Formation Audits dans le contexte de la protection des données personnelles

Effectuer un audit de conformité en matière de protection de données personnelles
Le principe de responsabilité (ou « accountability ») qui résulte de l’entrée en vigueur du RGPD impose des nouvelles obligations pour les entreprises. En effet, ce principe désigne l'obligation pour ces dernières de mettre en œuvre un ensemble de mécanismes et de procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Sa mise en œuvre nécessite ainsi des contrôles réguliers. Un audit peut, à cette fin, être effectué à l’occasion de la désignation du DPD (ou « DPO »), en vue d’établir une feuille de route des actions de mise en conformité ou, à tout moment, afin de contrôler la conformité d’un service ou de l’entreprise (notamment par le responsable de traitement à l'égard de ses sous-traitants).

Objectifs et compétences visées de la formation

Examiner le contexte des audits

Distinguer la typologie des missions d'audit

Préparer l'audit

Réaliser l'audit

Programme

E-Start

Vous vous engagez dans votre formation. Connectez-vous sur votre espace participant et complétez votre questionnaire préparatoire. Votre formateur reçoit vos objectifs de progrès.

Programme de cette formation

Examiner le contexte des audits

Intégrer les principes de la protection des données pour la mise en oeuvre audits

Accountability

Privacy by default

Privacy by design

L’obligation du registre des activités de traitement

Quiz : le contexte de l'environnement normatif de la protection des données personnelles depuis le RGPD

Définir l'audit

Notion

Distinguer audit et reporting

Partage d'expériences : particularisme de l'audit

Distinguer la typologie des missions d’audit

Identifier le périmètre

Audit de l'entreprise ou d'un établissement

Audit d'un service (marketing, RH, métier)

Audit des « services de la société de l'information »

Quiz : définir le périmètre

Déterminer l'objet

Audit initial de conformité

Audit juridique (de la documentation contractuelle et d'information)

Audit des mesures techniques et organisationnelles

Audit à blanc

Quiz : définir l'ojet

Vérifier le type d'entreprise à auditer

Audit du responsable de traitement

Audit du sous-traitant

Partage d'expériences : quelles recommandations suivant le type d'entreprise ?

Lister les catégories d'auditeur

Audit interne (piloté ou non par le DPO)

Audit externe (piloté ou non par le DPO externe)

Partage d'expériences : quelles recommandations selon l'auditeur ?

Préparer l'audit

Anticiper l’audit dans les contrats entre responsables de traitement et sous-traitants

Du point de vue du responsable de traitement

Du point de vue du sous-traitant

Cas pratique : identifier les acteurs

Se repérer dans la méthodologie et les outils de référence

Ancien label « audit » de la CNIL

Référentiel ISO (série 27000)

Outil PIA de la CNIL

Mise en situation : adopter une méthodologie

Identifier les référentiels

La réglementation européenne et française

sur la protection des données

sectorielle (par ex. santé, banque, assurance, majeurs protégés)

Les lignes directrices du CEPD (+ G 29)

Les délibérations de la CNIL

Lignes directrices

Packs de conformité

Anciennes normes de référence (normes simplifiées, autorisations uniques, dispenses)

Quiz : quel référentiel ?

Réaliser l'audit

Débuter l'audit

Détermination du périmètre

Première analyse documentaire

Réunion d’ouverture

Plan d’audit (comprenant l’identification des personnes à interviewer et le planning)

Audit sur place : les interviews et les constats

Audit sur pièces : les constats

Jeu de rôle : se positionner

Finaliser l'audit

Rédaction du rapport

Restitution du rapport

Cas échéant : les préconisations

Cas échéant : la feuille de route déterminée en commun

Cas échéant : le suivi avec les audits de contrôle

Atelier pratique "Comment réaliser un audit RGPD en pratique" ? :

réalisation de l'audit initial de conformité du responsable de traitement

réalisation de l'audit initial de confromité du sous-traitant

audit contractuel du sous-traitant à l'inititative du sous-traitant

E-Coach

Votre parcours de formation se poursuit dans votre espace participant. Connectez-vous pour accéder aux ressources et faciliter la mise en œuvre de vos engagements dans votre contexte professionnel.
Formations complémentaires
Vous pouvez intégrer cette formation dans un itinéraire pédagogique complet :

A qui s'adresse cette formation

Délégués à la protection des données (DPO/DPD) - Directeurs de services informatiques (DSI) - Avocats - Toute personne s'intéressant à l'économie de la data et/ou en charge de la conformité de traitements de données personnelles

Pré-requis de la formation

Maîtriser les règles fondamentales issues du RGPD ou avoir suivi la formation :

Intervenants
Vos principaux intervenants

Des praticiens experts dans leur spécialité et formateurs confirmés :

  • Pascal Alix

    Avocat au barreau de Paris et Délégué à la Protection des Données personnelles externe, membre de l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) et chargé d'enseignement en droit des données à caractère personnel à l'ENSAE Paris Tech.

  • Hubert De Segonzac

    Avocat au barreau de Paris et Délégué à la Protection des Données personnelles externe, membre de l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP)

Moyens pédagogiques
Moyens pédagogiques

Dispositif de formation structuré autour du transfert des compétences

Acquisition des compétences opérationnelles par la pratique et l'expérimentation

Apprentissage collaboratif lors des moments synchrones

Parcours d'apprentissage en plusieurs temps pour permettre engagement, apprentissage et transfert

Formation favorisant l'engagement du participant pour un meilleur ancrage des enseignements

Evaluation de la formation

L'évaluation des compétences sera réalisée tout au long de la formation par le participant lui-même (auto-évaluation) et/ou le formateur selon les modalités de la formation.

Evaluation de l'action de formation en ligne sur votre espace participant :

A chaud, dès la fin de la formation, pour mesurer votre satisfaction et votre perception de l'évolution de vos compétences par rapport aux objectifs de la formation. Avec votre accord, votre note globale et vos verbatims seront publiés sur notre site au travers d'Avis Vérifiés, solution Certifiée NF Service

A froid, 60 jours après la formation pour valider le transfert de vos acquis en situation de travail

Suivi des présences et remise d'une attestation individuelle de formation ou d'un certificat de réalisation

Dates et lieux
Dates et lieux des prochaines sessions
PARIS
A DISTANCE