GOUVERNANCE DES DONNÉES - Dispositif ex-Midi-Pyrénées - DigitalPlace
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
GOUVERNANCE
DES DONNÉES
Dispositif ex-Midi-Pyrénées
Contact organisme de formation
DigitalPlace Association Loi 1901 créée le 10 mars 2011.
12 rue Louis Courtois de Viçose N° SIRET: 531 081 693 000 32.
Portes Sud – Immeuble 3 Déclaration d’activité n° 73 31 065585 31 enregistrée
31100 TOULOUSE auprès du préfet de région de Midi Pyrénées
Téléphone : 05 34 31 41 95
Email : contact@digitalplace.fr
Web : www.digitalplace.fr
Contact formateurs
RH To You SAS créée le 01/02/2016 au capital de 20000 € enregistrée
12 rue Louis Courtois de Viçose – Portes Sud – à Toulouse
Immeuble 3 – 31100 TOULOUSE Gérée par Madame Pascale Perez.
Téléphone : 05 61 24 21 49 Siret : 818 239 360 000 22
Email : pascale.perez@rh2u.fr
Web : www.rhtoyou.fr
Toute reproduction interdite sans l’accord de formateur.PRESENTATION DU DISPOSITIF
DigitalPlace, en partenariat avec le FAFIEC et la DIRECCTE Occitanie, propose un dispositif inédit pour
accompagner les entreprises du Numérique dans la conception et la mise en œuvre d’une véritable
gouvernance de données, intégrant la conformité au RGPD et les bases de la cybersécurité.
Public cible
Le dispositif adresse les PME de la filière numérique, et cible les responsables de traitement de ces
entreprises, quel qu’en soit le métier, qui sont les personnes portant réellement la responsabilité du
traitement des données, dans le respect du RGPD. Il peut s’agir du DSI, d’un responsable RH, communication,
marketing, commercial…
Le dispositif
L’entrée dans le dispositif se fait par un prédiagnostic d’une demi-journée. Le consultant se déplace en
entreprise, pour rencontrer les personnes clés, et faire le point sur la situation de l’entreprise en matière de
gouvernance des données, RGPD et cybersécurité.
A l’issue de ce prédiagnostic, le consultant préconise le parcours de formation adapté pour une ou
plusieurs personnes de l’entreprise. Par exemple, une entreprise peu mature en la matière poursuivra
d’abord par le module « Initialisation de la démarche », alors qu’une entreprise ayant déjà cartographié ses
traitements pourra intégrer directement les modules spécialisés.
Prédiagnostic – 0,5 j
Initialisation de la démarche –
E-learning de sensibilisation
1 j ANSSI 2 & 4
cyber & RGPD
Modules spécialisés - 3 j
Bonnes pratiques, Registre des activités, Analyse d’impact,
Co-responsabilité, Mise à jour documentaire, Gestion des incidents
(groupes selon finalité de traitement interne ou externe)
ANSSI modules 2 & 5
Focus Marketing,
Focus RH Focus DSI
communication,
1j 1 j ANSSI 2 & 4
commerce - 1 j ANSSI 4
Diagnostic de maturité – 1 j
DigitalPlace
Association Loi 1901 créée le 10 mars 2011.N° SIRET: 531 081 693 000 32.
Déclaration d’activité n° 73 31 065585 31 enregistrée auprès du préfet de région de Midi PyrénéesS’étalant dans un délai de 2 à 5 mois, Le dispositif est déployé sous forme de formation-action en collectif,
permettant aux participants de monter en compétences, tout en mettant en œuvre ces acquis. Ils
commencent la rédaction des documents et process pendant les sessions de formation, peuvent co-
construire certains outils avec d’autres participants, identifier et traiter les situations spécifiques aux
entreprises du numérique, solliciter l’appui des formateurs…
Pour faciliter le rôle des responsables de traitement et du DPO, un e-learning
de sensibilisation à la cybersécurité et au RGPD, opéré par
Phosforea est mis à disposition des salariés des entreprises participantes, afin que chacun
comprenne son rôle dans le dispositif de gouvernance des données.
Le dispositif s’achève sur un diagnostic de maturité, 1 à 2 mois après la dernière formation. Son objectif est
de faire le point sur l’avancée de l’entreprise par rapport au prédiagnostic, délivrer un rapport qui permet à
la fois de rassurer les clients sur la conformité RGPD de l’entreprise, et à la fois de proposer des
préconisations pour poursuivre et faire vivre la démarche.
Les intervenants
L’équipe de formateurs est pluridisciplinaire, combinant juristes ou avocats, expert technique, expert
cybersécurité, RH, gestion des risques… Une équipe est constitué en ex-Midi-Pyrénées, une autre équipe en
ex-Languedoc-Roussillon.
Un intervenant indépendant est sélectionné pour la réalisation du diagnostic de maturité.
Financement
Le dispositif fait l’objet d’un partenariat FAFIEC/DigitalPlace/DIRECCTE OCCITANIE pour les PME
participantes (moins de 250 salariés). Les entreprises doivent avoir leur siège ou un établissement en
Occitanie, et les participants doivent être rattaché à cet établissement.
Entreprise adhérente Entreprise non adhérente
au FAFIEC au FAFIEC
participant Salarié Non salarié Salarié Non salarié
Prédiagnostic 720 € HT par entreprise
Prise en charge possible Prise en charge
à 100% à 50% par DigitalPlace,
par le FAFIEC reste 50% à charge de l’entreprise
Modules de 500€ HT par personne et par jour de formation
formation-action Prise en charge Prise en charge Prise en charge Prise en charge
possible à 50% par à 50% par à 50% par
à 100% DigitalPlace, DigitalPlace, DigitalPlace,
par le FAFIEC reste 50% à charge reste 50% à charge reste 50% à charge
de l’entreprise de l’entreprise ou de l’entreprise
OPCA
Diagnostic de 1320 € HT par entreprise
maturité Prise en charge possible Prise en charge
à 100% à 50% par DigitalPlace,
par le FAFIEC reste 50% à charge de l’entreprise
DigitalPlace
Association Loi 1901 créée le 10 mars 2011.N° SIRET: 531 081 693 000 32.
Déclaration d’activité n° 73 31 065585 31 enregistrée auprès du préfet de région de Midi PyrénéesPRE-DIAGNOSTIC
« GOUVERNANCE DES DONNEES »
§ INTERVENANT (E-S) : Pascale PEREZ ou Jean-Marc SEPIO
§ PUBLIC CONCERNE : TPME de la filière numérique en Occitanie
§ MODALITES PEDAGOGIQUES : audit diagnostic
§ LIEU : Entreprise
§ DUREE : 0,5 jour
§ COÛT : 720 € HT par entreprise
DESCRIPTIF DE L’ACTION
OBJECTIFS :
• Identifier le niveau de maturité́ nécessaire pour la gouvernance des données incluant le RGPD
et la sécurité́ numérique.
• Définir le parcours de montée en compétences
CONTENUS :
• Entretiens avec le ou les interlocuteurs désignés par l’entreprise (dirigeant, DSI, RH…) :
o Clarifier les traitements concernés et repérer les personnes concernées
o Identifier les actions déjà entreprises par l’entreprise : sensibilisation et culture,
organisation, documentation, cartographie des traitements…
• Rédaction du rapport de diagnostic, sous forme de SWOT par axe analysé, intégrant les
préconisations pour la suite du parcours.
LIVRABLE :
• Profil de maturité et préconisation pour la feuille de route
L’INTERVENANT :
Jean-Marc SEPIO Pascale PEREZ
Juriste de formation, Jean-Marc est gérant et associé de société de Pascale a exercé les fonctions de DRH, elle est aujourd’hui présidente
conseil. Il est spécialisé en gestion des risques, conformité, et de RH TO YOU et associé de société́ de conseil. Elle est également
continuité d’activité. DPO externalisée.
DOMAINES DE COMPETENCE DOMAINES DE COMPETENCE
§ Conformité RGPD § Intervenante vacataire Toulouse Business School en mastère RH
§ Conception de dispositifs de gestion de crise § Mise en conformité́ RGPD
§ Conception des plans de continuité d’activité § Diagnostic de performance de la fonction RH
§ Formation à la gestion de crise et continuité d’activité § Gestion Prévisionnelle des Compétences
PRINCIPAUX PROJETS § Accompagnement aux changements
Industrie : AIRBUS – SAFRAN – LIEBHERR AEROSPACE – DAHER – TOTAL – EDF – § Aide au choix SIRH
PAREXGROUP - PAPREC - PERKINS FOOD - PIERRE FABRE DERMO COSMETIQUE –
IMERYS ALUMINATES – CHRYSO. PRINCIPAUX PROJETS
Public : MINISTERE DE L’INTERIEUR (Gestion de crise pour 12 préfectures en France) - Industrie : TOTAL, TIGF, LABORATOIRES PIERRE FABRE
MINISTERE DES TRANSPORTS - MUSEE DU LOUVRE – ACOSS – INRIA – OCDE - MAIRIES Public/parapublic : DEFENSEUR DES DROITS, UNIVERSITE PAUL SABATIER, SMTC,
(ORLEANS, AIX-EN-PROVENCE, BAYONNE, BEZIERS, CASTELGINEST ...) – AGENCES DE TISSEO, URSSAF,
L’EAU – CG30 – ECOLE CENTRALE DE PARIS. Services / Finance : CAPITOLE FINANCE – LYRA NETWORK
Services : NOUVELLES PYRENEES (8 stations de ski/2 sites d’exceptions dont le Pic du Midi). Prévoyance : IRSO/APSO, PREMALLIANCE, GROUPAMA VIE, GAN Prévoyance, SNCF,
Finance : SOCIETE GENERALE – LA BANQUE POSTALE – CAISSES D’EPARGNE - ASTIA, GECINA, N’PY
CAPITOLE FINANCE – LYRA NETWORK
DigitalPlace – Gouvernance des données - Prédiagnostic 1FORMATION ACTION
« COMPRENDRE LES ENJEUX DU RGPD ET DE LA SECURITE NUMERIQUE »
§ Référence : GOUV-MP-Module 1
§ INTERVENANT (E-S) : Eric COATANTIEC ou Isabelle Lhermite
§ PUBLIC CONCERNE : Tout public concerné par les données personnelles de l’entreprise, les
responsables de traitement, DG, DRH/DAF, DSI, Direction Commerciale
§ PRÉREQUIS : Aucun
§ MODALITES PEDAGOGIQUES : Formation action
§ LIEU : DigitalPlace
§ DUREE : 8 heures
§ COÛT : 500 € HT par participant
DESCRIPTIF DE LA FORMATION
OBJECTIFS :
§ Comprendre la législation relative à la protection des données
§ Identifier les nouvelles formes de menaces et risques encourus par les entreprises
§ Définir et mettre en œuvre les bonnes pratiques pour y répondre.
CONTENUS :
Séquence 1 : la valeur, pour la grande criminalité, des données personnelles ou techniques détenues par les
entreprises et les nouvelles formes de menaces pouvant impacter les entreprises.
- Le contexte général de la prédation de données : l’avènement de l’économie de la connaissance,
l’émergence de nouveaux risques, les entreprises cibles privilégiées.
- Les deux grandes familles de menaces : accidentelles ou intentionnelles.
- Les scénarii les plus fréquents (retour expérience gendarmerie).
Interactions avec des tiers, interactions avec les moyens techniques, déplacements proches et lointains,
instrumentalisation judiciaire.
- Les comportements et bonnes pratiques de sécurité à adopter pour y faire face à ces scénarii.
ü Supports mis à disposition lors de la formation : exemples de mise en vente sur le darknet d’informations
volées, présentation des différents scenarii de prédation et des bons comportements pour contrer les
menaces
ü Exercice collectif :
• Quiz
• A partir du profil d’une entreprise, définition d’un ou plusieurs objectifs de prédation (ce que je
veux obtenir)
• Conception des scenarii qu’un prédateur pourrait mettre en œuvre pour les atteindre
• Supports à formaliser : la concaténation des scenarii pouvant impacter une entreprise, le relevé
des vulnérabilités de cette entreprise et des pratiques à améliorer en termes de sécurité
économique
DigitalPlace – Gouvernance des données 1Séquence 2 : Présentation générale du RGPD et de ses implications concrètes pour les collaborateurs concourant
aux traitements de données à caractère personnel
ü Enjeu et état de l’art du RGPD
Le changement de philosophie, les notions fondamentales (la donnée à caractère personnelle, les données
sensibles, le responsable de traitement, le sous-traitant, le traitement …)
Les droits renforcés par le RGPD, les nouveaux droits
Les obligations pour les entreprises
Les sanctions renforcées et graduées
Les opportunités liées au RGPD
ü Conséquences concrètes pour les collaborateurs au quotidien
La mise en œuvre de la démarche conformité
Le choix du pilote, l’état des lieux, la priorisation des actions, les analyses de risques et la politique de
gestion des risques, les adaptations des mesures organisationnelles, la documentation de la conformité.
ü Supports mis à disposition lors de l’atelier : présentation du règlement et de ses apports, (Le RGPD, sa
philosophie, les nouveaux droits, les nouvelles obligations, opportunité ou menace, la démarche concrète
à adopter pour la mise en conformité)
ü Exercice collectif :
• Quiz
• Supports à formaliser : Les impacts directs sur la structure, les points d’amélioration
comportementaux du quotidien, la feuille de route générale de mise en conformité pour l’entreprise
(grandes lignes directrices)
MODALITÉS D’ÉVALUATION : Quizz, émargement, matrice EDA
LIVRABLE :
• Feuille de route
DigitalPlace – Gouvernance des données 2FORMATION ACTION
« ORGANISATION ET ETAT DE L’ART »
§ Référence : GOUV-MP-Module 2a
§ INTERVENANT (E-S) : Pascale Perez, Isabelle Lhermite ou Jean-Marc Sépio
§ PUBLIC CONCERNE : les responsables de traitement des données personnelles de l’entreprise :
o Vision interne : DG, DRH/DAF, DSI,
o Vision externe : DG, DSI, D. Marketing/commercial
§ PRÉREQUIS : Connaître les notions de base et des fondamentaux de la gouvernance des données
personnelles.
§ MODALITES PEDAGOGIQUES : Formation action
§ LIEU : DigitalPlace
§ DUREE : 4 heures
§ COÛT : 250 € HT par participant
DESCRIPTIF DE LA FORMATION
OBJECTIFS :
§ Comprendre les moyens organisationnels et techniques à mettre en œuvre.
§ Assurer la gestion et la conformité des données personnelles
CONTENUS :
Comprendre l’organisation et le rôle des différents acteurs internes impliqués dans la gouvernance et la protection
des données personnelles : Le rôle du responsable de traitement, l'intervention des co-responsables de traitement,
la personne concernée, le destinataire, le sous-traitant, le Data Protection Officer (DPO, le délégué à la protection
des données), la gestion des relations avec la CNIL.
• Exercice : Etablir sa propre cartographie des acteurs internes et externes et leurs rôles.
L’organisation à mettre en place : Les missions du délégué à la protection des données DPO et des responsables
de traitements, les cas de désignation obligatoires d’un délégué à la protection des données personnelles.
• Exercice : Comment identifier son DPO ? Comment organiser la gouvernance des données sans DPO ?
MODALITÉS D’ÉVALUATION : Quizz, émargement, matrice EDA
DigitalPlace – Gouvernance des données 1FORMATION ACTION
« REGISTRE DES ACTIVITES DE TRAITEMENT DES DONNES PERSONNELLES »
§ Référence : GOUV-MP-Module 2b
§ INTERVENANT (E-S) : Pascale Perez ou Jean-Marc Sépio
§ PUBLIC CONCERNE : les responsables de traitement des données personnelles de l’entreprise :
o Vision interne : DG, DRH/DAF, DSI,
o Vision externe : DG, DSI, D. Marketing/commercial
§ PRÉREQUIS : Connaître les notions de base et des fondamentaux de la gouvernance des données
personnelles.
§ MODALITES PEDAGOGIQUES : Formation action
§ LIEU : DigitalPlace
§ DUREE : 4 heures
§ COÛT : 250 € HT par participant
DESCRIPTIF DE LA FORMATION
OBJECTIFS :
§ Constituer et tenir de manière efficace un registre des activités de traitement dans le cadre de sa
gouvernance des données personnelles
CONTENUS :
L’obligation de tenue du registre : principe, limitations, avantages et responsabilités
• Exercice : Analyser sa situation en termes d’obligation de tenue du registre
Les traitements et les finalités
Les typologies : personnes (mineurs, collaborateurs…), données (données courantes et données sensibles),
destinataires (sous-traitants, organismes, destinataires hors U.E..)
Les délais de conservation et les modalités de suppression
Les mesures de sécurité
Le maintien en condition opérationnelle
• Exercice : Procéder à l’inventaire de ses traitements et initialiser son registre
MODALITÉS D’ÉVALUATION : Exercice, émargement, matrice EDA
DigitalPlace – Gouvernance des données 1FORMATION ACTION
« ANALYSE D’IMPACT SUR LES TRAITEMENTS A RISQUE ELEVE »
§ Référence : GOUV-MP-Module 2c
§ INTERVENANT (E-S) : Pascale Perez, Isabelle Lhermite, Eric Coatantiec ou Jean-Marc Sépio
§ PUBLIC CONCERNE : les responsables de traitement des données personnelles de l’entreprise :
o Vision interne : DG, DRH/DAF, DSI,
o Vision externe : DG, DSI, D. Marketing/commercial
§ PRÉREQUIS : Avoir réalisé sa cartographie des activités de traitement des données personnelles
et selon les cas, avoir identifié des traitements à risque élevé.
§ MODALITES PEDAGOGIQUES : Formation action
§ LIEU : DigitalPlace
§ DUREE : 4 heures
§ COÛT : 250 € HT par participant
DESCRIPTIF DE LA FORMATION
OBJECTIFS :
§ Maîtriser la notion d’accountability et savoir la mettre en œuvre
§ Maîtriser la méthodologie de constitution d’un référentiel conforme
CONTENUS :
§ Les principes instaurés par le RGPD concernant l’analyse d’impact
§ Le préalable à l’analyse des risques & les traitements nécessitant une analyse d’impact selon
les critères dégagés par le G29
§ Les traitements ne nécessitant pas d'analyse d'impact
ü Atelier en co-construction : identifier les traitements nécessitant une analyse d’impact
§ La réalisation de l'analyse d'impact : Le responsable de l’analyse d’impact, la consultation du DPO,
les autres consultations
§ La méthodologie à suivre : la démarche CNIL, la mise à disposition d’un outil dédié
ü Atelier en co-construction : réaliser une analyse d’impact pour un des traitements identifiés
§ La consultation de l’autorité de contrôle et les pouvoirs d’enquête
MODALITÉS D’ÉVALUATION : Réalisation de l’analyse d’impact, émargement, matrice EDA
DigitalPlace – Gouvernance des données 1FORMATION ACTION
« LA CO-RESPONSABILITE »
§ Référence : GOUV-MP-Module 2d
§ INTERVENANT (E-S) : Pascale Perez, Isabelle Lhermite ou Jean-Marc Sépio
§ PUBLIC CONCERNE : les responsables de traitement des données personnelles de l’entreprise :
DSI, RSSI, responsable juridique, DAF
§ PRÉREQUIS : Connaître les notions de base et des fondamentaux de la gouvernance des données
personnelles et du Règlement Général de la Protection des Données.
§ MODALITES PEDAGOGIQUES : Formation action
§ LIEU : DigitalPlace
§ DUREE : 4 heures
§ COÛT : 250 € HT par participant
DESCRIPTIF DE LA FORMATION
OBJECTIFS :
§ Intégrer les règles de gouvernance des données dans la relation entre donneur d’ordre et sous-
traitant et entre partenaires dans le traitement de données.
CONTENUS :
§ La relation avec les acteurs du traitement
o Les principes de la sous-traitance et de la responsabilité conjointe de traitement.
o Le niveau de responsabilité
o Les obligations des acteurs du traitement vis-à-vis des parties prenantes.
§ Le cas particulier des sous-traitants et responsable conjoint de traitement hors UE.
§ Les clauses contractuelles types selon les cas contractuels :
o Prestation intellectuelle, solution informatique (logiciel, système, site internet, SaaS...), transfert
de données hors UE.
ü Exercice : Examen de cas pratiques avec sélection de clauses contractuelles à retenir selon les cas
contractuels.
MODALITÉS D’ÉVALUATION : Exercice, émargement, matrice EDA
DigitalPlace – Gouvernance des données 1FORMATION ACTION
« MISE A JOUR DES REFERENTIELS DOCUMENTAIRES »
§ Référence : GOUV-MP-Module 2e
§ INTERVENANT (E-S) : Pascale Perez ou Jean-Marc Sépio
§ PUBLIC CONCERNE : les responsables de traitement des données personnelles de l’entreprise :
DG, DRH/DAF, DSI, Direction Commerciale
§ PRÉREQUIS : Avoir réalisé sa cartographie des activités de traitement des données personnelles
et selon les cas son analyse d’impact.
§ MODALITES PEDAGOGIQUES : Formation action
§ LIEU : DigitalPlace
§ DUREE : 4 heures
§ COÛT : 250 € HT par participant
DESCRIPTIF DE LA FORMATION
OBJECTIFS :
§ Maîtriser la notion d’accountability et savoir la mettre en œuvre
§ Maîtriser la méthodologie de constitution d’un référentiel conforme.
CONTENUS :
§ État de l’art sur les principes de la documentation de conformité RGPD (accountability)
§ Les éléments principaux de la documentation
§ Les éléments secondaires de la documentation
o Les audits de conformité
o Les contrôles de l’autorité compétence (CNIL)
ü Co-construction :
Déterminer sa procédure interne pour la constitution et la mise à jour du référentiel
Identifier le contenu à insérer dans le référentiel
Décrire son processus interne ‘se préparer à un contrôle de la CNIL’
MODALITÉS D’ÉVALUATION : Documentation produite, émargement, matrice EDA
DigitalPlace – Gouvernance des données 1FORMATION ACTION
« LA GESTION DES VIOLATIONS DE DONNEES :
LES PERTES DE CONFIDENTIALITE, D’INTEGRITE ET DE DISPONIBILITE »
§ REFERENCE : GOUV-MP-Module 2f
§ INTERVENANT (E-S) : Pascale Perez, Isabelle Lhermite ou Jean-Marc Sépio
§ PUBLIC CONCERNE : les responsables de traitement des données personnelles de l’entreprise :
DG, DSI, RSSI, DPO/DPD
§ PRÉREQUIS : Connaître les notions de base et des fondamentaux de la gouvernance des données
personnelles et du Règlement Général de la Protection des Données.
§ MODALITES PEDAGOGIQUES : Formation action
§ LIEU : DigitalPlace
§ DUREE : 4 heures
§ COÛT : 250 € HT par participant
DESCRIPTIF DE LA FORMATION
OBJECTIFS :
§ Maîtriser les aspects juridiques et organisationnels de gouvernance et de sécurité des données et savoir
réagir face à une perte de confidentialité, d’intégrité et de disponibilité.
CONTENUS :
§ Qu’est-ce qu’une perte de confidentialité, d’intégrité et de disponibilité au travers de cas concrets ?
§ L'obligation de notifier la violation de données à caractère personnel.
o Le cadre défini par le Règlement Général de la Protection des Données.
o Les supports, les délais, l’instruction du dossier de notification par la CNIL, les cas de dépôt de
plainte, les cas de communication aux personnes concernées et les exemptions.
§ L’identification d’une violation de données.
§ Les dispositifs pour anticiper la gestion d’une violation de données :
o L’organisation : Le comité Data Breach et les fonctions clés.
o Les outils : Gestion de crise, continuité et reprise d’activité.
ü Exercice : Examen de cas pratiques sur les 3 situations (perte de confidentialité, d’intégrité et de
disponibilité)
MODALITÉS D’ÉVALUATION : exercice, émargement, matrice EDA
DigitalPlace – Gouvernance des données 1FORMATION ACTION
« GOUVERNANCE DES DONNEES : FOCUS RH »
§ REFERENCE : GOUV-MP-Module 3a-RH
§ INTERVENANT (E-S) : Pascale Perez ou Jean-Marc Sépio
§ PUBLIC CONCERNE : les responsables de traitement des données personnelles internes de
l’entreprise : DG, DRH, DAF, toute personne en charge de la gestion RH en interne
§ PRÉREQUIS : Connaître les notions de base et des fondamentaux de la gouvernance des données
personnelles et du Règlement Général de la Protection des Données. Avoir établi sa cartographie
des données personnelles des collaborateurs et des traitements RH.
§ MODALITES PEDAGOGIQUES : Formation action
§ LIEU : DigitalPlace
§ DUREE : 8 heures
§ COÛT : 500 € HT par participant
DESCRIPTIF DE LA FORMATION
OBJECTIFS :
§ Etablir sa documentation et l’organisation à mettre en œuvre pour une mise en conformité RGPD sur les
traitements RH.
CONTENUS :
§ Revue des traitements RH concernés par la protection des données personnelles
o Les processus RH concernés
o Les processus à risque
ü En atelier : Compléter le registre des activités de traitement pour les traitements RH & identifier les
traitements de données sensibles nécessitant une analyse d’impact
§ L’état de l’art des documents RH à modifier
o Les mentions à faire figurer sur les offres d’emploi
o Le processus de recrutement à documenter
o Le livret d’accueil
o Les codes de bonne conduite / déontologie / confidentialité
o Le règlement intérieur et la consultation du CSE
o La charte informatique
o Les contrats de travail
o Les contrats avec les sous-traitants : éditeurs de logiciel, expert-comptable…
o Les politiques de conservation des données personnelles RH
ü Atelier de co-construction : Revue de l’ensemble des documents ‘standards’ dans le cadre de la gestion
RH : Revue des contrats, de la charte informatique, du règlement intérieur (si existant), du livret
d’accueil…
MODALITÉS D’ÉVALUATION : Révision des documents et clauses rédigées en séance, émargement, matrice EDA
DigitalPlace – Gouvernance des données 1FORMATION ACTION
« GOUVERNANCE DES DONNEES :
FOCUS COMMUNICATION/MARKETING/COMMERCIAL »
§ REFERENCE : GOUV-MP-Module 3b-COM/MAR
§ INTERVENANT (E-S) : Pascale Perez ou Jean-Marc Sépio
§ PUBLIC CONCERNE : les responsables de traitement des données personnelles externes de l’entreprise :
Directeur ou Responsable Communication, marketing, commercial
§ PRÉREQUIS : Connaître les notions de base et des fondamentaux de la gouvernance des données
personnelles et du Règlement Général de la Protection des Données.
§ MODALITES PEDAGOGIQUES : Formation action
§ LIEU : DigitalPlace
§ DUREE : 8 heures
§ COÛT : 500 € HT par participant
DESCRIPTIF DE LA FORMATION
OBJECTIFS :
§ S’approprier les règles juridiques et les bonnes pratiques à mettre en œuvre au niveau des services
marketing et communication pour assurer la conformité des collectes de données mises en œuvre ainsi
que la confiance des clients/prospects/assurés visés par ces collectes.
CONTENUS :
§ Les éléments d’une réglementation qui impacte les activités communication, marketing et commercial
o Le Règlement européen sur la Protection des Données
o Le Règlement e-Privacy sur les cookies
o Le Privacy Shield
§ La collaboration interne
o La coopération avec le DPO et les autres responsables de traitements.
§ La transformation des contraintes réglementaires en opportunités
o L’accompagnement de la démarche de mise en conformité.
§ La mise en œuvre les bonnes pratiques en matière de consentement
o Les vecteurs et les modalités du recueil du consentement.
o Les bonnes pratiques en matière de e-marketing
ü Exercice : À partir de situations clés, définir les modalités de recueil de consentement.
§ L’encadrement des outils communication, marketing et commercial
o Encadrement des outils traditionnels
o L’encadrement du Big Data et de l’IA.
§ La gestion de la conformité et de l’exercice des droits
o Les mentions à intégrer dans les documents, de communication, marketing et commercial.
o Les contributions dans l’établissement d’une politique de protection des données, la mise à jour
des Conditions Générales de Vente et dans l’exercice des droits.
ü Atelier de co-construction : Revue de l’ensemble des documents ‘standards’ dans le cadre de la gestion
RH : Revue des contrats, de la charte informatique, du règlement intérieur (si existant), du livret
d’accueil…
MODALITÉS D’ÉVALUATION : Révision des documents et clauses rédigées en séance, émargement, matrice EDA
DigitalPlace – Gouvernance des données 1FORMATION ACTION
« GOUVERNANCE DES DONNEES :
FOCUS DIRECTION DES SYSTEMES D’INFORMATION »
§ REFERENCE : GOUV-MP-Module 3c-DSI
§ INTERVENANT (E-S) : Eric Coatantiec ou Jean-Marc Sépio
§ PUBLIC CONCERNE : les responsables de traitement des données personnelles de l’entreprise : Directeur
des systèmes d’information, responsable des systèmes d’information
§ PRÉREQUIS : Connaître les notions de base et des fondamentaux de la gouvernance des données et les
bonnes pratiques en matière de SI.
§ MODALITES PEDAGOGIQUES : Formation action
§ LIEU : DigitalPlace
§ DUREE : 8 heures
§ COÛT : 500 € HT par participant
DESCRIPTIF DE LA FORMATION
OBJECTIFS :
§ Dégager les actions de conformité sur la gouvernance des données pilotées par une DSI.
CONTENUS :
§ Comprendre le concept de security by design
o Le Privacy by Design et les sept principes fondamentaux
o Le Privacy by default, comme la garantie apportée par les mesures intégrées nativement dans le
service.
o La formalisation du Privacy by Design et Privacy by default
- L’approche par les processus.
- L’hygiène informatique et sensibilisation des collaborateurs de la DSI à la « privacy ».
o Systématiser la « security by default »
ü Exercice : A partir d’une cartographie de processus, mettre en œuvre le security by design.
§ Mettre à niveau la sécurité du SI et de la gestion des risques
o Le périmètre : la politique, l’infrastructure et l’interopérabilité , les contrats gérés par la DSI.
o La méthodologie d’évaluation du niveau de sécurité et le maintien de la conformité : l’audit de
sécurité (réglementation, avantages, coût etc.).
ü Exercice : Examen de cas pratiques basés sur l’analyse d’activités de différentes DSI : établissements
d’un diagnostic d’état des lieux et d’un plan d’action.
MODALITÉS D’ÉVALUATION : Exercice, émargement, matrice EDA
DigitalPlace – Gouvernance des données 1FORMATEURS
Pascale PEREZ Jean-Marc SEPIO
Pascale a exercé les fonctions de DRH, elle est Juriste de formation, Jean-Marc est gérant et associé
aujourd’hui présidente de RH TO YOU et associé de société de conseil. Il est spécialisé en gestion des
de société́ de conseil. Elle est également DPO risques, conformité, et continuité d’activité.
externalisée. DOMAINES DE COMPETENCE
DOMAINES DE COMPETENCE § Conformité RGPD
§ Intervenante vacataire Toulouse Business § Conception de dispositifs de gestion de crise
School en mastère RH § Conception des plans de continuité d’activité
§ Mise en conformité́ RGPD § Formation à la gestion de crise et continuité
§ Diagnostic de performance de la fonction RH d’activité
§ Gestion Prévisionnelle des Compétences PRINCIPAUX PROJETS
§ Accompagnement aux changements Industrie : AIRBUS – SAFRAN – LIEBHERR AEROSPACE –
§ Aide au choix SIRH DAHER – TOTAL – EDF – PAREXGROUP - PAPREC -
PERKINS FOOD - PIERRE FABRE DERMO COSMETIQUE
PRINCIPAUX PROJETS
– IMERYS ALUMINATES – CHRYSO.
Industrie : TOTAL, TIGF, LABORATOIRES PIERRE
Public : MINISTERE DE L’INTERIEUR (Gestion de crise pour
FABRE
12 préfectures en France) - MINISTERE DES TRANSPORTS
Public/parapublic : DEFENSEUR DES DROITS,
- MUSEE DU LOUVRE – ACOSS – INRIA – OCDE -
UNIVERSITE PAUL SABATIER, SMTC, TISSEO,
MAIRIES (ORLEANS, AIX-EN-PROVENCE, BAYONNE,
URSSAF,
BEZIERS, CASTELGINEST ...) – AGENCES DE L’EAU –
Services / Finance : CAPITOLE FINANCE – LYRA
CG30 – ECOLE CENTRALE DE PARIS.
NETWORK
Services : NOUVELLES PYRENEES (8 stations de ski/2
Prévoyance : IRSO/APSO, PREMALLIANCE,
sites d’exceptions dont le Pic du Midi).
GROUPAMA VIE, GAN Prévoyance, SNCF, ASTIA, Finance : SOCIETE GENERALE – LA BANQUE POSTALE –
GECINA, N’PY CAISSES D’EPARGNE - CAPITOLE FINANCE – LYRA
NETWORK
Eric COANTANTIEC Isabelle LHERMITE
Certifié ITIL et titulaire d’un MBA Executive Officier de gendarmerie, Isabelle dirige un cabinet de
Management, Eric est dirigeant de PME sécurité économique. Elle est spécialisée en
numérique, et expert dans le pilotage de projets IT intelligence économique et protection des
complexes. entreprises.
DOMAINES DE COMPETENCE DOMAINES DE COMPETENCE
§ Pilotage de projets IT complexes § Management stratégique de l’information
§ Audit des SI - Protection du capital informationnel,
§ Mise en œuvre de plateforme SaaS gouvernance de l’information
§ management/coaching - Collecte, analyse et fourniture de données
§ Sécurité informatique pour la prise de décision stratégique
PRINCIPAUX PROJETS - Accompagnement des dirigeants dans
BGH, AIRBUS, SOGETI High tech, EDF, CAP GEMINI l’interculturel
ERNST & YOUG, FNAC, SETTIS, LA BANQUE POSTALE, § Formation en intelligence et sécurité économique
MAIF, ARAPL , TEDDY SMITH, PRINTEMPS, OPEL § Management d’équipe et gestion du changement
§ Technique : bancaire, juridique
DigitalPlace – Gouvernance des données - Prédiagnostic 1DigitalPlace
Association Loi 1901 créée le 10 mars 2011.N° SIRET: 531 081 693 000 32.
Déclaration d’activité n° 73 31 065585 31 enregistrée auprès du préfet de région de Midi PyrénéesVous pouvez aussi lire
