Data Protection Officer

Formation inter-entreprise

À qui s'adresse la formation?

DPO (Délégué à la Protection des Données) ou futurs DPO, anciens CIL;
Personnes ayant à prendre en charge ou à mettre en œuvre la conformité de traitements de données personnelles à tous les niveaux, du management à l'opérationnel en passant par la conformité:

  • Personnes responsables de services opérationnels
  • DSI et leurs équipes
  • Responsables conformité, responsables des risques
  • Juristes et responsables juridiques
    • Consultants accompagnant à la mise en conformité RGPD ou assistant le DPO.

Niveau atteint

Spécialisation

Durée

5,00 jour(s)

5 jours, soit 37 heures réparties en 33h00 de cours, 2h00 de travail individuel sur les exercices le soir et 2h00 d'examen.

Langues(s) de prestation

FR

Prochaine session

Prérequis

  • Aucun pré-requis n'est demandé pour la formation.
  • Ne pourront passer l’examen que les candidats justifiant de deux ans d’expérience professionnelle, soit en lien avec la protection des données, soit dans tout domaine si le candidat a également suivi une formation de 35h minimum en matière de protection des données.

Objectifs

  • Connaître les missions du Data Protection Officer (DPO)
  • Acquérir les compétences nécessaires à l'exercice de ces fonctions
  • S'approprier les démarches et outils nécessaires au maniement des règles en matière de protection des données
  • Apprendre à gérer l'organisation pour accompagner la mise à niveau et le maintien de performance de l'organisation en matière de respect de la vie privée
  • Mettre en place un programme de mise en conformité et priorisation des actions par les risques
  • Se préparer sereinement à l'examen Privacy Implementer du dernier après-midi

Contenu

1. Vision globale: les principes de la protection des données à caractère personnel

1.1 Les définitions essentielles

De quoi parle-t-on? Notions de…

  • "données à caractère personnel"
  • traitement
  • fichier
  • personnes concernées, responsable de traitement, sous-traitant, destinataire, tiers
  • catégories particulières de données
  • profilage

1.2 Les sources

  • Histoire, évolution et mise en perspective des principes généraux applicables (loi Informatique et libertés textes européens, genèse RGPD, droit comparé US)
  • Changement de paradigme:
    • du contrôle a priori au contrôle a posteriori
    • exception: la survivance de formalités préalables dans le domaine de la santé, dans certains cas

1.3 Les grands principes

  • Champ d’application RGPD:
    • territorial
    • matériel
    • quant aux entités concernées (public/privé, PME/Groupes)
    • notion d’autorité chef de file
    • principes-clés (licéité, loyauté, limitation, minimisation, exactitude, conservation, intégrité)
    • fondements des traitements (notion de base juridique, consentement, consentement des mineurs)
    • catégories particulières de données et données relatives aux condamnations pénales
  • Droits à l’information des personnes concernées
  • Aperçu des responsabilités/sanctions

1.4 Les acteurs

  • du CIL au DPO: désignation, profil (qualités professionnelles/personnelles), fonction (rattachement, moyens, indépendance, conflits d’intérêts, etc.), missions (information, contrôle, coopération, etc.)
  • la CNIL (statut, fonctionnement, missions, pouvoirs, etc.)
  • le CEPD
2. Vision opérationnelle: mettre en œuvre la conformité

2.1 Intégrer les grands principes de la conformité

  • Responsable (RT), coresponsable de traitement, sous-traitant (ST): qualifier les acteurs pour en déterminer les obligations (partage ou non des responsabilités, qui audite qui, etc.)
  • Formalisation des relations (clauses contractuelles ST, accord entre RT conjoints,)
  • Recensement des traitements: audit de l’existant/cartographie des risques
  • Notions de registre (du RT, du ST)
  • Penser les traitements "privacy by design" et "by default" dès l’origine (intégration dès la conception, etc.)
  • Assurer la sécurité des données personnelles (pseudonymisation et chiffrement, mesures pour garantir la confidentialité, l’intégrité et la résilience des systèmes, mesures permettant de rétablir la disponibilité des données et l’accès aux données en cas d’incident)
  • Satisfaire aux conditions de transfert en dehors de l'Union européenne (cadre juridique des transferts hors UE, dérogations, etc.)
  • Qualifier et réaliser une analyse d’Impact sur la Vie Privée/PIA

2.2 Gérer les demandes et les incidents

  • Répondre aux demandes des personnes concernées
  • Typologie des demandes: droit d’accès, rectification et effacement, opposition, limitation et portabilité, opposition, décisions individuelles automatisées, portabilité, limitation des droits
  • Établir des procédures pour recevoir et répondre aux demandes d’exercice des droits
  • Gérer la notification des violations de données à caractère personnel (notion de violation de données, distinguer notification CNIL et communications aux personnes concernées)

2.3 Assurer la conformité dans le temps

  • Notion d’accountability: renforcer et démontrer la conformité via des procédures et des politiques adaptées (politiques de conservation des données, politique de protection des données, codes de conduite et certifications)
  • Sensibiliser et former
  • Assurer une veille législative, réglementaire, suivre l’actualité des acteurs de la réglementation (CNIL et référentiel tiré des anciennes autorisations, déclarations de conformité, Comité Européen de Protection des Données, lignes directrices de l’ex G29, jurisprudence française et européenne, associations telles que AFCDP, etc.)
  • Gérer les relations avec les autorités de contrôle (répondre aux sollicitations, se préparer à un contrôle de la CNIL, notion de délit d’entrave)
  • Responsabilité (recours juridictionnels, droit à réparation et sanctions notamment pénales)

Méthodes pédagogiques

  • Cours magistral avec interactivité avec les participants
  • Des exercices pratiques individuels et en groupe, basés sur des études de cas, permettant de se confronter à des cas réels et de se préparer aux questions de l'examen.

Évaluation

Examen de certification DPO par AFNOR Certification agréé par la CNIL