Le principe de responsabilité (ou « accountability ») qui résulte de l’entrée en vigueur du RGPD impose des obligations renforcées pour les entreprises. En effet, ce principe désigne l'obligation pour ces dernières de mettre en œuvre un ensemble de mécanismes et de procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Sa mise en œuvre nécessite ainsi des contrôles réguliers. Un audit peut, à cette fin, être effectué à l’occasion de la désignation du DPD (ou « DPO »), en vue d’établir une feuille de route des actions de mise en conformité ou, à tout moment, afin de contrôler la conformité d’un service ou de l’entreprise (notamment par le responsable de traitement à l'égard de ses sous-traitants).
Objectifs pédagogiques
Programme de la formation
Engagement
Intégrer les principes de la protection des données pour la mise en oeuvre des audits
AccountabilityPrivacy by defaultPrivacy by designObligation du registre des activités de traitementDéfinir l'audit
NotionDistinction de l'audit et du reportingIdentifier le périmètre
Audit de l'entreprise ou d'un établissementAudit d'un service (marketing, RH, métier)Audit des « services de la société de l'information »Déterminer l'objet
Audit initial de conformitéAudit juridique (de la documentation contractuelle et d'information)Audit des mesures techniques et organisationnellesAudit à blancVérifier le type d'entreprise à auditer
Audit du responsable de traitementAudit du sous-traitantLister les catégories d'auditeurs
Audit interne (piloté ou non par le DPO)Audit externe (piloté ou non par le DPO externe)Anticiper l’audit dans les contrats entre responsables de traitement et sous-traitants
Du point de vue du responsable de traitementDu point de vue du sous-traitantSe repérer dans la méthodologie et les outils de référence
Ancien label « audit » de la CNILRéférentiel ISO (série 27000)Outil PIA de la CNILIdentifier les référentiels
Réglementation européenne et française : sur la protection des données et sectorielle (par ex. : santé, banque, assurance, majeurs protégés)Lignes directrices du CEPD (+ G 29)Délibérations de la CNIL : lignes directrises, Packs de conformité, anciennes normes de référence (normes simplifiées, autorisations uniques, dispenses)Débuter l'audit
Détermination du périmètrePremière analyse documentaireRéunion d’ouverturePlan d’audit (dont identification des personnes à interviewer et planning)Audit sur place : interviews et constatsAudit sur pièces : constatsFinaliser l'audit
Rédaction du rapportRestitution du rapportCas échéant : préconisationsCas échéant : feuille de route à déterminer en communCas échéant : suivi des audits de contrôleTransfert
À qui s’adresse cette formation ?
Délégués à la protection des données (DPO/DPD) - Directeurs de services informatiques (DSI) - Avocats - Toute personne s'intéressant à l'économie de la data et/ou en charge de la conformité de traitements de données personnelles
Pré-requis
Maîtriser les règles fondamentales issues du RGPD ou avoir suivi la formation :
Moyens pédagogiques
Satisfaction et Evaluation
Parmi nos formateurs
Financement de la formation
Vous êtes salarié(e) d’entreprise ? Vous pouvez vous faire financer votre formation par le plan de développement des compétences de votre entreprise (ex- plan de formation) :
Le plan de développement des compétences, c’est l’ensemble des actions de formation établi à l’initiative de l’employeur dans le cadre de la politique de ressources humaines de l’entreprise. Il est annuel et s’élabore généralement en fin d’année. D’après la loi du 5 septembre 2018 « pour la liberté de choisir son avenir professionnel », l’action de formation est désormais définie comme « un parcours pédagogique permettant d'atteindre un objectif professionnel ». De nouvelles actions de formation font ainsi partie de cette définition comme : le tutorat, le coaching, l’AFEST, le MOOC, le mentoring…
Tous les salariés de l’entreprise peuvent être concernés par le plan de développement des compétences, quelle que soit la nature, la durée de leur contrat ou leur ancienneté.
L’OPCO gère, généralement, les dépenses liées aux coûts pédagogiques, rémunérations et allocations formation, transport, repas et hébergement. Suite à la réforme de la formation 2018, les missions des OPCO vont être redéfinies d’ici 2021.
N’hésitez pas à vous rapprocher de votre service RH/ formation pour plus d’informations sur les prises en charge possibles.
Si vous ne connaissez pas votre OPCO, vous pouvez vous rendre sur le site du ministère du travail en suivant ce lien.