Formation - Les audits dans le contexte du RGPD

S’assurer de sa conformité en matière de protection de données personnelles en effectuant un audit de conformité
Proposé par
Elegia
Le principe de responsabilité (ou « accountability ») qui résulte de l’entrée en vigueur le 25 mai 2018 du RGPD impose des nouvelles obligations pour les entreprises. En effet, ce principe désigne l'obligation pour ces-dernières de mettre en œuvre un ensemble de mécanismes et de procédures internes permettant de démontrer le respect des règles relatives à la protection des données des contrôles réguliers. Sa mise en œuvre nécessite des contrôles réguliers. Un audit peut, à cette fin, être effectué à l’occasion de la désignation du DPD (ou « DPO »), en vue d’établir une feuille de route des actions de mise en conformité ou, à tout moment, afin de contrôler la conformité d’un service ou de l’entreprise. Le responsable de traitement peut également auditer ou faire auditer ses sous-traitants. Pour préparer la mise en place et la réalisation de vos audits, ELEGIA Formation propose un atelier pratique, au nombre de places restreints afin de favoriser l’échange, les 8 avril,1er juillet, 24 septembre ou 23 novembre 2021, autour d’un expert en audit en conformité RGPD qui proposera des exercices pratiques.

Objectifs et compétences visées de la formation

Identifier les différents types d'auditAnticiper les audits dans la documentation contractuelleRéaliser un audit en s'appuyant sur une méthodologie et un référentiel adaptés
Programme

Programme de cette formation

9h00 début de la journée

1. Les nouveaux principes de la protection des données et la places des audits dans le RGPD

L’accountability
La privacy by default
La privacy by design
L’obligation du registre des activités de traitement

2. La typologie des missions d’audit

Distinction entre audit et reporting (rapport sur les activités de traitement)
Selon le périmètre
L’audit de l’entreprise ou d’un établissement
L’audit d’un service (marketing, RH, métier)
L’audit des « services de la société de l'information »
Selon l’objet
L’audit initial de conformité
L’audit juridique (de la documentation contractuelle et d’information)
L’audit des mesures techniques et organisationnelles
Selon l’entreprise à auditer
L’audit du responsable de traitement
L’audit du sous-traitant
Selon l’auditeur
L’audit interne (piloté ou non par le DPO)
L’audit externe (piloté ou non par le DPO externe)
Les « audits à blanc » (par ex. simulation d’un contrôle de la CNIL)

3. Anticiper l’audit dans les contrats entre responsables de traitement et sous-traitants

Du point de vue du responsable de traitement
Du point de vue du sous-traitant

4. Les méthodologies et outils de référence

L’ancien label « audit » de la CNIL
Le référentiel ISO (série 27000)
L’outil PIA de la CNIL

5. Les référentiels

La réglementation européenne et française
Sur la protection des données
Sectorielle (par ex. santé, banque, assurance, majeurs protégés)
Les lignes directrices du CEPD (+ G 29)
Les délibérations de la CNIL
Les lignes directrices
Les packs de conformité
Les anciennes normes de référence (normes simplifiées, autorisations uniques, dispenses).

6. La préparation et la réalisation de l’audit

La détermination du périmètre
La première analyse documentaire
La réunion d’ouverture
Le plan d’audit (comprenant l’identification des personnes à interviewer et le planning)
L’audit sur place : les interviews et les constats
L’audit sur pièces : les constats
La rédaction du rapport
La restitution du rapport
Le cas échéant : les préconisations
Le cas échéant : la feuille de route déterminée en commun
Le cas échéant : le suivi avec les audits de contrôle

7. Exercices pratiques (Comment réaliser un audit RGPD en pratique ?)

La réalisation de l’audit initial de conformité du responsable de traitement
La réalisation de l’audit initial de conformité du sous-traitant
L’audit contractuel du sous-traitant à l’initiative du sous-traitant

17h30 clôture de la journée

A qui s'adresse cette formation

Dirigeants - Directeurs de services informatiques (DSI) - Responsables de la sécurité des systèmes d’information (RSSI) - Risques managers - Directeurs ou responsables juridiques - Avocats - Conseils d’entreprise - Délégués à la protection des données personnelles (DPD ou « DPO ») - Responsables conformité, qualité, projets transverses CRM - Directeurs administratifs et financiers - Responsables Marketing - DRH - Responsables RH - Toute personne s’intéressant à l’économie de la data et/ou en charge de la conformité de traitements de données personnelles.

Pré-requis de la formation

Aucun prérequis n'est nécessaire

Moyens pédagogiques
Moyens pédagogiques
Dispositif de formation structuré autour du transfert des compétencesAcquisition des compétences opérationnelles par la pratique et l'expérimentationApprentissage collaboratif lors des moments synchronesParcours d'apprentissage en plusieurs temps pour permettre engagement, apprentissage et transfertFormation favorisant l'engagement du participant pour un meilleur ancrage des enseignements
Evaluation de la formation
L'évaluation des compétences sera réalisée tout au long de la formation par le participant lui-même (auto-évaluation) et/ou le formateur selon les modalités de la formation.Evaluation de l'action de formation en ligne sur votre espace participant :A chaud, dès la fin de la formation, pour mesurer votre satisfaction et votre perception de l'évolution de vos compétences par rapport aux objectifs de la formation. Avec votre accord, votre note globale et vos verbatims seront publiés sur notre site au travers d'Avis Vérifiés, solution Certifiée NF ServiceA froid, 40 jours après la formation pour valider le transfert de vos acquis en situation de travailSuivi des présences et remise d'une attestation individuelle de formation ou d'un certificat de réalisation