Elegia

Être Délégué à la protection des données personnelles (DPO/DPD) + Option « Droit des contrats et RGPD »

Par Elegia

Objectifs

  • Cerner les règles du pilotage de la protection des données personnelles de l'entreprise
  • Monter et suivre un programme de conformité en matière de données personnelles
  • Adapter ses contrats aux contraintes issues du RGPD
  • Gérer les contrôles de la CNIL

Programme

A. Règlement européen « Données personnelles » : être en conformité

1 jour

1. Objectifs et enjeux du RGPD

  • origine de la directive 95-46 et de la loi Informatique et Libertés et philosophie du RGPD
  • concepts : licéité/loyauté de la collecte, limitation des finalités, minimisation/exactitude et conservation limitée des données, confidentialité, proprotionnalité, responsabilité, transparence, base légale et sécurité des traitements…

Exercice pratique : identifier les données personnelles directes et indirectes

2. Quelles sont les organisations concernées ?

  • critères d'application territoriale et personnelle
  • acteurs et responsabilités : coresponsabilité des clients et prestataires

Étude de cas : la CJUE et le responsable de traitement

3. Obligations techniques et organisationnelles

  • dresser une cartographie des traitements, préparer un plan d'actions, prioriser les chantiers
  • implémenter et documenter les exigences « Privacy by Design » et les mesures de sécurité logistique et physique
  • adopter une gouvernance interne, sensibiliser les équipes
  • définir des procédures de conformité : gestion des demandes des droits, des violations de données et des AIDP et communiquer auprès des personnes concernées

Mise en situation : mettre en oeuvre une AIDP ?

4. Quelles sont les mesures juridiques et contractuelles ?

  • constituer et alimenter le registre des traitements
  • qualifier les protagonistes et vérifier les responsabilités
  • « roadmap » de mise en conformité des contrats
  • constituer les clauses et annexes du RGPD et le document d'accountability

Exercice pratique : qualifier les protagonistes des relations complexes et en cerner les conséquences

5. Quel rôle pour le délégué à la protection des données (DPD/DPO) ?

  • fonction quasi obligatoire dans l'entreprise
  • registre/responsabilités/missions

6. Intégrer les nouveaux droits accordés aux individus

  • revoir les mentions d'information et modalités de recueil des consentements des personnes
  • cas particulier du profilage (e-Privacy) et de la prise de décision algorithmique, cookie consent (eprivacy)

7. Flux transfrontaliers de données

  • « BCR », clauses contractuelles types
  • conventions de flux complémentaires, « Privacy Shield »

8. Quelles sont les sanctions ?

  • amendes/CA, actions des personnes concernées, condamnations et préjudices

Étude de cas : sanctions et risques

9. Quel impact sur les formalités administratives et les rapports avec la CNIL ?

  • « guichet unique » au sein de l'UE, suppression des formalités et autorisations
  • sort du droit dérivé, rôle du CEPD
  • demandes à la CNIL sur l'AIDP, notification des failles de sécurité, multiplication des contrôles

B. DPO : désignation, rôle et missions du Délégué à la protection des données personnelles

1 jour

1. Fondement : accountability et fin des déclarations préalables

  • accountability : philosophie de la conformité dynamique et responsabilisation des acteurs (responsable du traitement et sous-traitant)
  • conséquence immédiate : fin des déclarations préalables à la CNIL
  • principaux outils de la conformité dynamique : analyse d'impact à la protection des données (AIPD), DPO

2. Désignation d'un DPO interne, externe ou mutualisé

  • cas dans lesquels la désignation du DPO est obligatoire (UE et États membres)
  • conditions et modalités de la désignation (qualifications et compétences requises)
  • choix entre la désignation d'un DPO interne, externe ou mutualisé, désignation dans un groupe

Mise en situation : désignation du DPO auprès de la CNIL et en interne

3. Statut et responsabilités des DPO

  • statut et responsabilités du DPO interne/du DPO externe ou mutualisé

Étude de cas : mise en cause de l'entreprise et violation de données, quelle responsabilité du DPO ?

4. Rôle du DPO

  • pilotage de la mise en conformité : DPO chef d'orchestre de la mise en conformité, DPO et comité de pilotage
  • conseil de l'organisme afin qu'il se maintienne en conformité/bilan annuel

Atelier « Acteur clé » :

  • positionnement du DPO par rapport à la direction de l'entreprise, indépendance et/ou lien hiérarchique ?
  • différences entre un DPO désigné auprès de la CNIL et un référent RGPD non désigné auprès de la CNIL

5. DPO du RT et du ST

  • identification du responsable du traitement (RT), du responsable conjoint et du sous-traitant (ST)
  • DPO du RT/DPO, du ST

6. Missions du DPO

  • information et conseil du RT ou du ST
  • contrôle du respect du RGPD et des autres dispositions en matière de protection des données
  • conseil sur l'analyse d'impact/coopération et point de contact avec l'autorité de contrôle
  • identification, évaluation et préconisations avec le RSSI des mesures organisationnelles et techniques de sécurité
  • point de contact des personnes concernées pour l'exercice des droits
  • sensibilisation et formation, communication interne et externe (missions complémentaires)

Quiz interactif : les missions du DPO

7. Cadre du pilotage : moyens mis à la disposition du DPO

  • participation à toutes les questions de protection des données
  • ressources pour exercer ses missions/accès aux données à caractère personnel, formation continue

8. Début de mission : l'audit de maturité de l'organisme

C. DPO : piloter la protection des données personnelles de l'entreprise

1 jour

1. Auditer la protection des données

  • méthodologie, identification des interlocuteurs, interviews, collecte des documents et informations
  • identification des opérateurs (responsables de traitement, responsables conjoints, sous-traitants)
  • identification des bases juridiques des traitements

2. Mettre en oeuvre la cartographie des traitements

  • cartographie des traitements et des données
  • rôle du DPO lors de la cartographie des traitements : aide lors de l'enregistrement des traitements ou seul contrôle des registres ?
  • le DPO et les registres de l'art. 30 (RT et ST)

Construction d'outil (check-list) : méthodologie pour réaliser l'audit

3. Mettre en conformité la documentation contractuelle et d'information

  • rôle respectif de la direction juridique et du DPO
  • identification des réglementations sectorielles
  • focus sur les transferts de données personnelles vers des pays tiers (décisions d'adéquation et garanties appropriées)

Atelier « Bonnes pratiques sur la documentation » :

  • bâtir sa documentation de mise en conformité
  • construire sa politique de protection des données personnelles (RT et ST, BtoC et BtoB)
  • rédiger les clauses relatives à la protection des données person­nelles dans les contrats

4. Saisir l'opportunité d'une AIPD (ou DPIA)

  • rappels sur l'AIPD (accountability, finalité, caractère obligatoire)
  • critères sur l'opportunité d'une AIPD
  • notion de risque sur la vie privée
  • réaliser une AIPD : la méthode et les outils à la disposition du RT et du DPO
  • réaliser une AIPD : conseils sur la sous-traitance et sur les mesures organisationnelles et techniques de sécurité

Mise en situation : dans plusieurs situations données, de l'opportunité ou non de réaliser une PIA

5. DPO et exercice des droits des personnes concernées

  • DPO : un interlocuteur naturel
  • mise en place des procédures d'exercice des droits
  • l'exercice des droits en pratique

Cas pratique : demande d'accès, quel rôle et quelles diligences du DPO ?

6. DPO et violations de données

  • procédures de détection/de notification : mise en place
  • rôle du DPO en cas de violation de données

Mise en situation : réagir à une violation de données

7. Outils méthodologiques et logiciels pour l'exercice des fonctions de DPO

  • élaboration de programmes de sensibilisation et de formation
  • nécessité de s'appuyer sur des outils de gouvernance des données
  • outils à disposition : CNIL et éditeurs
  • outils et traçabilité des activités de traitement

8. Fin de la mission de DPO

  • fin sur l'initiative de l'organisme ou du DPO

D. Gérer les contrôles CNIL

1 jour

1. Renforcement des contrôles de la CNIL depuis le RGPD

  • renforcement du cadre
  • origine des contrôles
  • typologie des contrôles

Autodiagnostic : identifier les actions préventives à mener depuis le RGPD

2. Points d'attention lors du déroulement d'un contrôle sur place (au sein de l'entité)

  • vérification de l'identité des contrôleurs habilités
  • informations et droits dans le cadre d'une procédure de contrôle
  • pouvoirs des agents de contrôle

Atelier « jeu de rôle et points de vigilance » :

  • quelle posture adopter face à un contrôle de la CNIL ?
  • quelles vérifications opérer au préalable ?
  • comment accompagner les agents ?

3. Gestion des suites d'un contrôle au vu du RGPD

  • procès-verbal du contrôle
  • actions à prendre par l'entité contrôlée à la suite du contrôle
  • décision de l'autorité de contrôle

Exercice de synthèse : récapituler les éléments recueillis lors du contrôle

4. Durcissement des sanctions de la CNIL avec le RGPD

  • typologie des sanctions
  • publicité et exemples
  • voies de recours
  • coopération renforcée avec le RGPD entre la CNIL et ses homologues européens

Construction d'outil (check-list) : points d'attention pour répondre, préalablement à une sanction, à une mise en demeure de la CNIL

5. Plan d'actions sur les contrôles et le RGPD

  • process de gestion d'un contrôle et de sa diffusion au sein de l'entité
  • désignation d'un DPO
  • process de gestion des plaintes CNIL
  • sensibilisation des directions opérationnelles aux dispositions du RGPD

Mise en situation : construire un plan d'actions au sein de son entreprise

E. Risques numériques et traitement de données personnelles : repérer les failles de sécurité

1 jour

Atelier fil rouge : tout au long de la formation, les participants sont mis en situation et évaluent le risque numérique sur le traitement des données personnelles en utilisant l'outil PIA de la CNIL

1. Appréhender le risque numérique dans le contexte du traitement des données personnelles

  • identifier et modéliser les traitements et les flux de données métiers
  • localiser les données à caractère personnel dans le SI et/ou dans le cloud
  • recenser les mesures de sécurité existantes
  • repérer les vulnérabilités pouvant impacter les biens support

2. Analyser et mesurer les risques numériques

  • élaborer des scénarios d'attaque convoitant les données sensibles et les données à caractère personnel
  • quantifier les risques numériques en termes de probabilité d'occurrence et d'impacts induits
  • sensibiliser les décideurs sur les risques et devenir force de proposition

3. Gérer les risques numériques

  • positionner des capteurs et des sondes métiers et des techniques à même de détecter les signes avant-coureurs ou avérés d'une attaque cyber
  • agir sur les risques identifiés : réduction, transfert, acceptation, annulation
  • sélectionner, implémenter, tester et optimiser les mesures de sécurité à même de réduire les risques identifiés
  • échafauder des stratégies à même de détecter, ralentir voire empêcher les attaques cyber

Plan d'actions : renforcer le système d'information de son entreprise en appliquant les 42 règles du guide d'hygiène de l'ANSS

OPTION - Droit des contrats et RGPD

1 jour

Atelier fil rouge : tout au long de la formation, le formateur illustre ses apports par des cas concrets et propositions rédactionnelles

1. Contexte issu du RGPD et de la réforme du droit des contrats

  • principes, obligations et enjeux du RGPD
  • réforme du droit des contrats : points clés

Quiz : les exigences issues du RGPD

2. Phase préparatoire du contrat : les règles à intégrer

  • qualification des parties (responsable de traitement (RT), sous-traitant, responsables conjoints), conséquences et obligations des parties

Cas pratique : qualifier les parties au regard de situations données

  • exigence d'un écrit et l'accountability
  • question des transferts hors Union européenne, réflexes à adopter

3. Phase de rédaction du contrat : adapter les clauses en fonction des acteurs concernés

  • préliminaires : les grands principes (privacy by design, by default) et l'enjeu de la clause RGPD dans les contrats
  • contrat entre RT et personnes concernées (CGV, CGU) : transparence, quelles informations fournir ? comment ? sous quelle forme (notion d'information par strate) ? quand ?
  • contrat entre responsables de traitement et destinataires indépendants
  • contrat entre responsable de traitement et sous-traitant : garanties suffisantes, objet, durée, nature, finalité, type de données et catégories de personnes concernées, instructions, recrutement de sous-traitants ultérieurs, gestion des transferts, confidentialité, mesures de sécurité, assistance du sous-traitant au RT, restitution et destruction des données en fin de contrat, audits, clauses contractuelles types
  • contrat de cotraitance et impératif de transparence envers les personnes concernées

Atelier RGPD : repérer les catégories de contrat et les clauses essentielles dans un contexte donné

4. Fin de contrat : mesures adéquates

  • terme du contrat
  • résiliation/résolution
  • fin du contrat et sort des données personnelles : suppression, réversibilité

5. Responsabilités : les nouveaux mécanismes

  • principes de répartition des responsabilités : augmentation de la responsabilité du sous-traitant, régime de responsabilité partagée et solidaire, exclusions de responsabilité interdites, quid des réparations ? quid des actions récursoires ?
  • aménagements possibles : garanties, preuve, règlement alternatif des différends…

6. Place du mécanisme assurantiel

  • question de l'assurabilité des sanctions administratives
  • contrat d'assurance risques cyber

Quiz : les responsabilités encourues

Pédagogie

  • Cycle animé par des praticiens de la donnée personnelle développant une approche très pragmatique
  • Approche concrète du métier de DPO sous tous ses aspects et suivant les critères requis par l'autorité de contrôle
  • Documents synthétiques, schémas et fiches pratiques
  • Présentation d'outils d'aide à la gestion du traitement de la donnée personnelle

Formations de la même catégories (5)

M2i Formation
RGPD et données personnelles - Pour les fonctions ressources humainesPar M2i Formation
  • Proposer une vision globale des obligations du RGPD dans la protection des données au regard des ressources humaines
  • Déterminer des informations et des documents nécessaires à la gestion des processus de collecte d'informations personnelles des salariés et des clients de l'entreprise
  • Définir les finalités de traitement et connaître les obligations des responsables de traitement (interne ou sous-traitant)
  • Expliquer les concepts et les implications de collecte, d'information, de consentement, de retrait du consentement, d'anonymisation, de "pseudonymisation" etc.
Gereso
Mettre en œuvre le droit à la déconnexionPar Gereso

Né de la Loi Travail et applicable depuis le 1er janvier 2017, le droit à la déconnexion crée de nouvelles obligations pour les employeurs en matière de protection de la santé des salariés.

Il peut constituer aussi une excellente opportunité d’interroger et d'explorer ses modes de travail afin de gagner en efficacité !

C'est ce que nous vous proposons de découvrir au cours de cette formation dédiée au "droit à la déconnexion".

Guidé(e) par notre consultante, vous comprendrez tous les enjeux juridiques, pratiques et les incidences en termes de santé au travail du droit à la déconnexion. Que peut-on faire ? Que peut-on interdire ?

Vous pourrez également réfléchir à vos modes de travail et à la façon dont vous pouvez développer la qualité de vie au travail, en mettant en œuvre des « dispositifs de régulation de l’utilisation des outils numériques » répondant à votre obligation légale et tenant compte des usages du numérique par vos salariés.

M2i Formation
RGPD - Les éléments fondamentaux du texte européenPar M2i Formation
  • Proposer une vision globale des obligations du RGPD dans la protection des données au regard des ressources humaines et déterminer les informations et les documents nécessaires à la gestion des processus de collecte d'informations personnelles des salariés et des clients de l'entreprise (information, consentement, retrait du consentement...)
  • Définir une donnée personnelle et les finalités de traitement, connaître les obligations des responsables de traitement (Art. 24, Art. 28) et identifier les études d'impact sur la vie privée
  • Expliquer les concepts d'Accountability, de "privacy by default" et "privacy by design" (Art. 25) et d'analyse d'impact sur la vie privée (Art. 35)
  • Exploiter la notion de risque et identifier une violation de données personnelles (Art. 32)
  • Réagir à une violation de données personnelles (procédure, données à collecter, notion de preuve...).
Lamy Formation
Parcours DPOPar Lamy Formation
  • Maîtriser les 17 compétences clefs requises par la CNIL telles qu'elles sont détaillées dans le référentiel de la CNIL
  • Se présenter à l'examen de Certification, le DPO ayant acquis une excellente maîtrise des enjeux et obligations liées à la protection des données
M2i Formation
RGPD et données personnelles - Pour les prestataires et sous-traitantsPar M2i Formation
  • Décrire les obligations des responsables de traitement
  • Gérer la revue des contrats et les clauses de respect du Règlement Général européen de Protection des Données personnelles
  • Gérer la délégation de traitement et les transferts de données personnelles dans l'UE et hors UE
  • Sensibiliser, définir et auditer les sous-traitants
  • Utiliser les outils et les clauses légales destinées aux sous-traitants / co-traitants.