Contenu
- 1.1 Les enjeux de la protection des données
- 1.2.1. Définitions
- 1.2.2. Champ d'application du RGPD
- 1.2.3. Les 8 principes généraux du RGPD
- 1.2.4.1 Droit à l'information
- 1.2.4.2 Droits d'accès, rectification et effacement
- 1.2.4.3 Droit d'opposition et limitation
- 1.2.4.4 Profilage et prise de décision automatisée
- 1.2.4.5 Droit à la portabilité et post-mortem
- 1.2.4.6 Droit d'accès indirect
- 1.3.1 40 ans de protection de la vie privée
- 1.3.2 - Europe - Les origines du RGPD
- 1.4 -Positionnement du RGPD dans le cadre légal
- 1.5.1 - CNIL organisation et pouvoirs
- 1.5.2 - Focus sur les contrôles de la CNIL
- 1.5.3 - Les sanctions
- 1.5.4.1 - Les recours juridictionnel
- 1.5.4.2 - Le droit à réparation
- 1.5.5 - Le G29 et L'EDPB
- 1.5.6 - Les tribunaux nationaux et la CJUE
- 2.1.1 - Registre des traitements - Partie 1
- 2.1.2 - Registre des traitements - Partie 2
- 2.1.3 - Les procédures écrites
- 2.1.4.1 - Procédure violation de données - Partie 1
- 2.1.4.2 - Procédure violation de données - Partie 2
- 2.1.6 - Faille de sécurité
- 2.1.7 - Procédure de conservation
- 2.1.8.1 - Anonymisation et purge
- 2.1.8.2 - Formation des employés et audits
- 2.1.9 - Code de conduite
- 2.1.10 - Certification et politique protection données
- 2.1.11 - Encadrement relation aux salariés - Partie 1
- 2.1.12 - Encadrement relatif aux salariés - Partie 2
- 2.1.13 - Privacy By Design Default
- 2.1.14 - Mise en conformité sites internet
- 2.2.2.1 - Le consentement - Partie 1
- 2.2.2.2 - Le consentement - Partie 2
- 2.2.2.3 - Le consentement - Partie 3
- 2.2.2.4 – Le consentement – Partie 4
- 2.2.3.1 - L'exécution d'un contrat
- 2.2.4.1 - Exécution légale
- 2.2.5.1 - Sauvegarde des intérêts vitaux
- 2.2.5.2 - Mission d'intérêt public
- 2.2.6.1 - Intérêt légitime
- 2.3.2.1 - Info et recueil du consentement
- 2.3.3.1 - Contractualisation - Partie 1
- 2.3.3.2 - Contractualisation - Partie 2
- 2.3.3.3 - Contractualisation - Partie 3
- 2.3.3.4 - Contractualisation - Partie 4
- 2.3.3.5 - Contractualisation - Partie 5
- 2.3.4.1 - Registre du sous-traitant
- 2.3.5.1 - Transferts - Partie 1
- 2.3.5.2 - Transferts - Partie 2
- 2.3.5.3 - Transferts - Partie 3
- 2.3.5.4 - Transferts - Partie 4
- 2.3.5.5 - Transferts - Partie 5
- 2.4.1.1 - Transparence - Partie 1
- 2.4.1.2 - Transparence - Partie 2
- 2.4.2.1 - Droit d'accès
- 2.4.2.2 - Droit de rectification
- 2.4.2.3 - Droit à l'oubli
- 2.4.3.1 - Limitation
- 2.4.3.2 - Opposition
- 2.4.4.1 - Droit à la portabilité
- 2.4.4.2 - Droit post mortem et limitations
- 2.5.1 - Mettre en œuvre les droits des personnes
- Test - DPO - Partie 2
- 3.1 Sécurité de traitement des données, l’article 32
- 3.2 Mesures de sécurité minimales et appropriées
- 3.3 Analyse de risques
- 3.4 Pseudonymisation et chiffrement des données personnelles
- 3.5 Mesures pour garantir la confidentialité, l’intégrité et la résilience des systèmes et des services de traitement
- 3.6 Mesures permettant de rétablir la disponibilité des données et l’accès aux données en cas d’incident physique ou technique
- 3.7 Audits en matière de protection des données personnelles /ISO 19011 - 27701
- Test - DPO - Partie 3
- 6.1 Réaliser un état des lieux
- 6.2 Se maintenir en conformité au quotidien
- 6.3 Prospection anciens et nouveaux clients, informations RGPD à communiquer
- 6.4 Aspects contractuels pratiques
- 6.5 Rapport annuel // Relations avec la DG
- 6.6 Les outils du DPO
- 6.7 Comment gérer un contrôle CNIL
- Test - DPO - Partie 6
Thématique
L’Union Européenne a officialisé en 2016 un nouveau règlement sur la protection des données à caractère personnel, qui est applicable à partir du 25 mai 2018.
Ce règlement introduit de nouveaux droits pour les citoyens européens en matière de protection de la vie privée et donc de nouvelles obligations pour les organisations et entreprises. Il implique une évolution profonde des pratiques liées à la collecte, la conservation et l’exploitation des données à caractère personnel.
Cette loi a créé un nouveau rôle clé le DPO (Data Protection Officer) qui est au cœur du dispositif de « Responsabilité » (principe d’accountabiliy du RGPD). Le DPO est :
• chargé de mettre en œuvre et faciliter la mise en conformité au RGPD,
• intermédiaire entre les parties prenantes en interne et externe,
• correspondant avec l’Autorité de Contrôle (en France la CNIL),
• il est le successeur naturel du CIL (Correspondant Informatique et libertés) avec un rôle élargi.
Dans certains cas la nomination d’un Délégué à la protection des données est obligatoire (organismes publics, traitements systématiques à grande échelle, traitement de données sensibles…), quel que soit la taille de la structure, aussi bien pour les responsables de traitement que les sous-traitants.
Un DPO est fortement recommandé dans tous les cas (cf. Groupe de travail G29), pour confier à un référent la mise en œuvre de la conformité RGPD au sein de l’organisation et ainsi prévenir les risques liées aux données personnelles. Tant sur la fuite éventuelle de données et ses conséquences, que sur les sanctions en cas de non-respect du RGPD (pouvant aller jusqu’à 20 millions d’euros ou dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.)
Objectifs
A l’issue de cette formation DPO, vous serez à même de :
• Maîtriser les enjeux et les exigences de la nouvelle réglementation
• Identifier les acteurs concernés en interne comme en externe
• Réaliser un état des lieux de sa conformité en menant un audit RGPD
• Appréhender un projet de mise en conformité des traitements
• Réaliser une Analyse d’Impact sur la Protection des Données
• Tenir un registre des activités de traitement
• Gérer les transferts de données en dehors de l’UE
• Gérer un incident de sécurité lié aux données personnelles
• Appliquer les bonnes pratiques au sein de son organisation pour respecter le cadre légal au quotidien
Public concerné
Toute personne au sein d’une organisation (entreprise, association, groupement d’intérêt…) amené à prendre le rôle de DPO ou souhaitant devenir référent RGPD.
Prérequis
La formation est construite de manière à être accessible à tous, sans connaissances préalables dans le domaine juridique ou informatique.
Dans l’optique d’une préparation à la certification DPO reconnue par la CNIL, les prérequis sont les suivants :
– justifier d’une expérience professionnelle d’au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du DPO s’agissant de la protection des données personnelles;
ou
– justifier d’une expérience professionnelle d’au moins 2 ans ainsi que d’une formation d’au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation.
Matériel de formation
35 heures de formations alternant vidéos, cas pratiques, tests de validation des acquis par chapitre, documents annexes et liens utiles.
Programme
Basé sur le contenu de la certification CNIL. Réalisé en collaboration avec le cabinet d’avocats Lawint.
Partie 1- Comprendre le Règlement
Les enjeux de la protections des données
Fondamentaux et principes : Définitions, champ d’application, principes clés et droits des personnes
40 ans de construction de la protection de la vie privée et des données personnelles
Positionnement du RGPD dans le cadre légal
Les acteurs du RGPD : Focus sur la CNIL, G29, EDPB…
Partie 2 – Appliquer le Règlement
Les obligations générales des organisations : Focus sur le registre des traitements, les procédures écrites, formation, codes de conduite, preuves de conformité
Déterminer la validité d’un traitement, les bases légales
Encadrement de chaque traitement : Focus sur le DPIA, recueil du consentement, positionnement des parties, mentions légales, registre du sous-traitant, encadrement des transferts…
Déterminer et mettre en oeuvre les droits des personnes
Partie 3 – La Sécurité des données
Analyse de risques
Sécurité des traitements
Les mesures de sécurité minimales et appropriées
Pseudonymisation et chiffrement des données personnelles
Mesures pour garantir la confidentialité, l’intégrité et la résilience des systèmes et des services de traitement
Mesures permettant de rétablir la disponibilité des données et l’accès aux données en cas d’incident physique ou technique
Audits en matière de protection des données personnelles
Gestion et notification des violations de données + communication aux personnes concernées
Partie 4 – Responsabilité
La responsabilité de la structure
La responsabilité du DPO
Partie 5 – Le Délégué à la Protection des Données (DPO)
Quand est-ce qu’un DPO est obligatoire ?
Le statut du DPO
Le positionnement du DPO
Partie 6 – DPO Au quotidien
Réaliser un état des lieux
Se maintenir en conformité quotidien
Prospection anciens et nouveaux clients, informations RGPD à communiquer
Aspects contractuels pratiques
Rapport annuel et relations avec la Direction
Les outils du DPO
Comment gérer un contrôle CNIL
Partie 7 – La certification DPO
Présentation du processus de certification de personnes
Formateurs
Alexandre Diehl – Avocat à la cour – Cabinet Lawint
Aziz Ben Ammar – Avocat à la cour – Cabinet Lawint
Jean-Baptiste ARTIGNAN – Auditeur certifié ISO 27001 – Associé – BlueSecure
Formation
=== Disponible le 1er mars 2021 ===