PROGRAMME DES FORMATIONS DPO EN CINQ JOURS - RESUME Christophe Boeraeve - IDDUP

La page est créée Laetitia Marion
 
CONTINUER À LIRE
PROGRAMME DES FORMATIONS DPO EN CINQ JOURS - RESUME Christophe Boeraeve - IDDUP
PROGRAMME
   DES                       RESUME
                             L’objectif de cette formation est de co-

FORMATIONS                   construire avec les participants les
                             connaissances et outils indispensables à un
                             DPO (futur ou déjà en fonction).
                             Christophe Boeraeve

DPO EN CINQ
  JOURS
    Par LAW-RIGHT ET IDDUP

                                                                    1
PROGRAMME DES FORMATIONS DPO EN CINQ JOURS - RESUME Christophe Boeraeve - IDDUP
Formation UNIQUE                                       en francophonie
               « DATA PRACTICAL OFFICER »
                                        Par LAW-RIGHT

              Le Droit de la Protection des Données (DPD) et de la Vie Privée (VP)

Nos cartes maitresses :

   1. Enseignement et équipes pédagogiques réputées depuis 20 ans+
   2. Cours en FR & ENG/NL qui couvrent les 50 articles essentiels pour toute organisation
   3. Formateurs poly-certifiés (France/Grande-Bretagne/Grand-duché de Luxembourg/Pays-
      Bas et International) :

   4. Formation en CINQ JOURS (rendue possible par le programme Data Practical Officer
      original© et les « 7 recettes du succès »).
   5. Programme de 6 JOURS (5 + 1 propre au droit français) en 2019 pour obtenir les
      certifications de la CNIL et/ou bureau Veritas Paris.

Formateurs:
   1. Christophe BOERAEVE (CB), AVOCAT international également DPO en France, Belgique,
      Grand-duché de Luxembourg et Grande-Bretagne
   2. Assaf BENSOUSSAN (AB), Juriste
   3. Thierry BELLOCCHI (TB), Spécialiste en Cybersécurité
   4. Chantal BASTIDE (CBA), Avocate spécialisée en protection des données à caractère
      personnel et de la vie privée
   5. Isabelle DAMOISAUX-DELNOY (IDD), Spécialiste en Communication, Relations publiques
      et Gestion de crise.

                                                                                             2
PROGRAMME DES FORMATIONS DPO EN CINQ JOURS - RESUME Christophe Boeraeve - IDDUP
Programme et contenu de la Formation : les « 7 clés du succès »

Le programme COMPLET DPO original© ou « Data Practical Officer », garantit à chaque
participant d’acquérir les 6 fondements de la maturité au GDPR/la certification d’un DPO selon la
CNIL (ou dans un premier temps les compétences DPO selon la CNIL) à l’aide de la méthode
originale LES 7 CLES DU SUCCES :

       1) Les 50 articles essentiels du RGPD sont exposés sur la base d’une méthode originale Data
           Practical Officer© : le RGPDA©, « A » pour annoté ; et
       2) Chaque participant reçoit un exemplaire du RGPDA© annoté avec les instructions, avis et
           recommandations d’une ou de plusieurs Autorité(s) de Protection des Données/Agences
           nationale pour la sécurité des systèmes d’information selon la méthode des 6 c’s1 :

         • COMMISSION NATIONALE INFORMATIQUE ET LIBERTES
         • AGENCE NATIONALE POUR LA SECURITE DES SYSTEMES D’INFORMATION

         • AUTORITE DE PROTECTION DES DONNEES
         • CENTRE POUR LA CYBERSECURITE BELGIQUE

         • COMMISSION NATIONALE POUR LA PROTECTION DES DONNEES
        • AGENCE NATIONALE POUR LA SECURITE DES SYSTEMES D’INFORMATION LUXEMBOURG

             (Aussi disponible pour        et sur demande pour tout autre des 31 pays européens
             concernés par le RGPD).

       3) Les participants commentent et annotent, à leur tour, les 50 articles essentiels tout au long
           du cursus et les connectent entre eux ; etIls disposent du manuscrit original rédigé par le
           formateur : « Le GDPR ou la Grande Dame qui Protège et qui Rassure »© ; et

1
    Méthode des 6 c’s.

                                                                                                     3
PROGRAMME DES FORMATIONS DPO EN CINQ JOURS - RESUME Christophe Boeraeve - IDDUP
4) Ils s’entrainent à utiliser un logiciel d’assistance à la conformité RGPD dédié de leur
          entreprise ou à défaut Data Privacy Box (notamment) ; et
     5) Tant avant - que pendant et après la formation – les séminaristes multiplient les lectures
          préparatoires et complémentaires et s’initient à (re)trouver seuls les informations selon
          la méthode des 6 c’s©2 ; et
     6) Les participants connectent directement les enseignements avec leur réalité et situations
          concrètement rencontrées dans l’entreprise, le département, les questions des clients,
          fournisseurs ou partenaires, …
     7) Les participants connectent directement les enseignements avec leur réalité et situations
          concrètement rencontrées dans l’entreprise, le département, les questions des clients,
          fournisseurs ou partenaires, …

En effet, la fonction de délégué à la protection des données (DPO-DPD) relève du droit récent et
doit être appréhendée avec toute la précaution nécessaire. Pour cela, il est important d’opérer un
va-et-vient permanent entre les sujets théoriques et outils pratiques qui leurs seront
indispensables et les situations concrètes de la vie en entreprise.

En tant que " chef d’orchestre" de la conformité en matière de protection des données au sein de
l'organisme qui vous a désigné, vous serez principalement chargé :

     •     d’informer et de conseiller l'organisme qui vous a désigné, ainsi que ses employés ;
     •     de contrôler le respect du règlement et du droit national en matière de protection des
           données ;
     •     de conseiller l’organisme sur la réalisation d’une analyse d'impact relative à la protection
           des données et d’en vérifier l’exécution ;
     •     être contacté par les personnes concernées pour toute question ;
     •     de coopérer avec la CNIL et d’être son point de contact.

2
 Pour retrouver les articles, utiliser : https://www.gdpr-expert.eu/#articles. Les articles sont des liens hypertextes. Pour un développement de la
méthode des 6 c’s : http://www.law-right.com/fr/notre-cabinet/6-checks-pour-optimiser-votre-dossier/.

                                                                                                                                                      4
PROGRAMME DES FORMATIONS DPO EN CINQ JOURS - RESUME Christophe Boeraeve - IDDUP
Les 3 spirales

1. Lectures préparatoires
2. Tests en ligne
3. Préparation des
   présentations
4. Journées de formation

                                                                 MATIN
                                                          6. 1H Présentations et
                                                             fixation des objectifs
                                                             (9-10h)
                                                          7. 1H30 exposé interactif
                                                             (10-11h30)
                                                          8. 1H ateliers (11h30-
                                                             12h30)
                                                          9. Déjeuner

                                                                    APRES-MIDI

                                                            1. 30 MIN soft-skills et
                                                               communication/ventes
                                                               (13h30-14h)
                                                            2. 1H30 exposé interactif
                                                               (14-15h30)
          1. Appropriation des 7 clés
                                                            3. 45 MIN préparation en
             du succès© dès Journée
                                                               groupes (15h30-16h15)
             1-8 jours et tout au long
                                                            4. 45 MIN présentations
             de la formation
                                                               en groupes (16h15-17h)
          2. Priorisation et choix de
                                                            5. 30 MIN debriefing,
             ces clés du succès
                                                               évaluations objectifs et
          3. Lectures/Etudes et
                                                               présentation première
             Exercices
                                                               spirale de la prochaine
             préparatoires/Tests en                                             5
                                                               journée
             ligne/Sites APD/Journée
             comme DPO pro
          4. Examen
PROGRAMME DES FORMATIONS DPO EN CINQ JOURS - RESUME Christophe Boeraeve - IDDUP
1 : Préparation de la PREMIERE journée

            1.1.     Lectures préparatoires

       1. CYBERSÉCURITÉ GUIDE POUR LES PME
       2. BIBLIOTHÈQUE RGPD
       3. RGPD VADE-MECUM POUR LES PME
       4. GUIDE BELGE DE LA CYBERSÉCURITÉ
       5. RÈGLEMENT EUROPÉEN SUR LA PROTECTION DES DONNÉES PERSONNELLES :
          SE PRÉPARER EN 6 ÉTAPES
       6. LES BONS REFLEXES POUR LES TPE ET PME:
          > RGPD : passer à l'action
          > RGPD : notions clés et bons réflexes
          > RGPD : par où commencer
          > RGPD : points de vigilance
          > RGPD : en pratique
       7. GUIDE SECURITE DES DONNEES PERSONNELLES

      TEMPS ESTIME REQUIS POUR LES LECTURES PREPARATOIRES (TIMER & ALARME) :

            1.2.     Tests en ligne

Et puisque nous commençons donc la formation dès la lecture de ce programme, aiguisons donc
nos sens et nos deux hémisphères cérébraux avec ces tests à rapprocher des 3 approches du
règlement.

En règle, pour satisfaire les 3 approches convergentes retenues par le Règlement (Technologique,
Organisationnelle et Légale ou TOL) avec la conformité comme destination, une équipe multi-
disciplinaire doit être constituée et organisée.

                                                                                              6
PROGRAMME DES FORMATIONS DPO EN CINQ JOURS - RESUME Christophe Boeraeve - IDDUP
De manière itérative, le Règlement va requérir 3 approches distinctes et convergentes pour
atteindre cet objectif hautement désirable : la sauvegarde et la protection des données :

   1. Approche légale et juridique. Des instructions et autres articles de loi nous guident tout
      au long d’une voie qui ne comprend pas vraiment d’arrivée permanente et finale ; et
   2. Approche informatique/technologique. Des moyens et ressources des technologies de
      l’information, des réseaux et de l’informatique articulent la réponse aux volontés de nuire
      des hackers ou aux simples incidents ou accidents qui peuvent aboutir à des
      pertes/altérations de données. Il s’agit autant de solutions en termes de matériels
      informatiques (« hardware ») que de logiciels (« software ») ; et
   3. Approche organisationnelle/humaine. Les deux premières solutions, froides comme
      peuvent l’être des codes juridiques ou des machines électroniques, sont (encore à ce jour)
      toujours conçues et actionnées par des êtres humains. Les procédures, politiques et autres
      instructions ou check-lists organisent les solutions juridiques et techniques en rassemblant
      les personnes concernées par la protection des données dans l’entreprise.

   1.2.1. Approche légale

          PREMIER TEST GDPR : VOTRE ORGANISATION GÈRE-T-ELLE CORRECTEMENT LES
          DONNÉES PERSONNELLES ?

                                                                                                7
PROGRAMME DES FORMATIONS DPO EN CINQ JOURS - RESUME Christophe Boeraeve - IDDUP
SECOND TEST GDPR : ACCÈS AU QUESTIONNAIRE DE MATURITÉ RGPD
      (qui aboutit à un rapport et une liste de tâches à réaliser, rapport avec les
      recommandations et points d’attention)

1.2.2. Approche NTIC

   PREMIER TEST : LE TEST DU PHISHING

   Je vous ai partagé un print-screen      de   mon   écran…   Qu’y   découvrez-vous
   d’intéressant comme futur DPO ?

                                                                                  8
PROGRAMME DES FORMATIONS DPO EN CINQ JOURS - RESUME Christophe Boeraeve - IDDUP
SECOND TEST : CYBERSECURITY GUIDE

1.2.3. Approche organisationnelle

1.2.3.1.   CNIL : RGPD : SE PRÉPARER EN 6 ÉTAPES

1.2.3.2. CNPD : SE CONFORMER EN 7 ÉTAPES : GUIDE DE PRÉPARATION AU NOUVEAU
        RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES

                                                                         9
PROGRAMME DES FORMATIONS DPO EN CINQ JOURS - RESUME Christophe Boeraeve - IDDUP
1.2.3.3.    APD : PRÉPAREZ-VOUS EN 13 ÉTAPES

           1.3.   Préparation des présentations

  1. Quand dans ma vie - privée et/ou professionnelle - ais-je été personnellement victime
      d’une violation de mes données à caractère personnel (DCP) ? (Si cela ne m’est jamais
      arrivé quid des fuites de données médiatisées ?)
  2. Comment ai-je réagi ? (Comment réagirais-je si cela ne m’est jamais arrivé)
  3. Quels changements depuis le 25 mai ? (Par rapport à la situation de la directive 95/46/EC)

                                                                                            10
1 : Préparation de la SECONDE journée

 1.1.     Lectures préparatoires

1. LA NOUVELLE LOI VIE PRIVÉE DE A À Z (POUR LES JEUNES)

                                      La vidéo
                                Fiche pédagogique
                     Support pédagogique visuel supplémentaire
                            Carnet des copains de classe
                         La nouvelle Loi vie privée de A à Z

2. SECNUMACADÉMIE – LA NOUVELLE FORMATION EN LIGNE MET LA CYBERSÉCURITÉ À
   LA PORTÉE DE TOUS

                                                                       11
Après un premier module qui dresse le « Panorama de la sécurité des systèmes d’information
(SSI) », le deuxième, tant attendu par les apprenants, est maintenant disponible.

Il est dédié à la « Sécurité de l’authentification », avec au programme :
     • Unité 1 : principes de l’authentification
     • Unité 2 : attaques sur les mots de passe
     • Unité 3 : sécuriser son mot de passe
     • Unité 4 : gérer ses mots de passe
     • Unité 5 : pour aller plus loin : notions de cryptographie

Chaque unité représente approximativement 1h20 de travail pour l’apprenant.

       3. CERTIFICATION DES COMPÉTENCES DU DPO : LA CNIL ADOPTE DEUX RÉFÉRENTIELS

Délibération n° 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de
certification des compétences du délégué à la protection des données (DPO)

Délibération n° 2018-317 du 20 septembre 2018 portant adoption des critères du référentiel
d'agrément d'organismes de certification pour la certification des compétences du délégué à la
protection des données (DPO)

       4. RÈGLEMENT EUROPÉEN PRESENTE PAR LA CNIL

   •    Textes officiels
   •    Comprendre le règlement
   •    Se préparer au règlement
   •    Téléchargez l'outil PIA

        TEMPS ESTIME REQUIS POUR LES LECTURES PREPARATOIRES (TIMER & ALARM) :

                                                                                           12
1.2.     Tests en ligne

1.2.1. Approche légale

   GDPR Compliance Support Tool de la CNPD

1.2.2. Approche NTIC

   PREMIER TEST : LES INCOLLABLES

       SECOND TEST : DATA PROTECTION SELF ASSESSMENT

                                                       13
TROISIEME TEST : 140 QUESTIONS LAW-RIGHT

      1.2.3. Approche organisationnelle

      1. Découvrez l'origine de vos points forts
      2. Test DISCp4 Pro : le management en couleurs
      3. MBTI test en français ou ici

      1.3.     Préparation des présentations

Vous allez être nommé DPO d’une PME française active dans le secteur de l’apprentissage des
langues étrangères (fiche de présentation en annexe 1).

Vous avez 5 minutes SHARP (minutées) et 5 slides pour nous rassurer… assurer (chaque
participant présente selon ordre fixé par des identifiants).

  Combien coûte votre mission ? Combien serez-vous ? Combien cela prendra-t-il de temps ?
            Quelles sont les étapes ? Avez-vous l’expérience de mon secteur ?
                         Pourquoi vous faire confiance (à VOUS) ?

             1 : Préparation de la TROISIEME journée

          3.1.        Lectures préparatoires

     1. ELEMENTS ESSENTIELS MINIMUMS QU'UNE FORMATION DPD DOIT CONTENIR
     2. DPO : PAR OÙ COMMENCER ?
     3. S'INFORMER SUR LE RGPD
        > Les questions fréquentes sur le RGPD
        > RGPD : ce qui change pour les professionnels
        > RGPD : ce qui change pour les collectivités
        > Le droit à la portabilité
        > Devenir délégué à la protection des données
        > Ce qu'il faut savoir sur l’analyse d’impact relative à la protection des données
        (DPIA)
     4. NOUVEAUTÉS SUR LE PIA : GUIDES, OUTIL, « PIAF », ÉTUDE DE CAS
     5. TELECHARGER LE PIA DE LA CNIL
     6. GUIDES DE LA CNIL : LA SÉCURITÉ DES DONNÉES PERSONNELLES
     7. FONDEMENT JURIDIQUE DU TRAITEMENT
     8. QUELQUES DEFINITIONS POUR BIEN COMPRENDRE LE RGPD
     9. GUIDE TO THE GENERAL DATA PROTECTION REGULATION (GDPR)

                                                                                        14
TEMPS ESTIME REQUIS POUR LES LECTURES PREPARATOIRES (TIMER & ALARM) :

       3.2.       Tests en ligne

       3.2.1.     Approche légale

      Êtes-vous « RGPD friendly » ?

       3.2.2.     Approche NTIC

La sécurité de l’information pour tous : Réduisez vos expositions aux risques informatiques

                                   STARTUP SECURITY KIT

                                       DIAGNOSTIC

                                                                                              15
3.2.3.      Approche organisationnelle

           3.3.        Préparation des présentations

Le responsable de la sécurité des systèmes d'information (RSSI ; en anglais, Chief Information
Security Officer ou CISO) de la société de tests linguistiques me pose la question de savoir s’ils
doivent nommer un DPO ?

Ne connaissant pas suffisamment son entreprise, je décide de me préparer en testant et
appliquant les 7 clés du succès© à MON entreprise (existante ou à constituer, principale ou
accessoire) ou à UNE de mes entreprises.

Délivrables à préparer de manière individuelle (un participant présentera sa réponse au groupe
après avoir été identifié sur base de critères fantaisistes) et à présenter au groupe divisé en 2
(DPO/CLIENT) :

   1. Réponse STRUCTUREE en veillant particulièrement à utiliser le RGPD annoté©
   2. Présentation du PIA de la CNIL (le cas échéant) appliqué à MON/UNE de mes entreprise(s)
       :
     a) Nouveautés sur le PIA : guides, outil, « PIAF », étude de cas
     b) Outil PIA : téléchargez et installez le logiciel de la CNIL
     c) PiA, les bases de connaissance

Le logiciel PIA s’inscrit dans une démarche d’accompagnement des responsables de traitement
dans la mise en œuvre des obligations du RGPD. Disponible en français et en anglais, il facilite et
accompagne la conduite d’une analyse d’impact relative à la protection des données (AIPD), qui
deviendra obligatoire pour certains traitements à partir de mai 2018.

Cet outil vise aussi à faciliter l’appropriation des guides AIPD de la CNIL.

A qui s’adresse l’outil PIA?

L’outil s’adresse principalement aux responsables de traitement n’étant pas ou étant peu familiers
avec la démarche d'analyse d’impact relative à la protection des données (AIPD). Il s’agit d’une
version « prêt à l’emploi », se lançant facilement sur un poste de travail.

                                                                                                16
1 : Préparation de la QUATRIEME journée

   2.1.      Lectures préparatoires

1. DATA PROTECTION Le nouveau règlement sur la protection des données et ses
   conséquences pour les entreprises en Belgique
2. MEDEF
   • Principes de base GDPR
   • RGPD en 12 étapes
   • Rédaction et implementation procédures RGPD
   • Modèle clause de consentement
   • Privacy policy
   • Texte Règlement (UE) avec table de contenu
3. SUISSE : DÉCOUVRIR LA PROTECTION DES DONNÉES
4. … SUR MESURE

   2.2.      Tests en ligne

  2.2.1.     Approche légale

1. FOIRES AUX QUESTIONS (FAQ) DISPONIBLES SUR LE SITE ET DANS LA RUBRIQUE
   « BESOIN D’AIDE » PERMETTENT AUX PROFESSIONNELS COMME AU PUBLIC DE
   PRENDRE CONNAISSANCE, RAPIDEMENT ET SIMPLEMENT, DES PRINCIPALES
   NOUVEAUTÉS ISSUES DU RGPD
2. MODÈLE DE REGISTRE

  2.2.2.     Approche NTIC

   PREMIER TEST: AUDIT DE MATURITE DPB

   SECOND TEST : DONNEES VOLEES CHEZ SPEED-LIVRAISON

  2.2.3.     Approche organisationnelle

  SUR MESURE

   2.3.      Préparation des présentations

  SUR MESURE

                                                                         17
1 : Préparation de la CINQUIEME journée

          5.1.      Lectures préparatoires

1. UN GUIDE PRATIQUE POUR LE MONDE ASSOCIATIF

2. CHECK POINT: GRÂCE AU RGPD, POURREZ-VOUS LIRE TOUS LES EMAILS OÙ VOTRE PATRON
   PARLE DE VOUS?

3. GUIDE DE SENSIBILISATION AU RGPD POUR LES PETITES ET MOYENNES ENTREPRISES:

   FICHE 1 : Votre entreprise communique et/ou vend en ligne
   FICHE 2 : Améliorez et maîtrisez votre relation client
   FICHE 3 : Protégez les données de vos collaborateurs

4. 60 CYBERSECURITY PREDICTIONS FOR 2019 (OU ARTICLE SUR MEME SUJET EN FRANÇAIS)

          5.2.      Tests en ligne

      SUR MESURE

         5.2.1.     Approche légale
         5.2.2.     Approche NTIC
         5.2.3.     Approche organisationnelle

          5.3.      Préparation des présentations

                                                                                   18
JOUR 1

Domaine 1. - Réglementation générale en matière de protection des données et mesures
prises pour la mise en conformité

1.1. Règlement européen et loi française sur la protection des données - fondamentaux :

   1. Champ d'application

   •    Article 2 : Champ d'application matériel
   •    Article 3 : Champ d'application territorial

   2. Définitions et notions

   •    Article 4 : Définitions

   3. Organismes soumis aux obligations règlementaires

1.2. Règlement européen et loi française sur la protection des données - principes :

   •    Article 5 : Principes relatifs au traitement des données à caractère personnel

   1. Licéité du traitement
   2. Loyauté et transparence
   3. Limitation des finalités
   4. Minimisation des données
   5. Exactitude des données
   6. Conservation limitée des données
   7. Intégrité, confidentialité des données

1.3. Règlement européen et loi française sur la protection des données - validité du traitement
:
    1. Bases juridiques d'un traitement

   •   Article 6 : Licéité du traitement

   2. Consentement

   • Article 7 : Conditions applicables au consentement

                                                                                            19
3. Consentement des mineurs

•   Article 8 : Conditions applicables au consentement des enfants en ce qui concerne les
     services de la société de l'information

4. Catégories particulières de données à caractère personnel

•   Article 9 : Traitement portant sur des catégories particulières de données à caractère
     personnel

5. Données relatives aux condamnations pénales et aux infractions

•   Article 10 : Traitement des données à caractère personnel relatives aux condamnations
     pénales et aux infractions

1.4. Droits des personnes concernées :

1. Transparence et information

Chapitre 3 : Droits de la personne concernée

       Section 1 : Transparence et modalités

•   Article 12 : Transparence des informations et des communications et modalités de l'exercice
     des droits de la personne concernée

       Section 2 : Information et accès aux données à caractère personnel

• Article 13 : Informations à fournir lorsque des données à caractère personnel sont collectées
   auprès de la personne concernée
• Article 14 : Informations à fournir lorsque les données n'ont pas été collectées auprès de la
   personne concernée

2. Accès, rectification et effacement (droit à l'oubli)

•   Article 15 : Droit d'accès de la personne concernée

       Section 3 : Rectification et effacement

• Article 16 : Droit de rectification
• Article 17 : Droit à l'effacement ("droit à l'oubli")

3. Opposition

•   Article 21 : Droit d'opposition

4. Décisions individuelles automatisées

                                                                                            20
•   Article 22 : Décision individuelle automatisée, y compris le profilage

   5. Portabilité

   •   Article 20 : Droit à la portabilité des données

   6. Limitation du traitement

   •   Article 18 : Droit à la limitation du traitement

   7. Limitations des droits

   •    Article 23 : Limitations

1.5. Mesures prises pour la mise en conformité :

   1. Politiques ou procédure en matière de protection des données

Chapitre 2 : Principes

   •   Article 5 : Principes relatifs au traitement des données à caractère personnel

Section 2 : Sécurité des données à caractère personnel

   •   Article 32 : Sécurité du traitement

   •   Article 25 : Protection des données dès la conception et protection des données par défaut

   2. Qualification des acteurs d'un traitement de données : responsables du traitement,
       responsables conjoints du traitement, sous-traitants

Chapitre 4 : Responsable du traitement et Sous-traitant

          Section 1 : Obligations générales

   •   Article 24 : Responsabilité du responsable du traitement
   •   Article 25 : Protection des données dès la conception et protection des données par défaut
   •   Article 26 : Responsables conjoints du traitement
   •   Article 27 : Représentants des responsables du traitement ou des sous-traitants qui ne sont
        pas établis dans l'Union
   •   Article 28 : Sous-traitant

                                                                                               21
3. Formalisation des relations (contrat sous-traitant, accord entre responsables conjoints du
       traitement)

Idem point 2 ci-dessus

   4. Codes de conduite et certifications

          Section 5 : Codes de conduite et certification

   • Article 40 : Codes de conduite
   • Article 41 : Suivi des codes de conduite
   • Article 42 : Certification
   • Article 43 : Organismes de certification

1.6. Délégué à la protection des données (DPO) :

   1. Désignation et fin de mission

          Section 4 : Délégué à la protection des données

   •   Article 37 : Désignation du délégué à la protection des données

   2. Qualités professionnelles, connaissances spécialisées et capacité à accomplir ses missions

   •   Article 37 : Désignation du délégué à la protection des données

   3. Fonction du DPO (moyens, ressources, positionnement, indépendance, confidentialité,
       absence de conflit d'intérêts, formation)

   •   Article 38 : Fonction du délégué à la protection des données

   4. Missions du DPO et rôle du DPO en matière d'audits

   •   Article 39 : Missions du délégué à la protection des données

   5. Relations du DPO avec les personnes concernées et gestion des demandes d'exercice des
       droits

   •   Article 39 : Missions du délégué à la protection des données

   6. Coopération du DPO avec l'autorité de contrôle

                                                                                               22
•   Article 39 : Missions du délégué à la protection des données

   7. Qualités personnelles, travail en équipe, management, communication, pédagogie

1.7. Transferts de données hors de l'Union européenne :

Chapitre 5 : Transfert de données à caractère personnel vers des pays tiers ou à des organisations
internationales

   •    Article 44 : Principe général applicable aux transferts

   1. Décision d'adéquation

   •   Article 45 : Transferts fondés sur une décision d'adéquation

   2. Garanties appropriées

   •   Article 46 : Transferts moyennant des garanties appropriées

   3. Règles d'entreprise contraignantes

   •   Article 47 : Règles d'entreprise contraignantes

   4. Dérogations

   •   Article 49 : Dérogations pour des situations particulières

   5. Autorisation de l'autorité de contrôle

Section 2 : Compétence, missions et pouvoirs

   •   Article 55 : Compétence
   •   Article 56 : Compétence de l'autorité de contrôle chef de file
   •   Article 57 : Missions
   •   Article 58 : Pouvoirs
   •   Article 59 : Rapport d'activité

   6. Suspension temporaire

   7. Clauses contractuelles

1.8. Autorités de contrôle :
    1. Statut

                                                                                               23
Section 1 : Statut d'indépendance

   •   Article 51 : Autorité de contrôle

   •   Article 52 : Indépendance

   2. Pouvoirs

   •   Article 58 : Pouvoirs

   3. Régime de sanction

   •   Article 83 : Conditions générales pour l'imposition d'amendes administratives

   •   Article 84 : Sanctions

   4. Comité européen de protection des données

Section 3 : Comité européen de la protection des données

   •   Article 68 : Comité européen de la protection des données
   •   Article 69 : Indépendance
   •   Article 70 : Missions du comité
   •   Article 71 : Rapports
   •   Article 72 : Procédure
   •   Article 73 : Président
   •   Article 74 : Missions du président
   •   Article 75 : Secrétariat
   •   Article 76 : Confidentialité

   5. Recours juridictionnels

   Chapitre 8 : Voies de recours, Responsabilité et Sanctions

   •   Article 77 : Droit d'introduire une réclamation auprès d'une autorité de contrôle
   •   Article 78 : Droit à un recours juridictionnel effectif contre une autorité de contrôle
   •   Article 79 : Droit à un recours juridictionnel effectif contre un responsable du traitement ou
        un sous-traitant
   •   Article 80 : Représentation des personnes concernées
   •   Article 81 : Suspension d'une action

   6. Droit à réparation

   •   Article 82 : Droit à réparation et responsabilité

                                                                                                  24
1.9. Doctrine et jurisprudence :
    1. Lignes directrices du G29

   https://www.cnil.fr/fr/reglement-europeen/lignes-directrices                             &
   https://edps.europa.eu/data-protection/our-work/our-work-by-type/guidelines_fr           &
   https://ec.europa.eu/justice/article-29/documentation/index_en.htm

   2. Avis, lignes directrices et recommandations du comité européen de protection des données

   https://edpb.europa.eu/edpb_fr    &     https://edpb.europa.eu/our-work-tools/general-
   guidance/gdpr-guidelines-recommendations-best-practices_fr

   3. Jurisprudence française et européenne

                                        JOUR 2

                                                                                           25
Domaine 2. - Responsabilité

2.1. Analyse d'impact relative à la protection des données (AIPD)

Section 3 :Analyse d'impact relative à la protection des données et consultation préalable

   • Article 35 : Analyse d'impact relative à la protection des données
   • Article 36 : Consultation préalable

2.2. Protection des données dès la conception et par défaut

   •   Article 25 : Protection des données dès la conception et protection des données par défaut

2.3. Registre des activités de traitement (responsable de traitement) et registre des catégories
d'activités de traitement (sous-traitant)

   •   Article 30 : Registre des activités de traitement

2.4. Violations de données à caractère personnel, notification des violations et communication à
la personne concernée

Section 2 : Sécurité des données à caractère personnel

   • Article 32 : Sécurité du traitement
   • Article 33 : Notification à l'autorité de contrôle d'une violation de données à caractère
      personnel
   • Article 34 : Communication à la personne concernée d'une violation de données à carcatère
      personnel

Domaine 3. - Mesures techniques et organisationnelles pour la sécurité des données au regard

                                                                                              26
des                                                                                             risques

3.1. Pseudonymisation et chiffrement des données personnelles

      •   Article 4 : Définitions

      •   Article 5 : Principes relatifs au traitement des données à caractère personnel

3.2. Mesures pour garantir la confidentialité, l'intégrité et la résilience des systèmes et des services
de traitement

Section 2 : Sécurité des données à caractère personnel

      •   Article 32 : Sécurité du traitement

3.3. Mesures permettant de rétablir la disponibilité des données et l'accès aux données en cas
d'incident physique ou technique

Section 2 : Sécurité des données à caractère personnel

      •   Article 32 : Sécurité du traitement

                                                                                                     27
JOUR 3

                                                 +

Temps fort de la formation complète (5 jours) : partage entre participants DPO « pro du GDPR »
: explorations aventureuses du RGPD dans votre entreprise.

                     Soit les concepts ont déjà été :

                  1) Étudiés ;
                  2) Étudiés et exemplifiés ;
                  3) Étudiés, exemplifiés et pratiqués ;

                     Soit ils sont découverts et compris de manière inductive en « vie réelle »
                     accompagné de DPO reconnus et spécialistes en cybersécurité.

Les participants reçoivent dès la fin de la seconde journée un document intitulé « Briefing pour
votre première mission de DPO » qui présente leur premier client, ses activités (en particulier si
impliquant le traitement de DCP sensibles), sa structure, ses dirigeants, nombre de membres du
personnel,…

              Check-list des matières appliquées et vérifiées durant
                          la 3ème journée de formation:
   • Principes et Codes de protection des données personnelles et de la vie privée : directives,
      règlementations et législations.
   • Principes de la loi française sur la protection des données n° 78-17 du 6 janvier 1978,
      modifiée par la loi du 20 juin 2018 (loi relative « à l'informatique, aux fichiers et aux
      libertés”).
   • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la
      protection des personnes physiques à l'égard du traitement des données à caractère
      personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
      (Règlement Général sur la Protection des Données).

                                                                                               28
• Définitions
   • Licéité du traitement
   • Catégories de données (particulières ou sensibles)
   • Transparence, communication, information
   • Droit des personnes concernées
   • Droit à l’oubli
   • Droit à la portabilité
   • Protection des données dès la conception
   • Protection des données par défaut
   • Responsable de traitement & sous-traitant : obligations et responsabilités
   • Documentation obligatoire
   • Registre des activités de traitement
   • Sécurité des données et nécessité de mesures appropriées
   • Violation des données personnelles
   • Analyse d'impact relative à la protection des données (DPIA)
   • Délégué à la Protection de Données (DPD/DPO)
   • Certification de la protection des données (Bureau Veritas & CNIL)
   • Codes de conduite
   • Transferts de données à caractère personnel vers des pays tiers
   • Sanctions et pénalités
   • Autorités de contrôle
   • Guichet unique et coopération entre les autorités de contrôle
   • Comité Européen de la Protection des Données (CEPD)
   • Lignes directrices RGPD/avis CNIL et des autres autorités de protection de données
       francophones (Belgique et Grand-duché de Luxembourg) ou anglophones (ICO),
       recommandations du groupe 29/CEPD
   • Rôles et responsabilités (organigramme de la protection des données dans l’entreprise)
   • Applications pratiques de missions du DPD/DPO dans le groupe (international le cas
       échéant)/l’entreprise/le département ou fonction.

Avec une attention toute particulière aux Rôles et responsabilités (organigramme protection des
données dans l’entreprise concernée) ET la Désignation du représentant du responsable de
traitement.

Et une question transversale :

Quelles sont les conditions de notification à l’autorité de contrôle ?

                                                                                            29
JOUR 4

Section 5 : Codes de conduite et certification

   •   Article 40 : Codes de conduite
   •   Article 41 : Suivi des codes de conduite
   •   Article 42 : Certification
   •   Article 43 : Organismes de certification

Chapitre 5 : Transfert de données à caractère personnel vers des pays tiers ou à des organisations
internationales

   •   Article 44 : Principe général applicable aux transferts
   •   Article 45 : Transferts fondés sur une décision d'adéquation
   •   Article 46 : Transferts moyennant des garanties appropriées
   •   Article 47 : Règles d'entreprise contraignantes
   •   Article 48 : Transferts ou divulgations non autorisés par le droit de l'Union
   •   Article 49 : Dérogations pour des situations particulières
   •   Article 50 : Coopération internationale dans le domaine de la protection des données à
       caractère personnel.

Responsable du traitement et Sous-traitant
        Section 1 : Obligations générales

   •   Article 30 : Registre des activités de traitement

Analyse d'impact relative à la protection des données et consultation préalable

   •   Article 35 : Analyse d'impact relative à la protection des données
   •   Article 36 : Consultation préalable

                                                                                               30
JOUR 5

                                                 et

PROGRAMME SUR MESURE A CHAQUE GROUPE SELON LES ECHANGES DES 4 JOURNEES
PRECEDENTES.

Révision des questions et réponses (pédagogie interactive cf. brochure pédagogique en annexe)
ET approfondissement des sujets propres à chaque entreprise / participant pour préparer
l’examen (en ligne – la date est fixée avec les participants).

Félicitations ! Quelques bulles sont de rigueur : un moment convivial entre les participants et
les formateurs.
Nous annonçons la formation DPO 2.0. International© (suite de la première) : e-privacy
directive, trade secrets and cybersecurity / la protection des données et de la vie privée dans le
monde avec nos principaux pays partenaires commerciaux (capacité de lire des textes en anglais
requise).

                                                                                                31
ANNEXE 1 : CASUS ENTREPRISE FRANCAISE DE
                                     TESTS LINGUISTIQUES

NATURE DU TRAITEMENT

Tests des langues écrites et parlées - évaluation de personnes concernées (PC) pour leurs
compétences linguistiques et organisation/budgétisation de cours de formations en langues
étrangères.

La société assiste ses clients dans l’évaluation de 11 langues et dans 80 pays.

CONTEXTE DU TRAITEMENT

Les tests de langues sont soit généraux, soit spécialisés. La société réalise également des audits
et des tests.

Tests généraux

Les tests généraux, disponibles exclusivement en ligne, permettent aux entreprises d’évaluer les
compétences de leurs collaborateurs dans les langues suivantes : anglais, français, espagnol,
italien, allemand, portugais, néerlandais, flamand, suédois, russe et chinois mandarin.

L’interface a été traduite en 14 langues, ce qui permet aux candidats de consulter les résultats des
tests dans leur langue maternelle.

Chaque test dure de 45 à 60 minutes et se compose de 2 parties :
   1. grammaire et structures
   2. compréhension orale.

Les deux parties consistent en 60 questions chacune. Le candidat peut ensuite accéder
directement au rapport d’évaluation une fois le test terminé.

Les résultats sont notés sur une échelle de 0 (débutant) à 5 (bilingue). La société peut les comparer
au niveau linguistique exigé dans les différents postes au sein de l’entreprise.

Tests spécialisés

                                                                                                  32
La société a développé, en collaboration avec les plus grandes industries, des tests spécifiques à
certains secteurs.

Parmi les secteurs d’activité concernés :

• le domaine militaire:

en partenariat avec l’Armée de l’air française, la société a développé un test spécifique destiné à
évaluer les compétences en anglais dans un contexte militaire. Ce test reflète l’importance de la
communication en anglais avec l’OTAN et les forces des Nations Unies et se rapporte à des
situations concrètes vécues par les forces armées au sol.

• le domaine aérien:

des tests spécialisés dans la compréhension écrite en anglais pour le personnel de maintenance
des avions.

Audits originaux

L’audit original de la société représente une analyse complète préalable à la formation.

L’organisation d’un programme de formation linguistique pour les collaborateurs implique de
connaître non seulement leur niveau linguistique, mais aussi leurs objectifs professionnels, leurs
besoins                      et                        leurs                         contraintes.

Grâce à la plateforme de gestion de la société, les responsables de formation peuvent non
seulement organiser les évaluations et consulter les résultats, mais aussi identifier les besoins et
les objectifs du personnel.

En utilisant le Référentiel des Compétences Linguistiques associé à l’audit des besoins de la
société, le coordinateur de formation linguistique peut déterminer le niveau précis du
collaborateur au début de la formation ainsi que le niveau à atteindre. Grâce à ces informations,
le coordinateur décide du programme pédagogique approprié.

KISS, solution de dialogue international de la société (« Kick International Speaking Solutions »),
évalue de manière précise les compétences de communication orale des collaborateurs. Les tests
de la société sont reconnus en tant que norme internationale d’évaluation.

KISS associe une évaluation en ligne et un test de communication orale par téléphone, ce qui
permet d’obtenir une idée précise des compétences de communication orale.

Le test KISS est extrêmement complet : il évalue la compréhension écrite et orale ainsi que les
compétences de communication orale du candidat.

Compréhension écrite et orale :

                                                                                                 33
• vocabulaire
• grammaire et structures syntaxe
• richesse et complexité

Expression orale :

• prononciation
• intonation
• aisance
• compréhension orale

L’avantage de ce test de la société est double : il est fiable et les résultats sont immédiatement
visibles par les participants. KISS évalue les compétences en français, anglais, espagnol, allemand
et italien.

PROCÉDURE DE RÉALISATION DES TESTS/AUDITS

Lorsqu'un client signe un contrat – la société crée une plate-forme dédiée à l'entreprise cliente qui
lui permet de gérer ses propres administrateurs de tests/audits (ATA) et ses participants aux
tests/audits.

La société créé les comptes des administrateurs, typiquement les responsables dans l'entreprise :
le responsable de formation, le recruteur ou le responsable des RH typiquement qui inscrit les
participants au test dans le système - sur leur plateforme - à l'aide des champs: prénom, nom,
courriel, identifiants en ligne.

Un petit mail est envoyé au candidat par l'administrateur. Chaque administrateur à une page, par
ex : une société pétrolière administre les tests, créé un compte.

Soit l'administrateur fait venir la personne concernée sur place, soit il lui envoie les informations
de connexion par courriel - toute la prestation est ensuite automatisée.

Chaque participant peut ensuite utiliser la plateforme à l'aide de son login et mot de passe.

La plate-forme est customisable et chaque client a une URL, une personnalisation différente.

Chaque client peut avoir une ou plusieurs bases de traduction notamment pour identifier les
candidats. Exemples : administrateur de site ou évaluateur.

La société propose une architecture type et puis le client particularise cf. une entreprise de
recrutement a sa plate-forme selon ses sites. La société fait du sur mesure cf. la société pétrolière.
La société a des versions génériques et en créée des différentes sur mesure. Les données sont ou
globalisées       ou      séparées       cf.      les       deux       sociétés        mentionnées.

Les traitements sont identiques pour les différents clients.

                                                                                                   34
Le rapport est établi selon une ligne préétablie. C'est l'administrateur qui choisit si la personne
concernée reçoit ou non copie du rapport.

FINALITÉ DU TRAITEMENT             :   EVALUER      LA    CONNAISSANCE        LINGUISTIQUE      DES
CANDIDATS/EMPLOYÉS

La société suggère aux participants à ses tests des recommandations sur les points à améliorer,
pour progresser. L'approche est donc éducative et positive.

Le client - l'entreprise - communique ainsi une liste d'administrateurs qui peuvent créer des
comptes d'utilisateurs.

Les administrateurs des clients peuvent allouer des tests à leurs employés.

Les emails envoyés ne le sont que parce que l'employé s'est inscrit : pas de marketing direct ou de
profilage d'aucune manière.

L'administrateur récupère les scores et le rapport (ou non), le client peut faire des statistiques de
la plupart de ses candidats.

Le client a un contrôle total sur les tests: terminés, en cours, supprimés, questions restées
ouvertes, nombre de pauses ou coupures, les urgences au travail qui empêchent de terminer le
test, ...

Certains tests sont faits sur mesure, cf. dans l'armée de l'air, certains termes sont simplifiés pour
assurer une meilleure communication.

ENJEUX DU TRAITEMENT

Automatisation des évaluations linguistiques de personnels/étudiants en maximum 1 heure avec
max 60 questions écrites et 60 orales.

Aide au recrutement également pour les entreprises clientes. Les personnes concernées sont
évaluées automatiquement et reçoivent des suggestions pour s'améliorer.

Dans une société mondialisée, une France digitale et acteur économique, politique, sociale et
culturel mondiale, les capacités linguistiques des français doivent être sans cesse améliorée. Et
sans les mesurer, il est impossible de les connaître et de les développer.

                                        *                         *

                                                     *

                                                                                                  35
Vous pouvez aussi lire