Ils parlent de nous
Références
Contenu
- 1.1 Les enjeux de la protection des données
- 1.2.1. Définitions
- 1.2.2. Champ d'application du RGPD
- 1.2.3. Les 8 principes généraux du RGPD
- 1.2.4.1 Droit à l'information
- 1.2.4.2 Droits d'accès, rectification et effacement
- 1.2.4.3 Droit d'opposition et limitation
- 1.2.4.4 Profilage et prise de décision automatisée
- 1.2.4.5 Droit à la portabilité et post-mortem
- 1.2.4.6 Droit d'accès indirect
- 1.3.1 40 ans de protection de la vie privée
- 1.3.2 - Europe - Les origines du RGPD
- 1.4 -Positionnement du RGPD dans le cadre légal
- 1.5.1 - CNIL organisation et pouvoirs
- 1.5.2 - Focus sur les contrôles de la CNIL
- 1.5.3 - Les sanctions
- 1.5.4.1 - Les recours juridictionnel
- 1.5.4.2 - Le droit à réparation
- 1.5.5 - Le G29 et L'EDPB
- 1.5.6 - Les tribunaux nationaux et la CJUE
- 2.1.3 - Les procédures écrites
- 2.1.7 - Procédure de conservation
- 2.1.8.1 - Anonymisation et purge
- 2.1.8.2 - Formation des employés et audits
- 2.1.9 - Code de conduite
- 2.1.10 - Certification et politique protection données
- 2.1.11 – Encadrement des relations avec les salariés – Partie 1
- 2.1.12 – Encadrement des relations avec les salariés – Partie 2
- 2.1.14 - Mise en conformité sites internet
- Bonus : Charte et mentions RGPD - Site web et formulaire
- 2.2.2.1 - Le consentement - Partie 1
- 2.2.2.2 - Le consentement - Partie 2
- 2.2.2.3 - Le consentement - Partie 3
- 2.2.2.4 – Le consentement – Partie 4
- 2.2.3.1 - L'exécution d'un contrat
- 2.2.4.1 - Exécution légale
- 2.2.5.1 - Sauvegarde des intérêts vitaux
- 2.2.5.2 - Mission d'intérêt public
- 2.2.6.1 - Intérêt légitime
- 2.3.2.1 - Info et recueil du consentement
- 2.3.3.1 - Contractualisation - Partie 1
- 2.3.3.2 - Contractualisation - Partie 2
- 2.3.3.3 - Contractualisation - Partie 3
- 2.3.3.3.2 – Etude de cas – Négociation DPA – Data Processing Agreement
- Bonus : Clauses contractuelles types pour la sous-traitance
- Bonus : Procédure de contractualisation avec des tiers (Positionnement)
- 2.3.3.4 – Mentions légale obligatoires – Partie 1
- 2.3.3.5 – Mentions légales obligatoires – Partie 2
- 2.3.5.1 - Transferts - Partie 1
- 2.3.5.2 - Transferts - Partie 2
- 2.3.5.3 - Transferts - Partie 3
- 2.3.5.4 - Transferts - Partie 4
- 2.3.5.5 - Transferts - Partie 5
- Bonus : Clauses contractuelles types pour les transferts de données
- 2.4.1.1 - Transparence - Partie 1
- 2.4.1.2 - Transparence - Partie 2
- 2.4.2.1 - Droit d'accès
- 2.4.2.2 - Droit de rectification
- 2.4.2.3 - Droit à l'oubli
- 2.4.3.1 - Limitation
- 2.4.3.2 - Opposition
- 2.4.4.1 - Droit à la portabilité
- 2.4.4.2 - Droit post mortem et limitations
- 2.5.1 - Mettre en œuvre les droits des personnes
- 3.1 Sensibiliser les utilisateurs
- Bonus : Charte informatique et confidentialité
- 3.2 Classer l'information
- 3.3 Authentifier les utilisateurs
- 3.4 Gérer les habilitations
- Bonus : Guide pratique - Gestion des habilitations
- 3.5 Tracer les accès
- Bonus : Guide des recommandations pour la journalisation
- 3.6 Sécuriser les postes de travail
- 3.7 Mobilité et télétravail
- Bonus : Guide Télétravail et Mobilité
- 3.8 - Protéger le réseau interne
- Bonus : Guide sécurité réseau, internet et wifi
- 3.9 - Sécuriser Les Serveurs
- 3.10 - Sécuriser les sites web
- 3.11 - Etude de cas - Vulnérabilités web
- 3.12 - Sauvegarde et continuité d'activité
- Bonus : Guide Plan de Continuité d'Activité
- 3.14 - Hachage mots de passe et intégrité
- 3.15 - Anonymisation
- Lignes directrices : Techniques d'anonymisation
- 3.16 - Pseudonymisation, Chiffrement et signature
- Bonus : Guide des techniques de pseudonymisation
- Bonus : Guides des bonnes pratiques de sécurité + checklist
- 4.1.1 La responsabilité de la structure
- 4.1.2 La responsabilité du DPO
- 4.2.1 – Accountability -Registre des traitements – Partie 1
- 4.2.2 – Registre des traitements – Partie 2
- 4.2.2.1 – Pourquoi rédiger un registre est fondamental
- 4.2.3 – Registre du sous-traitant
- 4.2.4 – Etude de cas - Registre des traitements
- Bonus : Modèle de registre des traitements
- 4.2.5.1 - Procédure de violation de données personnelles - Partie 1
- 4.2.5.2 - Procédure de violation de données personnelles - Partie 2
- 4.2.5.3 - Procédure de violation de données personnelles - Partie 3
- 4.2.5.4 - Procédure de violation de données personnelles - Partie 4
- 4.2.6.1 – Pourquoi rédiger et tenir à jour un registre des violations
- 4.2.7.1 – Privacy By Design / By Default
- 4.2.7.2 – Les enjeux de la Privacy by design
- Bonus : Privacy by Design - Mesures essentielles et auto-quizz
- 4.2.8.1 – PIA – Focus sur l’Analyse d’Impact
- 4.2.8.2 – Réalisation d’un PIA – Outil CNIL
- 4.2.9 - PIA – Documents
- 4.2.9.1 – PIA – Exercice pratique
- 4.2.10 - PIA – Etude de cas - Partie 1
- 4.2.11 - PIA – Etude de cas - Partie 2
- 4.2.13 - PIA – Etude de cas - Partie 3
- 5.1.1 - Qu'est-ce qu'un DPO ?
- 5.1.2 – Désignation obligatoire d’un DPO
- 5.2.1 - Désignation volontaire d'un DPO
- 5.2.2 – Absence de désignation d’un DPO
- 5.3.1 - Missions
- 5.3.2 - Fonctions
- 5.3.3 - Profil
- 5.3.4 – Nomination
- 5.3.5 - Révocation
- 5.3.6 - Licenciement
- 5.4.1 - Positionnement
- 5.4.2 - Charte de Déontologie
- Test DPO – Partie 5 – 1 – Le DPO
Formateurs
- Alexandre Diehl – Cabinet d’Avocats Lawint – Professeur à l’Université Paris 1 Panthéon Sorbonne
- Aziz Ben Ammar – Cabinet d’Avocats Lawint – Professeur à l’INSEEC
- Jean-Baptiste ARTIGNAN – DPO certifié AFNOR & CNIL – Auditeur cybersécurité certifié ISO 27001 – Associé chez BlueSecure – Professeur à l’ESIEE IT
Thématique
L’Union européenne a officialisé en 2016 un nouveau règlement sur la protection des données à caractère personnel, qui est applicable depuis le 25 mai 2018 sur tout le territoire européen.
Ce règlement introduit de nouveaux droits pour les citoyens européens en matière de protection de la vie privée et donc de nouvelles obligations pour les organisations et entreprises. Il implique une évolution profonde des pratiques liées à la collecte, la conservation et l’exploitation des données à caractère personnel.
Ce règlement a créé un nouveau rôle clé, le DPO (Data Protection Officer), qui est au cœur du dispositif de « Responsabilité » (principe d’accountabiliy du RGPD). Le DPO est :
• En charge de mettre en œuvre et de faciliter la mise en conformité au RGPD de la structure ;
• Le conseiller du responsable de traitement ou du sous-traitant ;
• Un intermédiaire entre les parties prenantes, en interne et externe ; et
• Le correspondant de l’Autorité de Contrôle (en France, la CNIL).
Dans certains cas, la nomination d’un délégué à la protection des données est obligatoire (organismes publics, traitements systématiques à grande échelle, traitement de données sensibles, etc.), quel que soit la taille de la structure, et aussi bien pour les responsables de traitement que les sous-traitants.
Cependant, en dehors de ces situations, il est tout de même fortement recommandé par le Groupe de travail de l’article 29 du RGPD (dit « G29 ») – désormais Comité européen de la protection des données (dit « EDPB ») – de confier à un référent la mise en œuvre de la conformité au RGPD de l’organisation afin de prévenir les risques liées aux données personnelles. En effet, en cas de non-respect du RGPD, la CNIL peut prononcer une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial (le montant le plus élevé étant retenu).
La conformité d’une entité au RGPD constitue donc un enjeu majeur, c’est pourquoi les entreprises cherchent à recruter des DPO, et l’offre d’emploi a sans nul doute vocation à croitre de façon exponentielle dans les années à venir.
Objectifs
A l’issue de cette formation DPO, vous aurez acquis une double compétence Juridique et Sécurité des données personnelles, vous serez à même de :
• Maîtriser les enjeux et les principes clés de la réglementation relative aux données personnelles ;
• Appliquer les bonnes pratiques au sein d’une organisation pour garantir le respect du cadre légal au quotidien ;
• Appréhender le rôle, les missions et les responsabilités du DPO ;
• Réaliser un état des lieux de la conformité au RGPD d’une structure ;
• Mettre en œuvre un projet de mise en conformité des traitements ;
• Tenir un registre des activités de traitement ;
• Négocier un cadre contractuel adapté avec les différents acteurs ;
• Mettre en œuvre les droits de personnes concernées par les traitements ;
• Gérer les transferts de données en dehors de l’Union européenne ;
• Participer à une analyse de risques ;
• Identifier les mesures de sécurité minimales et appropriées aux risques propres à votre structure ;
• Maîtriser les mécanismes techniques de pseudonymisation, d’anonymisation et de chiffrement de données ;
• Réaliser une analyse d’impact sur la protection des données ;
• Gérer un incident de sécurité lié aux données personnelles ainsi que l’éventuelle procédure de notification qui s’en suit ;
• Préparer l’examen de certification DPO.
Public concerné
Toute personne au sein d’une organisation (entreprise, association, groupement d’intérêt…) amené à prendre le rôle de DPO ou souhaitant devenir référent RGPD.
Prérequis
La formation est construite de manière à être accessible à tous, sans connaissances préalables dans le domaine juridique ou informatique.
Dans l’optique d’une préparation à la certification DPO reconnue par la CNIL, les prérequis sont les suivants :
– justifier d’une expérience professionnelle d’au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du DPO s’agissant de la protection des données personnelles;
ou
– justifier d’une expérience professionnelle d’au moins 2 ans ainsi que d’une formation d’au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation.
Matériel de formation
Formation 100% en ligne à suivre à son rythme.
35 heures de formation alternant vidéos, cas pratiques, tests de validation des acquis par chapitre, documents annexes et liens utiles.
- Etude de cas : Négociation contractuelle DPA – Data Processing Agreement
- Etude de cas : Réalisation d’un registre des traitements
- Etude de cas : Sécurité SI – Vulnérabilités des sites web
- Exercice pratique + corrigé : Réalisation d’une Analyse d’Impact PIA
Programme
Basé sur le contenu de la certification CNIL. Réalisé en collaboration avec le cabinet d’avocats Lawint et le cabinet de conseil en cybersécurité BlueSecure.
Partie 1- Comprendre le Règlement
• Les enjeux de la protection des données
• Définitions et champ d’application
• Les fondamentaux et principes du RGPD : Droits des personnes et principes clés
• 40 ans de construction de la protection de la vie privée
• Le positionnement du RGPD dans le cadre légal
• L’Autorité de Contrôle : la CNIL en France
• Sanctions et recours
• Les autres acteurs du RGPD : G29, EDPB, CJUE…
Partie 2 – Appliquer le Règlement
• Les obligations générales des organisations
• Les procédures écrites
• La conservation, l’aonymisation et la purge des données
• Formation des employés et audits
• Code de conduite
• Certification et politique de protection des données
• L’encadrement juridique des relations avec les salariés
• La mise en conformité des sites internet
• La détermination de la validité d’un traitement : focus sur toutes les bases juridiques
• L’information des personnes et le recueil du consentement
• La contractualisation
Étude de cas : Négociation contractuelle d’un Data Processing Agreement (DPA)
• Les mentions légales obligatoires
• Les transferts internationaux
• L’obligation de transparence
• Déterminer les droits des personnes : Accès, rectification, oubli, limitation, opposition, portabilité, post-mortem.
• Mettre en œuvre les droits des personnes
Partie 3 – La Sécurité des données
• Les fondamentaux de la sécurité des données
• Introduction à l’analyse de risques
• Focus sur les 12 mesures élémentaires de sécurité de l’information
Étude de cas : La sécurité des sites web
• Disponibilité, intégrité et résilience des données
• Pseudonymisation, anonymisation, signature et chiffrement des données personnelles
• Audits en matière de protection des données personnelles
Partie 4 – Responsabilité
• La responsabilité de la structure
• La responsabilité du DPO
• Tenir un registre des traitements ou un registre sous-traitant
Étude de cas : Registre de traitement d’un hôtel
• Gestion et notifications des violations de données à l’autorité de contrôle et aux personnes concernées
• Privacy by design et privacy by default
• Focus sur l’analyse d’impact : Principes et réalisation
Cas pratique : Réalisation de l’analyse d’impact d’une société de crédit en ligne
Partie 5 – Le Délégué à la Protection des Données (DPO)
• Qu’est-ce qu’un DPO ?
• Désignation obligatoire d’un DPO
• Désignation volontaire d’un DPO
• Absence de désignation
• Missions et fonctions
• Profil du DPO
• Nomination et révocation du DPO
• Le positionnement du DPO
• La déontologie du DPO
Partie 6 – DPO Au quotidien
• Le marché du DPO
• Prise de poste du DPO
• Réaliser un état des lieux de la conformité de l’organisme
• Plan de mise en conformité et gestion du changement
• Piloter la conformité au quotidien
• Documenter la conformité
• Les aspects contractuels pratiques
• Le rapport annuel du DPO et relations avec la direction
• Comment gérer un contrôle CNIL ?
• Le départ du DPO
Partie 7 – La certification DPO
• Présentation du processus de certification de personnes
• Notions importantes pour la certification
• Préparation à la certification
Examen blanc de certification DPO (100 questions)
Bonus inclus dans la formation
• Sélection des lignes directrices G29/EDPB incontournables ;
• Modèle de registre des traitements ;
• Outil analyse d’impact PIA et exemple de d’analyse d’impact complétée ;
• Clauses contractuelles types pour les transferts de données ;
• Clauses contractuelles types pour la sous-traitance ;
• Procédure de contractualisation avec détermination du positionnement du partenaire ;
• Modèle de charte et mentions RGPD pour un site web ou un formulaire ;
• Modèle de charte informatique et d’engagement de confidentialité;
• Recommandations et Auto-questionnaire relatif à la Privacy by design ;
• Guide des bonnes pratiques et des mesures de sécurité à adopter ;
• Check-list de diagnostic des pratiques de sécurité informatique ;
• Guide pratique relatif à la gestion des habilitations ;
• Guide des recommandations pour la journalisation ;
• Guide sécurité du télétravail et de la mobilité ;
• Guide sécurité du réseau internet et du Wi-Fi ;
• Guide pour réaliser un Plan de Continuité d’Activité ;
• Guide des meilleures pratiques de Pseudonymisation.