembre 2018 « pour la liberté de choisir son avenir professionnel », l’action de formation est désormais définie comme « un parcours pédagogique permettant d'atteindre un objectif professionnel ». De nouvelles actions de formation font ainsi partie de cette définition comme : le tutorat, le coaching, l’AFEST, le MOOC, le mentoring…
Tous les salariés de l’entreprise peuvent être concernés par le plan de développement des compétences, quelle que soit la nature, la durée de leur contrat ou leur ancienneté.
L’OPCO gère, généralement, les dépenses liées aux coûts pédagogiques, rémunérations et allocations formation, transport, repas et hébergement. Suite à la réforme de la formation 2018, les missions des OPCO vont être redéfinies d’ici 2021.
N’hésitez pas à vous rapprocher de votre service RH/ formation pour plus d’informations sur les prises en charge possibles.
Si vous ne connaissez pas votre OPCO, vous pouvez vous rendre sur le site du ministère du travail en suivant ce lien.