Les données personnelles portent sur toutes les informations attachées à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise C'est pourquoi, leur utilisation est encadrée par la loi, d’autant plus lorsqu’il s’agit de données dites « sensibles ».Nombre d’entreprises se doivent d’intégrer la fonction de délégué à la protection des données personnelles pour être en conformité. C’est dans ce contexte qu'est proposé le parcours professionnel « Être Délégué à la protection des données personnelles (DPO/DPD) » à l’issue duquel il est proposé aux candidats de valoriser leurs compétences et de se présenter à l’examen de Certification du DPO réalisé par notre partenaire SGS certificateur agréé par la CNIL. Qu’est-ce que la réglementation en matière de protection des données personnelles ?Le règlement général sur la protection des données personnelles (RGPD) est entré en vigueur le 25 mai 2018. Il s’agit d’une réglementation européenne d’application directe qui pose un cadre pour protéger toutes les données personnelles au sein de l’Union européenne.. En cas de manquement à cette législation, l’entreprise ou l’organisation, en charge du traitement des données personnelles, s’expose à de lourdes sanctions. Pour prévenir le risque, de nombreuses entités font donc appel à un délégué de la protection des données personnelles (DPO). Interlocuteur privilégié de la CNIL, il veille à la bonne préservation des données sensibles.Piloter la protection des données personnelles en entreprise et Gérer les contrôles CNILParce qu’Elegia dispose d’un savoir-faire de 30 ans, elle a su évoluer avec son temps et proposer de nouvelles formations au gré des changements de la société. Ainsi, Elegia compte parmi les premiers acteurs à proposer des formations concernant le nouveau métier de délégué à la protection des données personnelles (DPO). Ces formations permettent de mieux identifier le rôle et les missions du DPO, de lui donner les moyens du pilotage et d’être en capacité de gérer un contrôle CNIL. Participant à l’évaluation des failles de sécurité dans l’environnement numérique, le DPO ainsi formé, disposera des moyens nécessaires pour être force de proposition auprès des décideurs de l’entreprise.
Objectifs et compétences visées de la formation
Cerner les règles du pilotage de la protection des données personnelles de l'entreprise
Monter et suivre un programme de conformité en matière de données personnelles
Évaluer les risques numériques et repérer les failles de sécurité
Gérer les contrôles de la CNIL
Programme
E-Start
Vous vous engagez dans votre formation. Connectez-vous sur votre espace participant et complétez votre questionnaire préparatoire. Votre formateur reçoit vos objectifs de progrès.
Programme de cette formation
Règlement européen "Données personnelles" : être en conformité (1 jour)
Cerner les obligations juridiques, techniques et organisationnelles des entités concernées par le RGPD
Rappeler les objectifs et les enjeux du RGPD
Origine de la directive 95-46 et de la loi Informatique et Libertés et philosophie du RGPD
Concepts : licéité/loyauté de la collecte, limitation des finalités, minimisation/exactitude et conservation limitée des données, confidentialité, proportionnalité, responsabilité, transparence, base légale et sécurité des traitements…
Exercice pratique : identifier les données personnelles directes et indirectes
Repérer les organisations concernées
Critères d'application territoriale et personnelle
Acteurs et responsabilités : coresponsabilité des clients et prestataires
Étude de cas : la CJUE et le responsable de traitement
Identifier les obligations techniques et organisationnelles
Dresser une cartographie des traitements, préparer un plan d'actions, prioriser les chantiers
Implémenter et documenter les exigences « Privacy by Design » et les mesures de sécurité logistique et physique
Adopter une gouvernance interne, sensibiliser les équipes
Définir des procédures de conformité : gestion des demandes des droits, des violations de données et des AIDP et communiquer auprès des personnes concernées
Mise en situation : mettre en oeuvre une AIDP ?
Adopter les mesures juridiques et contractuelles
Constituer et alimenter le registre des traitements
Qualifier les protagonistes et vérifier les responsabilités
« Roadmap » de mise en conformité des contrats
Constituer les clauses et annexes du RGPD et la documentation d'accountability
Exercice pratique : qualifier les protagonistes des relations complexes et en cerner les conséquences
Définir le rôle pour le délégué à la protection des données (DPD/DPO)
Repérer les raisons de nommer un DPO
Prévenir les sanctions: amendes/CA, actions des personnes concernées, condamnation et préjudices
Fonction quasi-obligatoire dans l'entreprise
Mesurer les fonctions du DPO dans l'entreprise
Tenir le registre
Limiter les mises en cause de responsabilité
Expliquer ses missions
Partage d'expérience : le rôle du DPO
Caractériser les spécificités du traitement des données
Intégrer les nouveaux droits accordés aux individus
Revoir les mentions d'information et modalités de recueil des consentements des personnes
Cas particulier du profilage (e-Privacy) et de la prise de décision algorithmique, cookie consent (eprivacy)
Quiz : les droits des personnes
Analyser les flux transfrontaliers de données
« BCR », clauses contractuelles types
Conventions de flux complémentaires
Débat : les conséquences de l'annulation du Privacy Shield
Cerner les impact sur les formalités administratives et les rapports avec la CNIL
« Guichet unique » au sein de l'UE, suppression des formalités et autorisations
Sort du droit dérivé, rôle du CEPD
Demandes à la CNIL sur l'AIDP, notification des failles de sécurité, multiplication des contrôles
DPO (DPD) : désignation, rôle et missions du délégué à la protection des données personnelles (1 jour)
Fondement : accountability et fin des déclarations préalables
Accountability : philosophie de la conformité dynamique et responsabilisation des acteurs (responsable du traitement et sous-traitant)
Conséquence immédiate : fin des déclarations préalables à la CNIL
Principaux outils de la conformité dynamique : analyse d'impact à la protection des données (AIPD), DPO
Désignation d’un DPO interne, externe ou mutualisé
Cas dans lesquels la désignation du DPO est obligatoire (UE et États membres)
Conditions et modalités de la désignation (qualifications et compétences requises)
Choix entre la désignation d’un DPO interne, externe ou mutualisé, désignation dans un groupe
Mise en situation : désignation du DPO auprès de la CNIL et en interne
Statut et responsabilités des DPO
Statut et responsabilités du DPO interne/du DPO externe ou mutualisé
Étude de cas : mise en cause de l'entreprise et violation de données, quelle responsabilité du DPO ?
Rôle du DPO
Pilotage de la mise en conformité : DPO chef d’orchestre de la mise en conformité, DPO et comité de pilotage
Conseil de l’organisme afin qu’il se maintienne en conformité/bilan annuel
Atelier « Acteur clé » :
Positionnement du DPO par rapport à la direction de l'entreprise, indépendance et/ou lien hiérarchique ?
Différences entre un DPO désigné auprès de la CNIL et un référent RGPD non désigné auprès de la CNIL
DPO du RT et du ST
Identification du responsable du traitement (RT), du responsable conjoint et du sous-traitant (ST)
DPO du RT/DPO, du ST
Missions du DPO
Information et conseil du RT ou du ST
Contrôle du respect du RGPD et des autres dispositions en matière de protection des données
Conseil sur l’analyse d’impact/coopération et point de contact avec l’autorité de contrôle
Identification, évaluation et préconisations avec le RSSI des mesures organisationnelles et techniques de sécurité
Point de contact des personnes concernées pour l’exercice des droits
Sensibilisation et formation, communication interne et externe (missions complémentaires)
Quiz interactif : les missions du DPO
Cadre du pilotage : moyens mis à la disposition du DPO
Participation à toutes les questions de protection des données
Ressources pour exercer ses missions/accès aux données à caractère personnel, formation continue
Début de mission : l'audit de maturité de l'organisme
DPO : piloter la protection des données personnelles de l'entreprise (1 jour)
Auditer la protection des données
Méthodologie, identification des interlocuteurs, interviews, collecte des documents et informations
Identification des opérateurs (responsables de traitement, responsables conjoints, sous-traitants)
Identification des bases juridiques des traitements
Mettre en œuvre la cartographie des traitements
Cartographie des traitements et des données
Rôle du DPO lors de la cartographie des traitements : aide lors de l’enregistrement des traitements ou seul contrôle des registres ?
Le DPO et les registres de l’art. 30 (RT et ST)
Construction d'outil (check-list) : méthodologie pour réaliser l'audit
Mettre en conformité la documentation contractuelle et d’information
Rôle respectif de la direction juridique et du DPO
Identification des réglementations sectorielles
Focus sur les transferts de données personnelles vers des pays tiers (décisions d’adéquation et garanties appropriées)
Atelier « Bonnes pratiques sur la documentation » :
Bâtir sa documentation de mise en conformité
Construire sa politique de protection des données personnelles (RT et ST, BtoC et BtoB)
Rédiger les clauses relatives à la protection des données personnelles dans les contrats
Déterminer l’opportunité d'une AIPD (ou DPIA)
Rappels sur l'AIPD (accountability, finalité, caractère obligatoire)
Critères sur l’opportunité d’une AIPD
Notion de risque sur la vie privée
Réaliser une AIPD : la méthode et les outils à la disposition du RT et du DPO
Réaliser une AIPD : conseils sur la sous-traitance et sur les mesures organisationnelles et techniques de sécurité
Mise en situation : dans plusieurs situations données, de l'opportunité ou non de réaliser une PIA
DPO et exercice des droits des personnes concernées
DPO : un interlocuteur naturel
Mise en place des procédures d’exercice des droits
L’exercice des droits en pratique
Cas pratique : demande d'accès, quel rôle et quelles diligences du DPO ?
DPO et violations de données
Procédures de détection/de notification : mise en place
Rôle du DPO en cas de violation de données
Mise en situation : réagir à une violation de données
Outils méthodologiques et logiciels pour l’exercice des fonctions de DPO
Elaboration de programmes de sensibilisation et de formation
Nécessité de s’appuyer sur des outils de gouvernance des données
Outils à disposition : CNIL et éditeurs
Outils et traçabilité des activités de traitement
Fin de la mission de DPO
Fin sur l’initiative de l’organisme ou du DPO
CNIL : comment gérer les contrôles liés au RGPD ? (1 jour)
Rappeler le renforcement des contrôles de la CNIL depuis le RGPD
Renforcement du cadre
Origine des contrôles
Typologie des contrôles
Autodiagnostic : identifier les actions préventives à mener depuis le RGPD
Lister les points d’attention lors du déroulement d’un contrôle sur place (au sein de l’entité)
Vérification de l’identité des contrôleurs habilités
Informations et droits dans le cadre d’une procédure de contrôle
Pouvoirs des agents de contrôle
Atelier « jeu de rôle et points de vigilance » :
Quelle posture adopter face à un contrôle de la CNIL ?
Quelles vérifications opérer au préalable ?
Comment accompagner les agents ?
Gérer les suites d’un contrôle au vu du RGPD
Procès-verbal du contrôle
Actions à prendre par l’entité contrôlée à la suite du contrôle
Décision de l’autorité de contrôle
Exercice de synthèse : récapituler les éléments recueillis lors du contrôle
Examiner les sanctions et les voies de recours
Typologie des sanctions
Publicité et exemples
Voies de recours
Coopération renforcée avec le RGPD entre la CNIL et ses homologues européens
Construction d'outil (check-list) : points d'attention pour répondre, préalablement à une sanction, à une mise en demeure de la CNIL
Mener un plan d’actions sur les contrôles et le RGPD
Process de gestion d’un contrôle et de sa diffusion au sein de l’entité
Désignation d’un DPO
Process de gestion des plaintes CNIL
Sensibilisation des directions opérationnelles aux dispositions du RGPD
Mise en situation : construire un plan d'actions au sein de son entreprise
Risques numériques et traitement de données personnelles : faire face aux dangers du numérique (1 jour)
Atelier fil rouge : tout au long de la formation, les participants sont mis en situation et évaluent le risque numérique sur le traitement des données personnelles en utilisant l’outil PIA de la CNIL
Evaluer le risque numérique dans le contexte du traitement des données personnelles
Identifier et modéliser les traitements et les flux de données métiers
Localiser les données à caractère personnel dans le SI et/ou dans le cloud
Recenser les mesures de sécurité existantes
Repérer les vulnérabilités pouvant impacter les biens supports
Analyser et mesurer les risques numériques
Elaborer des scénarios d'attaque convoitant les données sensibles et les données à caractère personnel
Quantifier les risques numériques en termes de probabilité d'occurrence et d'impacts induits
Sensibiliser les décideurs sur les risques et devenir force de proposition sur la stratégie à élaborer
Gérer les risques numériques
Positionner des capteurs et des sondes métiers et des techniques à même de détecter les signes avant-coureurs ou avérés d'une attaque cyber
Agir sur les risques identifiés : réduction, transfert, acceptation, annulation
Sélectionner, implémenter, tester et optimiser les mesures de sécurité à même de réduire les risques identifiés
Echafauder des stratégies à même de détecter, ralentir voire empêcher les attaques cyber
Plan d’actions : renforcer le système d’information de son entreprise en appliquant les 42 règles du guide d’hygiène de l’ANSSI
E-Coach
Votre parcours de formation se poursuit dans votre espace participant. Connectez-vous pour accéder aux ressources et faciliter la mise en œuvre de vos engagements dans votre contexte professionnel.
A qui s'adresse cette formation
Délégués à la protection des données (DPO/DPD) - Directeurs de services informatiques (DSI) - Avocats - Toute personne s'intéressant à l'économie de la data et/ou en charge de la conformité de traitements de données personnelles
Pré-requis de la formation
Aucun prérequis n'est nécessaire
Les plus
Les points forts de cette formation sont :
Approche métier sur les différents aspects du DPO et suivant les critères requis par l'autorité de contrôle (CNIL)
Présentation d'outils d'aide à la gestion du traitement des données personnelles
Parcours éligible au CPF
Moyens pédagogiques
Moyens pédagogiques
Dispositif de formation structuré autour du transfert des compétences
Acquisition des compétences opérationnelles par la pratique et l'expérimentation
Apprentissage collaboratif lors des moments synchrones
Parcours d'apprentissage en plusieurs temps pour permettre engagement, apprentissage et transfert
Formation favorisant l'engagement du participant pour un meilleur ancrage des enseignements
Evaluation de la formation
Le parcours fera l'objet d'une évaluation des compétences donnant lieu à la délivrance d'un certificat Lefebvre-Dalloz suivant les modalités ci-après : présentation d'un projet professionnel démontrant l'acquisition des compétences attendues d'un délégué à la protection des données (Durée de l'épreuve : 30 minutes de soutenance orale)
Dates et lieux
Dates et lieux des prochaines sessions
A DISTANCE
- 13 oct. au 9 nov. 2022