Formation - Parcours Délégué à la protection des données personnelles (DPO/DPD)

Certification Lefebvre Dalloz enregistré auprès de France Compétences (RS5524)
Les données personnelles portent sur toutes les informations attachées à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise C'est pourquoi, leur utilisation est encadrée par la loi, d’autant plus lorsqu’il s’agit de données dites « sensibles ».Nombre d’entreprises se doivent d’intégrer la fonction de délégué à la protection des données personnelles pour être en conformité. C’est dans ce contexte qu'est proposé le parcours professionnel « Être Délégué à la protection des données personnelles (DPO/DPD) » à l’issue duquel il est proposé aux candidats de valoriser leurs compétences et de se présenter à l’examen de Certification du DPO réalisé par notre partenaire SGS certificateur agréé par la CNIL. Qu’est-ce que la réglementation en matière de protection des données personnelles ?Le règlement général sur la protection des données personnelles (RGPD) est entré en vigueur le 25 mai 2018. Il s’agit d’une réglementation européenne d’application directe qui pose un cadre pour protéger toutes les données personnelles au sein de l’Union européenne.. En cas de manquement à cette législation, l’entreprise ou l’organisation, en charge du traitement des données personnelles, s’expose à de lourdes sanctions. Pour prévenir le risque, de nombreuses entités font donc appel à un délégué de la protection des données personnelles (DPO). Interlocuteur privilégié de la CNIL, il veille à la bonne préservation des données sensibles.Piloter la protection des données personnelles en entreprise et Gérer les contrôles CNILParce qu’Elegia dispose d’un savoir-faire de 30 ans, elle a su évoluer avec son temps et proposer de nouvelles formations au gré des changements de la société. Ainsi, Elegia compte parmi les premiers acteurs à proposer des formations concernant le nouveau métier de délégué à la protection des données personnelles (DPO). Ces formations permettent de mieux identifier le rôle et les missions du DPO, de lui donner les moyens du pilotage et d’être en capacité de gérer un contrôle CNIL. Participant à l’évaluation des failles de sécurité dans l’environnement numérique, le DPO ainsi formé, disposera des moyens nécessaires pour être force de proposition auprès des décideurs de l’entreprise.
  • Formations éligibles au CPF

Objectifs et compétences visées de la formation

Cerner les règles du pilotage de la protection des données personnelles de l'entreprise

Monter et suivre un programme de conformité en matière de données personnelles

Évaluer les risques numériques et repérer les failles de sécurité

Gérer les contrôles de la CNIL 

Programme

E-Start

Vous vous engagez dans votre formation. Connectez-vous sur votre espace participant et complétez votre questionnaire préparatoire. Votre formateur reçoit vos objectifs de progrès.

Programme de cette formation

Règlement européen "Données personnelles" : être en conformité (1 jour)

Cerner les obligations juridiques, techniques et organisationnelles des entités concernées par le RGPD

Rappeler les objectifs et les enjeux du RGPD

Origine de la directive 95-46 et de la loi Informatique et Libertés et philosophie du RGPD

Concepts : licéité/loyauté de la collecte, limitation des finalités, minimisation/exactitude et conservation limitée des données, confidentialité, proportionnalité, responsabilité, transparence, base légale et sécurité des traitements…

Exercice pratique : identifier les données personnelles directes et indirectes

Repérer les organisations concernées

Critères d'application territoriale et personnelle

Acteurs et responsabilités : coresponsabilité des clients et prestataires

Étude de cas : la CJUE et le responsable de traitement

Identifier les obligations techniques et organisationnelles

Dresser une cartographie des traitements, préparer un plan d'actions, prioriser les chantiers

Implémenter et documenter les exigences « Privacy by Design » et les mesures de sécurité logistique et physique

Adopter une gouvernance interne, sensibiliser les équipes

Définir des procédures de conformité : gestion des demandes des droits, des violations de données et des AIDP et communiquer auprès des personnes concernées

Mise en situation : mettre en oeuvre une AIDP ?

Adopter les mesures juridiques et contractuelles

Constituer et alimenter le registre des traitements

Qualifier les protagonistes et vérifier les responsabilités

« Roadmap » de mise en conformité des contrats

Constituer les clauses et annexes du RGPD et la documentation d'accountability

Exercice pratique : qualifier les protagonistes des relations complexes et en cerner les conséquences

Définir le rôle pour le délégué à la protection des données (DPD/DPO)

Repérer les raisons de nommer un DPO

Prévenir les sanctions: amendes/CA, actions des personnes concernées, condamnation et préjudices

Fonction quasi-obligatoire dans l'entreprise

Mesurer les fonctions du DPO dans l'entreprise

Tenir le registre

Limiter les mises en cause de responsabilité

Expliquer ses missions

Partage d'expérience : le rôle du DPO

Caractériser les spécificités du traitement des données

Intégrer les nouveaux droits accordés aux individus

Revoir les mentions d'information et modalités de recueil des consentements des personnes

Cas particulier du profilage (e-Privacy) et de la prise de décision algorithmique, cookie consent (eprivacy)

Quiz : les droits des personnes

Analyser les flux transfrontaliers de données

« BCR », clauses contractuelles types

Conventions de flux complémentaires

Débat : les conséquences de l'annulation du Privacy Shield

Cerner les impact sur les formalités administratives et les rapports avec la CNIL

« Guichet unique » au sein de l'UE, suppression des formalités et autorisations

Sort du droit dérivé, rôle du CEPD

Demandes à la CNIL sur l'AIDP, notification des failles de sécurité, multiplication des contrôles

DPO (DPD) : désignation, rôle et missions du délégué à la protection des données personnelles (1 jour)

Fondement : accountability et fin des déclarations préalables

Accountability : philosophie de la conformité dynamique et responsabilisation des acteurs (responsable du traitement et sous-traitant)

Conséquence immédiate : fin des déclarations préalables à la CNIL

Principaux outils de la conformité dynamique : analyse d'impact à la protection des données (AIPD), DPO

Désignation d’un DPO interne, externe ou mutualisé

Cas dans lesquels la désignation du DPO est obligatoire (UE et États membres)

Conditions et modalités de la désignation (qualifications et compétences requises)

Choix entre la désignation d’un DPO interne, externe ou mutualisé, désignation dans un groupe

Mise en situation : désignation du DPO auprès de la CNIL et en interne

Statut et responsabilités des DPO

Statut et responsabilités du DPO interne/du DPO externe ou mutualisé

Étude de cas : mise en cause de l'entreprise et violation de données, quelle responsabilité du DPO ?

Rôle du DPO

Pilotage de la mise en conformité : DPO chef d’orchestre de la mise en conformité, DPO et comité de pilotage

Conseil de l’organisme afin qu’il se maintienne en conformité/bilan annuel

Atelier « Acteur clé » :

Positionnement du DPO par rapport à la direction de l'entreprise, indépendance et/ou lien hiérarchique ?

Différences entre un DPO désigné auprès de la CNIL et un référent RGPD non désigné auprès de la CNIL

DPO du RT et du ST

Identification du responsable du traitement (RT), du responsable conjoint et du sous-traitant (ST)

DPO du RT/DPO, du ST

Missions du DPO

Information et conseil du RT ou du ST

Contrôle du respect du RGPD et des autres dispositions en matière de protection des données

Conseil sur l’analyse d’impact/coopération et point de contact avec l’autorité de contrôle

Identification, évaluation et préconisations avec le RSSI des mesures organisationnelles et techniques de sécurité

Point de contact des personnes concernées pour l’exercice des droits

Sensibilisation et formation, communication interne et externe (missions complémentaires)

Quiz interactif : les missions du DPO

Cadre du pilotage : moyens mis à la disposition du DPO

Participation à toutes les questions de protection des données

Ressources pour exercer ses missions/accès aux données à caractère personnel, formation continue

Début de mission : l'audit de maturité de l'organisme

DPO : piloter la protection des données personnelles de l'entreprise (1 jour)

Auditer la protection des données

Méthodologie, identification des interlocuteurs, interviews, collecte des documents et informations

Identification des opérateurs (responsables de traitement, responsables conjoints, sous-traitants)

Identification des bases juridiques des traitements

Mettre en œuvre la cartographie des traitements

Cartographie des traitements et des données

Rôle du DPO lors de la cartographie des traitements : aide lors de l’enregistrement des traitements ou seul contrôle des registres ?

Le DPO et les registres de l’art. 30 (RT et ST)

Construction d'outil (check-list) : méthodologie pour réaliser l'audit

Mettre en conformité la documentation contractuelle et d’information

Rôle respectif de la direction juridique et du DPO

Identification des réglementations sectorielles

Focus sur les transferts de données personnelles vers des pays tiers (décisions d’adéquation et garanties appropriées)

Atelier « Bonnes pratiques sur la documentation » :

Bâtir sa documentation de mise en conformité

Construire sa politique de protection des données personnelles (RT et ST, BtoC et BtoB)

Rédiger les clauses relatives à la protection des données person­nelles dans les contrats

Déterminer l’opportunité d'une AIPD (ou DPIA)

Rappels sur l'AIPD (accountability, finalité, caractère obligatoire)

Critères sur l’opportunité d’une AIPD

Notion de risque sur la vie privée

Réaliser une AIPD : la méthode et les outils à la disposition du RT et du DPO

Réaliser une AIPD : conseils sur la sous-traitance et sur les mesures organisationnelles et techniques de sécurité

Mise en situation : dans plusieurs situations données, de l'opportunité ou non de réaliser une PIA

DPO et exercice des droits des personnes concernées

DPO : un interlocuteur naturel

Mise en place des procédures d’exercice des droits

L’exercice des droits en pratique

Cas pratique : demande d'accès, quel rôle et quelles diligences du DPO ?

DPO et violations de données

Procédures de détection/de notification : mise en place

Rôle du DPO en cas de violation de données

Mise en situation : réagir à une violation de données

Outils méthodologiques et logiciels pour l’exercice des fonctions de DPO

Elaboration de programmes de sensibilisation et de formation

Nécessité de s’appuyer sur des outils de gouvernance des données

Outils à disposition : CNIL et éditeurs

Outils et traçabilité des activités de traitement

Fin de la mission de DPO

Fin sur l’initiative de l’organisme ou du DPO

CNIL : comment gérer les contrôles liés au RGPD ? (1 jour)

Rappeler le renforcement des contrôles de la CNIL depuis le RGPD

Renforcement du cadre

Origine des contrôles

Typologie des contrôles

Autodiagnostic : identifier les actions préventives à mener depuis le RGPD

Lister les points d’attention lors du déroulement d’un contrôle sur place (au sein de l’entité)

Vérification de l’identité des contrôleurs habilités

Informations et droits dans le cadre d’une procédure de contrôle

Pouvoirs des agents de contrôle

Atelier « jeu de rôle et points de vigilance » :

Quelle posture adopter face à un contrôle de la CNIL ?

Quelles vérifications opérer au préalable ?

Comment accompagner les agents ?

Gérer les suites d’un contrôle au vu du RGPD

Procès-verbal du contrôle

Actions à prendre par l’entité contrôlée à la suite du contrôle

Décision de l’autorité de contrôle

Exercice de synthèse : récapituler les éléments recueillis lors du contrôle

Examiner les sanctions et les voies de recours

Typologie des sanctions

Publicité et exemples

Voies de recours

Coopération renforcée avec le RGPD entre la CNIL et ses homologues européens

Construction d'outil (check-list) : points d'attention pour répondre, préalablement à une sanction, à une mise en demeure de la CNIL

Mener un plan d’actions sur les contrôles et le RGPD

Process de gestion d’un contrôle et de sa diffusion au sein de l’entité

Désignation d’un DPO

Process de gestion des plaintes CNIL

Sensibilisation des directions opérationnelles aux dispositions du RGPD

Mise en situation : construire un plan d'actions au sein de son entreprise

Risques numériques et traitement de données personnelles : faire face aux dangers du numérique (1 jour)

Atelier fil rouge : tout au long de la formation, les participants sont mis en situation et évaluent le risque numérique sur le traitement des données personnelles en utilisant l’outil PIA de la CNIL

Evaluer le risque numérique dans le contexte du traitement des données personnelles

Identifier et modéliser les traitements et les flux de données métiers

Localiser les données à caractère personnel dans le SI et/ou dans le cloud

Recenser les mesures de sécurité existantes

Repérer les vulnérabilités pouvant impacter les biens supports

Analyser et mesurer les risques numériques

Elaborer des scénarios d'attaque convoitant les données sensibles et les données à caractère personnel

Quantifier les risques numériques en termes de probabilité d'occurrence et d'impacts induits

Sensibiliser les décideurs sur les risques et devenir force de proposition sur la stratégie à élaborer

Gérer les risques numériques

Positionner des capteurs et des sondes métiers et des techniques à même de détecter les signes avant-coureurs ou avérés d'une attaque cyber

Agir sur les risques identifiés : réduction, transfert, acceptation, annulation

Sélectionner, implémenter, tester et optimiser les mesures de sécurité à même de réduire les risques identifiés

Echafauder des stratégies à même de détecter, ralentir voire empêcher les attaques cyber

Plan d’actions : renforcer le système d’information de son entreprise en appliquant les 42 règles du guide d’hygiène de l’ANSSI

E-Coach

Votre parcours de formation se poursuit dans votre espace participant. Connectez-vous pour accéder aux ressources et faciliter la mise en œuvre de vos engagements dans votre contexte professionnel.

A qui s'adresse cette formation

Délégués à la protection des données (DPO/DPD) - Directeurs de services informatiques (DSI) - Avocats - Toute personne s'intéressant à l'économie de la data et/ou en charge de la conformité de traitements de données personnelles

Pré-requis de la formation

Aucun prérequis n'est nécessaire

Les plus
Les points forts de cette formation sont :

Approche métier sur les différents aspects du DPO et suivant les critères requis par l'autorité de contrôle (CNIL)

Présentation d'outils d'aide à la gestion du traitement des données personnelles

Parcours éligible au CPF

Moyens pédagogiques
Moyens pédagogiques

Dispositif de formation structuré autour du transfert des compétences

Acquisition des compétences opérationnelles par la pratique et l'expérimentation

Apprentissage collaboratif lors des moments synchrones

Parcours d'apprentissage en plusieurs temps pour permettre engagement, apprentissage et transfert

Formation favorisant l'engagement du participant pour un meilleur ancrage des enseignements

Evaluation de la formation
Le parcours fera l'objet d'une évaluation des compétences donnant lieu à la délivrance d'un certificat Lefebvre-Dalloz suivant les modalités ci-après : présentation d'un projet professionnel démontrant l'acquisition des compétences attendues d'un délégué à la protection des données (Durée de l'épreuve : 30 minutes de soutenance orale)
Dates et lieux
Dates et lieux des prochaines sessions
A DISTANCE
  • 13 oct. au 9 nov. 2022