Conformité RGPD : Maîtrise et innovation - Formation Expert DPO 2020 - Flyer Formations Expert 2020
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Conformité RGPD :
Maîtrise et innovation
Formation Expert DPO 2020
Programme Expert DPO : 5 + 1 jours incluant préparation certification
Transformer la contrainte en valeur Structure de la formation :
Depuis mai 2018, le règlement UE n° 2016/679, (7 heures par jour)
dit règlement général sur la protection des • J1 : RGPD – les concepts clés
données (RGPD) renforce la réglementation des • J2 : Guide pratique de la mise en conformité
traitements de données à caractère personnel en • J3 : RH - la conformité à l’égard de vos effectifs
Europe. Les opérateurs économiques s’organisent • J4 : Contrats et aspects internationaux
autour de la donnée : sa protection, sa circulation • J5 : Mesures techniques, atteintes aux données
et sa valorisation. • J6 : Préparation certification DPO
Labellisée par la CNIL, notre formation sur cinq Public visé
jours, avec un sixième jour de préparation à la DPO, Dirigeants et chefs de service, DRH, Juriste,
certification DPO, permet à vos équipes de DSI, RSSI, DAF …
renforcer leurs compétences juridiques,
techniques et organisationnelles pour transformer Objectifs
la contrainte de la conformité en valeur. Sensibilisation RGPD, cycle de formation certifiant
des compétences du DPO, compréhension
Forts de notre expérience en tant que DPO et pratique des points clés de la compliance.
conseils de PME et grands groupes, nous insistons
sur les points clés pour l’entreprise (marketing, Supports de la formation
CRM, RH, sous-traitants, durées de conservation, • Support pédagogique
prévention cyber-risques …). • Quiz d’évaluation des connaissances
• Accès au « chatbot » RGPD d’Altij : Outil
Le référentiel de la CNIL sur la certification des conversationnel avec plus de 300 questions.
compétences du DPO est intégré sur nos 35 • Ateliers pratiques (RH, sous-traitants, etc.)
heures de formation et journée de préparation. • Livrable de formation reprenant les éléments
clés qui ont été exposés
Directeur pédagogique : France Charruyer Validation des compétences acquises
Avocat associé – Directeur du Préparation aux exigences des référentiels issus
Pôle IP / IT Data d’Altij des délibérations n° 2018-317 et 2018-318 de la
Responsable Pédagogique DU CNIL.
DPO International - Université
Paris Dauphine Dates
Chargée d’enseignement en J1 et J2 : 16 et 17 janvier 2020
gouvernance des données – J3 et J4 : 20 et 21 février 2020
TBS - Universités J5 et J6 : 19 et 20 mars 2020
Expertise reconnue en Tarifs
nouvelles technologies, cyber-
risque, RGPD, valorisation et 4 500 € HT : 35 heurs + journée préparation DPO
défense des actifs immatériels
(secret des affaires, savoir Informations pratiques
faire, actifs informationnels …)
Lieu des formations : Altij, 40 rue du Japon,
Nos interventions data 31400 Toulouse
Places par session : Maximum de 15 personnes
Le Sénat, Le Point (Futurapolis), France Info, Inscriptions : formation@altij.com,
l’AFDIT, l’Université de Toulouse, l’Université 05.61.14.78.32
Paris Dauphine, TBS, CCIT … Numéro agrément formation : 73 31 07914 31
Conformite-rgpd.expert
Jour 1 : RGPD – Les concepts clés
Intervenant : Maître France CHARRUYER
Objectifs pédagogiques : Sensibilisation aux
concepts de base de la protection des données
et aux exigences et enjeux du RGPD
1 Le RGPD : un enjeu sociétal
et économique 3 Les nouveautés du RGPD
• L’« accountability », un changement de
• Pourquoi protéger les données ?
paradigme :
• Le Big Data, la valeur économique de la
1. Suppression des déclarations à la
donnée et la multiplication des
CNIL au préalable
cyberattaques
2. Obligation de démontrer sa propre
• Nouveaux risques, nouvelles responsabilités
conformité (charge de la preuve)
1. Responsabilisation des acteurs
3. Responsabilisation des sous-traitants
2. Renforcement des droits
4. Obligation de sécurité (Art. 32)
3. Nouvelles obligations (« Privacy by
• Le consentement : renforcement des
design » et sécurité des traitements)
conditions
4. La responsabilité de l’entreprise et du
• Les nouvelles sanctions : jusqu’à 4 % du
dirigeant
chiffre d’affaires ou 20 millions d’euros –
• Nouvelles stratégies : cartographie, audit et
quand et dans quelles circonstances ?
traçabilité (ex. registre des traitements)
• Le « DPO » : qui est-ce ? Quelles sont ses
missions ?
Les concepts de base • Les recours juridictionnels : droit à
2
réparation et recours (actions individuelles,
• Évolution et définition des concepts-clés : actions de groupe…)
1. Quoi : Donnée à caractère personnel • Les sanctions pénales
et traitement
2. Qui : Responsable, sous-traitant et 4 Les droits des personnes concernées
personne concernée
• Introduction et explication : Droit d’accès,
3. Comment : Les conditions de licéité
d’opposition et de rectification, à l’oubli, à la
4. Où : Les transferts transfrontaliers
portabilité des données, à la limitation du
5. Quels principes : la transparence, la
traitement et au refus du profilage
limitation des finalités, la minimisation,
• Retours pratiques : Comment gérer, dans la
etc.
pratique , des demandes d’exercice des
• Les données dites « sensibles » – origines
droits.
ethniques, données de santé, appartenance
syndicale, etc.
• L’autorité de contrôle : focus sur la CNIL Ateliers pratiques
(statut, composition, rôle, pouvoirs et • Quiz d’évaluation des connaissances de
contrôles) et sur le Comité européen à la base, au début et à la fin de la session
protection des données (ex-G29)
Conformite-rgpd.expert
Jour 2 : Les outils et étapes de la conformité
Intervenant : Maître France CHARRUYER
Objectifs pédagogiques : Acquérir une
méthodologie structurée à la mise en
conformité au RGPD et connaitre les mesures
clés exigées par le Règlement
1 Diagnostic : audit et cartographie
• Nécessité et méthodologie de la
cartographie des traitements
• Recensement des traitements :
1. Quels traitements et quelles
finalités ?
2. Quelles données sont collectées
et traitées ? Lesquelles sont des 4 Délégué à la protection des données
données dites sensibles ? • Description : qui doit nommer un DPO ?
3. Les données collectées sont-elles • Désignation du DPO (externe ou interne,
adéquates, pertinentes et individuel ou mutualisé)
strictement nécessaires (principe • Fonctions et missions :
de minimisation) ? 1. Point de contact data
2. Informer et conseiller
2 Durées de conservation 3. Contrôler la conformité
4. Faire la liaison avec la CNIL
• Combien de temps puis-je conserver et • Le DPO, un salarié protégé ?
archiver les données collectées ? • La fiche de poste et le contrat de travail
1. Principe de limitation de la
conservation 5 Les analyses d’impact
2. L’affaire SERGIC et l’approche par
les finalités
• Quand une analyse d’impact est-elle
3. Durées de conservation et
obligatoire ?
d’archivage recommandées par la
1. Définition et critères
CNIL
2. Applications aux traitements RH
4. La prise en compte des délais de
• Que doit-elle contenir ?
prescription civile et de
• Quelle méthode suivre ?
prescription pénale
• Quelles suites ?
5. Veille technique, archivage et
suppression
3 Registre des traitements Ateliers pratiques :
• Quelles sont les entreprises visées ? • Le recensement des opérations de
1. Le seuil du nombre d’employés traitement de l’organisme
2. L’application selon les types de • Démonstration pratique de l’établissement
traitements effectués d’un registre
• Quelles mentions obligatoires ?
• Quelles formes envisageables ?
Conformite-rgpd.expert
Jour 3 : Les processus internes à l’égard des salariés
Intervenant : Maître France CHARRUYER
Objectifs pédagogiques : Savoir évaluer les
impacts du RGPD dans les processus
internes à l’égard des salariés.
1 Cartographie des traitements RH
• Recensement des traitements RH et
données collectées auprès des salariés
• Identification des différentes
activités et objectifs
• Identification des différentes
données à caractère personnel
• Vérification du respect du principe
de minimisation 3 Mise en place des processus RH
• Identification des différentes données à internes et suivi
caractère personnel
• Rappel des bases juridiques • Information des candidats et salariés
existantes • Quelles informations transmettre
• Détermination de la base juridique aux candidats et salariés ?
pertinente selon le traitement • Quel support et canal
• Vérification du respect du principe de d’information choisir ?
minimisation • Revue des contrats de travail (clauses
• Durées de conservation générales envisageables)
• Durées de conservation selon les • Etablissement ou refonte de la Charte
particularités des traitements informatique
• Revue des habilitations délivrées pour • Objectifs et contenu (focus : BYOD)
l’accès aux données des salariés • Comment lui donner une valeur
contraignante ?
• La gestion des droits RGPD des salariés
2 Analyse d’impact • Existe-t-il des spécificités aux
sur la protection des données droits octroyés par le RGPD aux
salariés ?
• Définitions des traitements visés
• Organisation des procédures de
• Critères fixés par le G29 et liste établie
traitement des demandes faites
par la CNIL :
par les salariés
• Quand une analyse d’impact
apparait-elle nécessaire en
matière de Ressources Humaines ? Sensibilisation et formation
• Quand sera-t-elle conseillée ? 4
des salariés
• Obligation de formation et d’adaptation :
Ateliers pratiques : les bonnes pratiques à adopter
• Développement d’une culture de
• Cas d’étude : faire face à une demande de protection des données
droit d’accès par un salarié
Conformite-rgpd.expert
Jour 4 : Relations externes et aspects internationaux
Intervenant : Maître Nicholas CULLEN
Objectifs pédagogiques : Savoir évaluer les
impacts du RGPD et les intégrer dans les
relations avec les clients, les prospects et les
fournisseurs. Transférer des données vers des
pays tiers.
1 Responsable et sous-traitant 3 Transferts hors EEE
• La notion de sous-traitant au sens du RGPD ; • Les notions de base : Comment identifier un
• Qualification de la relation de sous-traitance transfert transfrontalier ? Dans quels cadre
et de responsabilité ; votre organisme réalise-t-il des transferts ?
• Distinguer le cas de la responsabilité • Le régime d’adéquation : Décisions en
conjointe ; vigueur, le « Privacy Shield » pour les Etats-
• Le recours licite à un sous-traitant : Unis, les affaires Schrems 1 et 2
• La mise en place d'un contrat cadre • Les garanties appropriées : (BCR, clauses
entre responsable et sous-traitant et contractuelles types). Comment les mettre en
son contenu ; place ?
• Des garanties suffisantes ; • Les dérogations : Applicables à vos activités ?
• Délimitation du cadre d’intervention ; • Le Brexit : quelles conséquences ?
• Quelle marge de manœuvre ?
2 Les clients et les prospects 4 Les autorités de contrôle
• Quelles bases légales pour vos traitements ? • Les instances européennes et nationales
• Consentement, exécution d'un contrat • Autorités de contrôle nationales en
ou intérêt légitime Europe (en France, la CNIL) – missions
• Le principe de l'« opt-in » et pouvoirs
• La charge de la preuve • Le comité européen de la protection
• La documentation à préparer : des données et le G29
• Les conditions générales : quelles • Le « Guichet unique »
clauses inclure ? • Notion de « traitement transfrontalier
• Information des personnes » au sein de l’UE
concernées : La politique de • Désignation d’une autorité de
confidentialité contrôle chef de file
• Site Internet : quelle base légale pour les • Les sanctions administratives : La décision
cookies ? Google et les amendes des autorités de
contrôle
Ateliers pratiques :
Le contrat de sous-traitance
Le formulaire opt-in
Les transferts de données au sein d’un groupe
multinational
Conformite-rgpd.expert
Jour 5 : Aspects techniques et technologiques
Intervenants : Monsieur Frédéric OLLIVIER et
Maître France CHARRUYER
Objectifs pédagogiques : Comprendre les
risques techniques et technologiques pour
l’organisme.
1 La cartographie technique 3 Les atteintes aux données
• Comprendre le Système d’Information (SI) • La cybersécurité des données : cadre
de votre organisme ; règlementaire et cadre commercial (coûts et
• Cartographier les traitements des données à opportunités de la sécurisation)
caractère personnel étant effectués ; • Les atteintes aux données : techniques du
• Revue des outils informatiques utilisés par cybercrime (phishing, spoofing, DDoS,
votre organisme afin de traiter les données à arnaque au président, etc.),
caractère personnel: • Réponses techniques : Identification et
• Logiciels, correction des failles de sécurité
• Plateformes,
• Applications 4 Cadre juridique et cyber risque
2 Les mesures techniques de • Les contentieux en matière de cyber-risque :
conformité les voies de recours, sanctions
administratives, civiles et pénales, risque
• Quelles mesures de conformité ? d’actions de groupe
• L’audit de sécurité • Les bonnes pratiques en cas de faille de
• La gouvernance des données sécurité : Constitution d’un dossier de
• Protéger les données personnelles : preuves, dépôt de plainte auprès du
• L’évaluation du risque et la mise en Procureur de la République
place des mesures appropriées • La notification de la CNIL et de la personne
• Explication des notions clés concernée en cas de violation de données
(pseudonymisation, chiffrement,
intégrité, résilience et rétablissement
des systèmes…)
• Analyse d’impact : quand et comment la Ateliers pratiques:
réaliser ? Réaliser sa cartographie
Sécuriser ses communications électroniques
Démonstration d’une arnaque au président
Gérer une violation des systèmes
Conformite-rgpd.expert
Jour 6 : Préparation à la certification
Intervenant : Maître France CHARRUYER 2 Test final (Après-midi)
Objectifs pédagogiques : Récapituler les aspects
essentiels de la formation à la lumière des
• Test QCM élaboré sur la base des exigences
exigences du référentiel de la CNIL de
certification des compétences du DPO. des référentiels issus des délibérations n°
2018-317 et 2018-318 de la CNIL
1 Synthèse du cours (Matin) • Les résultats du test vous seront
communiqués afin de vous aider à vous
• Récapitulatif des aspects essentiels couverts préparer à l’examen de certification
lors des 5 journées de formation • Les participants recevront également un
• Analyse des 17 exigences du référentiel de certificat de complétion de la formation,
la CNIL de certification des compétences du remis par le cabinet Altij
DPO
• Rappel de la stratégie de mise en
conformité de l’organisme
• Foire aux questions
Profils des intervenants
France CHARRUYER
Avocat, DPO, Responsable pédagogique en protection des données à
l’Université Paris Dauphine (Programme DU DPO international), Chargée
d’enseignement à Toulouse Business School et l’Université Toulouse 1 Capitole
Président de la société d’avocats Altij, en charge du Pôle Droit des affaires et des
Nouvelles Technologies. Expert en valorisation et défense des actifs immatériels
(bases de données, IP, IT) et en cyber-risque. Son expertise contentieuse lui
donne une vision pratique des enjeux de prévention et de valorisation :
essentielle à l’élaboration de programmes de compliance.
Frédéric OLLIVIER
Docteur en informatique, Ingénieur en aéronautique, DPO
Docteur en informatique sur le thème de l'utilisation des technologies
multimédias pour la formation dans le domaine spatial, Frédéric a déployé des
solutions multimédias (e-learning, internet, CD-ROM interactifs) chez Matra
Défense et EADS Astrium pendant 8 ans. En 1997, il crée la société Totem
numérique (applications mobiles, applications web, conception de sites,
hébergement, etc.)
Nicholas CULLEN
Avocat en France et en Angleterre, DPO, Enseignant en protection des
données à l’Ecole des Avocats Sud-Ouest Pyrénées et l’Université Paris
Dauphine – Tunis
Expert notamment en matière de transferts transfrontaliers des données
personnelles, avant de rejoindre l’équipe protection des données d’Altij,
Nicholas a évolué au sein du cabinet d’avocats américain Skadden, Arps et le
cabinet anglais Olswang, spécialisé dans les nouvelles technologies.
Conformite-rgpd.expert
Vous pouvez aussi lire
