Délégué à la Protection des Données

Formations certifiantes & VAE Expert
Approfondissement
10 jours - 70 heures
Devenir DPO pour sécuriser les données à caractère personnel de son entreprise

L'entrée en vigueur du nouveau règlement européen sur la protection des données personnelles (RGPD) le 25 mai 2018, instaure une véritable révolution dans le traitement des données à caractère personnel des entreprises. Que ce soit en matière de transparence, de formalités à effectuer auprès de la CNIL, de cybersécurité et des conséquences induites sur l'entreprise, il est indispensable de maîtriser ce nouveau texte pour être conforme à la réglementation. La fonction de Data Privacy Officer (DPO) va devenir une fonction clé pour encadrer les risques et éviter les lourdes sanctions. Les défis à relever impliquent de nouvelles responsabilités et donc de nouvelles compétences à acquérir pour mettre en œuvre un programme de mise en conformité RGPD et en gérer l'autocontrôle.

 

Option(s) disponible(s)
  • Option certification CP FFP : 990 € HT
  • Option certification VAE Expert : 3 850 € HT

Si vous souhaitez passer une certification, merci de l'indiquer sur votre bulletin d'inscription

Objectifs

  • Identifier les acteurs de la protection et du traitement des données à caractère personnel.
  • Identifier les données sensibles, les droits des personnes et les risques encourus.
  • Respecter la conformité et le RGPD.
  • Procéder à la cartographie des traitements et sensibiliser les équipes à la protection des données.

Pour qui ?

  • Correspondants Informatique et libertés
  • Responsables juridiques et juristes
  • DSI et RSSI
  • Responsables conformité et risk managers

Code DOKELIO : 46814

Prérequis

Connaître les enjeux de la loi Informatique et libertés ou avoir suivi la formation " Maîtriser la conformité Informatique et libertés " (code 20069).

Homologations

Programme

Identifier les éléments clés de la protection et du traitement des données à caractère personnel - 3 jours

Objectifs :

• Identifier les acteurs impliqués et les traitements de données à caractère personnel de son entreprise

• Comprendre le cadre du traitement de la protection des données à caractère personnel et en cerner le champ d'application.

• Accomplir les démarches légales liées aux données à caractère personnel.

Identifier les acteurs de la protection et du traitement de données à caractère personnel

Intégrer le champ d’application de la réglementation relative à la protection des données à caractère personnel

• Cerner les champs d’application matériel et territorial de la loi Informatique et libertés

• Mesurer les changements amenés par le RGPD

Maîtriser les notions essentielles

• Maîtriser la typologie des données à caractère personnel

• Définir le traitement de données à caractère personnel

Test de connaissances : quiz sur les données à caractère personnel

Définir les acteurs de la protection des données

• Mesurer le rôle de l'Autorité de contrôle

• Définir la fonction de Délégué à la protection des données

• Distinguer les rôles joués par les destinataires, personnes concernées, responsable de traitement, responsable conjoint de traitement et sous-traitants

Respecter les conditions de licéité

Maîtriser les principes fondamentaux

• Licéité

• Loyauté

• Minimisation

• Proportionnalité

• Conservation limitée et intégrité y compris dans un contexte de sous-traitance

Déterminer les conditions de licéité d’un traitement de données à caractère personnel

• Définir le consentement : actes positifs

• Cerner les modalités de retrait du consentement

• Mesurer les conséquences attachées au retrait

Autodiagnostic : identification des traitements de données à caractère personnel dans son entreprise

De l'accomplissement des formalités à l'analyse d'impact

Identifier des données sensibles au sens de la réglementation et déterminer les conditions de traitement de ces données

Mesurer les obligations liées à la conception de systèmes d’information et de traitements conformes

• Cerner le sort des différents régimes de formalités préalables à l’heure du règlement européen : modalités d’accomplissement auprès de la CNIL et modalités d’instruction par la CNIL

• Accountability : définir la documentation nécessaire et jusqu'où aller pour attester de la conformité
• Privacy by design et privacy by default : cerner les enjeux juridiques, les exigences à avoir à l’égard des prestataires et contrôler que les normes ISO intègrent effectivement le principe de privacy by design

• Analyser les outils prévus par le règlement européen : généralisation du registre des traitements de données à caractère personnel

Mener une analyse d’impact au sens du RGPD

• Dresser un calendrier de mise en place : à partir de quand est-il obligatoire

• Cerner les piliers d’une analyse d’impact et comment la mener à bien

Mise en situation : mesure de l'adéquation de la méthode préconisée par la CNIL

• Définir quand une analyse d’impact doit être révisée

• Cerner les acteurs impliqués par l'analyse d’impact et l'étendue de la coopération avec la CNIL

Exercice d'application : préparation du contenu du rapport d’analyse d’impact

Risk management et droit des personnes - 2 jours

Objectifs :

• Gérer la contractualisation avec les prestataires sous-traitants.

• Établir un diagnostic des risques juridiques liés à la sécurité.

• Gérer les droits des personnes à l'égard des traitements.

Risk management ou comment maîtriser la sécurité des données par l'approche par les risques

Identifier les risques juridiques

Mener le volet organisationnel

• Évaluer le niveau de sécurité

• Mettre en place une gouvernance et un processus de pilotage juridiques de la sécurité des données

• Définir pseudonymisation, anonymisation, chiffrement et cryptologie

Mettre en place le volet contractuel

• Mesurer les exigences à avoir à l’égard des sous-traitants

• Envisager les évolutions contractuelles à apporter

Mettre en œuvre une démarche curative : audit et atteinte aux systèmes de traitement automatisés de données (STAD)

Procéder à la notification des violations de données à caractère personnel 

• Comparer avec la loi Informatique et libertés

• Mesurer l’étendue de cette obligation

• Cerner le rôle des acteurs au sein de l’organisme

• Assurer le respect de cette obligation

• Cerner les conséquences induites sur l’organisation interne de l’organisme

Étude de cas : mise en place de la procédure de notification des violations de données à caractère personnel

Gérer les droits des personnes à l’égard des traitements de données à caractère personnel

• Cerner le périmètre des informations à délivrer aux personnes : formes et accessibilité des informations

• Dresser la typologie des droits reconnus aux personnes, modalités d'exercice et obligations qui en résultent : droit d’opposition, droit d’accès, droit de rectification, droit à l’effacement et droit à l’oubli, droit à la portabilité des données, droit à la limitation du traitement

• Mesurer les impacts de la loi du 7 octobre 2016 pour une République numérique : introduction de la durée de conservation dans les mentions d’information et droit des personnes de définir des directives générales ou particulières sur le sort de leurs données à leur décès, comptes inactifs...

• Mesurer les impacts de la refonte de la gestion des droits des personnes dans le cadre du RGPD : délai de réponse, pièces demandées, information sur l’avancée de la demande...

• Mettre en place une procédure spécifique pour gérer efficacement les demandes des personnes

• Cerner les recours pour les personnes concernées aujourd’hui et dans le cadre du RGPD : réclamation auprès de la CNIL...

Mise en situation : gestion d'une demande de droit d'accès

Le Délégué à la protection des données : artisan de la conformité - 2 jours

Objectifs :

• Intégrer le rôle et les obligations liées à la fonction de DPO.

• Gérer les relations internes et externes.

Le DPO et les relations internes et externes

• Cerner le profil du Délégué à la protection des données (Data Protection Officer – DPO) et les exigences des autorités de contrôle
• Définir le statut du DPO et son mode de désignation

• Définir ses missions et la manière d'assurer sa visibilité au sein de l’entreprise et vis-à-vis du public : définir comment le DPO d’un groupe de sociétés peut exercer ses missions
• Définir le mode de relations avec le responsable du traitement et les sous-traitants

• Préparer les relations avec la CNIL et le mode d'intervention

Jeu de rôles : échanges entre le DPO et la CNIL

Risk management et DPO

• Définir le mode d'intervention dans la conformité de son organisme au règlement européen : documentation, analyse d’impact...

• Mener les actions

Intervenir dans les relations avec les personnes concernées : clients, prospects, salariés
• Définir des circuits de validation pour l’ensemble des activités liées à la protection des données et l’intégration du CIL/DPO
• Créer un réseau de personnes identifiées (par fonction ou par service) comme interlocuteurs du CIL/DPO pour chaque traitement
Mesurer l'importance de la nouveauté induite par le RGPD du DPO d’un sous-traitant de traitement de données à caractère personnel
Mesurer l'étendue des sanctions qui pèsent sur le DPO

Étude de cas : analyse de situations présentant des risques de sanctions vis-à-vis du DPO

Mesurer le rôle des autorités de contrôle et les sanctions pesant sur l'entreprise - 3 jours

Objectifs :

• Sécuriser les transferts internationaux de données à caractère personnel.

• Cerner le rôle et les pouvoirs de la CNIL et les niveaux de compétence des différentes autorités de contrôle.

• Mesurer les sanctions pesant sur l'entreprise.

Mesurer les évolutions sur les transferts internationaux de données à caractère personnel

Sécuriser le transfert de données à caractère personnel

• Utiliser les outils juridiques à disposition : décision d’adéquation de la Commission, modèles de clauses, règles contraignantes d’entreprise, contrat ad hoc

• Effectuer les formalités préalables
Mesurer les obligations du responsable de traitement concernant l’information des personnes dont les données sont transférées
• Le cas spécifique des transferts de données à caractère personnel aux États-Unis : état des lieux, perspectives

• Le cas spécifique du transfert de données à caractère personnel sur décision judiciaire ou administrative
Mise en situation : intervention du DPO dans l’encadrement du transfert international de données à caractère personnel

La refonte du rôle des autorités de contrôle

Comprendre l'organisation de la CNIL et ses missions

• Connaître le statut, la composition et l'organisation de la CNIL

• Cerner les différentes missions qui lui sont dévolues
Décrypter les pouvoirs de la CNIL

• Intégrer les évolutions par rapport à la loi Informatique et libertés

• Comprendre les pouvoirs a posteriori de la CNIL

• Distinguer les différents types de contrôles : aide à la gestion du contrôle

• Formalisme associé à une procédure de contrôle

• Modalités d’exercice des missions de contrôle, droits et obligations de l’organisme contrôlé

• Suites consécutives à un contrôle
Mesurer les pouvoirs de sanction de la CNIL

• Comprendre le formalisme associé à une procédure de sanction

• Connaître les droits et obligations du responsable de traitement

• Cerner le fonctionnement de la formation restreinte de la CNIL : déroulement de la procédure, conditions de publication et de publicité des sanctions

• Définir les possibilités de recours

Étude de cas : déroulement d'un contrôle de la CNIL et identification des recours à engager
Identifier l’autorité de contrôle compétente à l’heure du règlement et les critères de définition
Comprendre la répartition des compétences entre une autorité chef de file et les autorités de contrôle : le mécanisme du guichet unique
Faire le point sur la nouvelle instance des autorités de contrôle européennes : le Comité européen de la protection des données
Bénéficier de l'accompagnement prévu pour les DPO

Mesurer l'évolution des sanctions apportées par l'application du règlement européen

• Mesurer la responsabilité du responsable du traitement et la responsabilité des prestataires sous-traitants

• Mesurer le caractère dissuasif des sanctions pécuniaires prévues par le règlement européen : critères de sanction, catégories de sanctions...

S'inscrire en ligne

Délégué à la Protection des Données
Ref
8820195
Tarif
5720€ HT
4575€ TTC

Prochaines sessions

Le choix de la session vous sera demandé lors de votre inscription.