PROGRAMME DES FORMATIONS DPO EN CINQ JOURS - RESUME Christophe Boeraeve - IDDUP
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
PROGRAMME
DES RESUME
L’objectif de cette formation est de co-
FORMATIONS construire avec les participants les
connaissances et outils indispensables à un
DPO (futur ou déjà en fonction).
Christophe Boeraeve
DPO EN CINQ
JOURS
Par LAW-RIGHT ET IDDUP
1
Formation UNIQUE en francophonie
« DATA PRACTICAL OFFICER »
Par LAW-RIGHT
Le Droit de la Protection des Données (DPD) et de la Vie Privée (VP)
Nos cartes maitresses :
1. Enseignement et équipes pédagogiques réputées depuis 20 ans+
2. Cours en FR & ENG/NL qui couvrent les 50 articles essentiels pour toute organisation
3. Formateurs poly-certifiés (France/Grande-Bretagne/Grand-duché de Luxembourg/Pays-
Bas et International) :
4. Formation en CINQ JOURS (rendue possible par le programme Data Practical Officer
original© et les « 7 recettes du succès »).
5. Programme de 6 JOURS (5 + 1 propre au droit français) en 2019 pour obtenir les
certifications de la CNIL et/ou bureau Veritas Paris.
Formateurs:
1. Christophe BOERAEVE (CB), AVOCAT international également DPO en France, Belgique,
Grand-duché de Luxembourg et Grande-Bretagne
2. Assaf BENSOUSSAN (AB), Juriste
3. Thierry BELLOCCHI (TB), Spécialiste en Cybersécurité
4. Chantal BASTIDE (CBA), Avocate spécialisée en protection des données à caractère
personnel et de la vie privée
5. Isabelle DAMOISAUX-DELNOY (IDD), Spécialiste en Communication, Relations publiques
et Gestion de crise.
2
Programme et contenu de la Formation : les « 7 clés du succès »
Le programme COMPLET DPO original© ou « Data Practical Officer », garantit à chaque
participant d’acquérir les 6 fondements de la maturité au GDPR/la certification d’un DPO selon la
CNIL (ou dans un premier temps les compétences DPO selon la CNIL) à l’aide de la méthode
originale LES 7 CLES DU SUCCES :
1) Les 50 articles essentiels du RGPD sont exposés sur la base d’une méthode originale Data
Practical Officer© : le RGPDA©, « A » pour annoté ; et
2) Chaque participant reçoit un exemplaire du RGPDA© annoté avec les instructions, avis et
recommandations d’une ou de plusieurs Autorité(s) de Protection des Données/Agences
nationale pour la sécurité des systèmes d’information selon la méthode des 6 c’s1 :
• COMMISSION NATIONALE INFORMATIQUE ET LIBERTES
• AGENCE NATIONALE POUR LA SECURITE DES SYSTEMES D’INFORMATION
• AUTORITE DE PROTECTION DES DONNEES
• CENTRE POUR LA CYBERSECURITE BELGIQUE
• COMMISSION NATIONALE POUR LA PROTECTION DES DONNEES
• AGENCE NATIONALE POUR LA SECURITE DES SYSTEMES D’INFORMATION LUXEMBOURG
(Aussi disponible pour et sur demande pour tout autre des 31 pays européens
concernés par le RGPD).
3) Les participants commentent et annotent, à leur tour, les 50 articles essentiels tout au long
du cursus et les connectent entre eux ; etIls disposent du manuscrit original rédigé par le
formateur : « Le GDPR ou la Grande Dame qui Protège et qui Rassure »© ; et
1
Méthode des 6 c’s.
3
4) Ils s’entrainent à utiliser un logiciel d’assistance à la conformité RGPD dédié de leur
entreprise ou à défaut Data Privacy Box (notamment) ; et
5) Tant avant - que pendant et après la formation – les séminaristes multiplient les lectures
préparatoires et complémentaires et s’initient à (re)trouver seuls les informations selon
la méthode des 6 c’s©2 ; et
6) Les participants connectent directement les enseignements avec leur réalité et situations
concrètement rencontrées dans l’entreprise, le département, les questions des clients,
fournisseurs ou partenaires, …
7) Les participants connectent directement les enseignements avec leur réalité et situations
concrètement rencontrées dans l’entreprise, le département, les questions des clients,
fournisseurs ou partenaires, …
En effet, la fonction de délégué à la protection des données (DPO-DPD) relève du droit récent et
doit être appréhendée avec toute la précaution nécessaire. Pour cela, il est important d’opérer un
va-et-vient permanent entre les sujets théoriques et outils pratiques qui leurs seront
indispensables et les situations concrètes de la vie en entreprise.
En tant que " chef d’orchestre" de la conformité en matière de protection des données au sein de
l'organisme qui vous a désigné, vous serez principalement chargé :
• d’informer et de conseiller l'organisme qui vous a désigné, ainsi que ses employés ;
• de contrôler le respect du règlement et du droit national en matière de protection des
données ;
• de conseiller l’organisme sur la réalisation d’une analyse d'impact relative à la protection
des données et d’en vérifier l’exécution ;
• être contacté par les personnes concernées pour toute question ;
• de coopérer avec la CNIL et d’être son point de contact.
2
Pour retrouver les articles, utiliser : https://www.gdpr-expert.eu/#articles. Les articles sont des liens hypertextes. Pour un développement de la
méthode des 6 c’s : http://www.law-right.com/fr/notre-cabinet/6-checks-pour-optimiser-votre-dossier/.
4
Les 3 spirales
1. Lectures préparatoires
2. Tests en ligne
3. Préparation des
présentations
4. Journées de formation
MATIN
6. 1H Présentations et
fixation des objectifs
(9-10h)
7. 1H30 exposé interactif
(10-11h30)
8. 1H ateliers (11h30-
12h30)
9. Déjeuner
APRES-MIDI
1. 30 MIN soft-skills et
communication/ventes
(13h30-14h)
2. 1H30 exposé interactif
(14-15h30)
1. Appropriation des 7 clés
3. 45 MIN préparation en
du succès© dès Journée
groupes (15h30-16h15)
1-8 jours et tout au long
4. 45 MIN présentations
de la formation
en groupes (16h15-17h)
2. Priorisation et choix de
5. 30 MIN debriefing,
ces clés du succès
évaluations objectifs et
3. Lectures/Etudes et
présentation première
Exercices
spirale de la prochaine
préparatoires/Tests en 5
journée
ligne/Sites APD/Journée
comme DPO pro
4. Examen
1 : Préparation de la PREMIERE journée
1.1. Lectures préparatoires
1. CYBERSÉCURITÉ GUIDE POUR LES PME
2. BIBLIOTHÈQUE RGPD
3. RGPD VADE-MECUM POUR LES PME
4. GUIDE BELGE DE LA CYBERSÉCURITÉ
5. RÈGLEMENT EUROPÉEN SUR LA PROTECTION DES DONNÉES PERSONNELLES :
SE PRÉPARER EN 6 ÉTAPES
6. LES BONS REFLEXES POUR LES TPE ET PME:
> RGPD : passer à l'action
> RGPD : notions clés et bons réflexes
> RGPD : par où commencer
> RGPD : points de vigilance
> RGPD : en pratique
7. GUIDE SECURITE DES DONNEES PERSONNELLES
TEMPS ESTIME REQUIS POUR LES LECTURES PREPARATOIRES (TIMER & ALARME) :
1.2. Tests en ligne
Et puisque nous commençons donc la formation dès la lecture de ce programme, aiguisons donc
nos sens et nos deux hémisphères cérébraux avec ces tests à rapprocher des 3 approches du
règlement.
En règle, pour satisfaire les 3 approches convergentes retenues par le Règlement (Technologique,
Organisationnelle et Légale ou TOL) avec la conformité comme destination, une équipe multi-
disciplinaire doit être constituée et organisée.
6
De manière itérative, le Règlement va requérir 3 approches distinctes et convergentes pour
atteindre cet objectif hautement désirable : la sauvegarde et la protection des données :
1. Approche légale et juridique. Des instructions et autres articles de loi nous guident tout
au long d’une voie qui ne comprend pas vraiment d’arrivée permanente et finale ; et
2. Approche informatique/technologique. Des moyens et ressources des technologies de
l’information, des réseaux et de l’informatique articulent la réponse aux volontés de nuire
des hackers ou aux simples incidents ou accidents qui peuvent aboutir à des
pertes/altérations de données. Il s’agit autant de solutions en termes de matériels
informatiques (« hardware ») que de logiciels (« software ») ; et
3. Approche organisationnelle/humaine. Les deux premières solutions, froides comme
peuvent l’être des codes juridiques ou des machines électroniques, sont (encore à ce jour)
toujours conçues et actionnées par des êtres humains. Les procédures, politiques et autres
instructions ou check-lists organisent les solutions juridiques et techniques en rassemblant
les personnes concernées par la protection des données dans l’entreprise.
1.2.1. Approche légale
PREMIER TEST GDPR : VOTRE ORGANISATION GÈRE-T-ELLE CORRECTEMENT LES
DONNÉES PERSONNELLES ?
7
SECOND TEST GDPR : ACCÈS AU QUESTIONNAIRE DE MATURITÉ RGPD
(qui aboutit à un rapport et une liste de tâches à réaliser, rapport avec les
recommandations et points d’attention)
1.2.2. Approche NTIC
PREMIER TEST : LE TEST DU PHISHING
Je vous ai partagé un print-screen de mon écran… Qu’y découvrez-vous
d’intéressant comme futur DPO ?
8
SECOND TEST : CYBERSECURITY GUIDE
1.2.3. Approche organisationnelle
1.2.3.1. CNIL : RGPD : SE PRÉPARER EN 6 ÉTAPES
1.2.3.2. CNPD : SE CONFORMER EN 7 ÉTAPES : GUIDE DE PRÉPARATION AU NOUVEAU
RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES
9
1.2.3.3. APD : PRÉPAREZ-VOUS EN 13 ÉTAPES
1.3. Préparation des présentations
1. Quand dans ma vie - privée et/ou professionnelle - ais-je été personnellement victime
d’une violation de mes données à caractère personnel (DCP) ? (Si cela ne m’est jamais
arrivé quid des fuites de données médiatisées ?)
2. Comment ai-je réagi ? (Comment réagirais-je si cela ne m’est jamais arrivé)
3. Quels changements depuis le 25 mai ? (Par rapport à la situation de la directive 95/46/EC)
101 : Préparation de la SECONDE journée
1.1. Lectures préparatoires
1. LA NOUVELLE LOI VIE PRIVÉE DE A À Z (POUR LES JEUNES)
La vidéo
Fiche pédagogique
Support pédagogique visuel supplémentaire
Carnet des copains de classe
La nouvelle Loi vie privée de A à Z
2. SECNUMACADÉMIE – LA NOUVELLE FORMATION EN LIGNE MET LA CYBERSÉCURITÉ À
LA PORTÉE DE TOUS
11Après un premier module qui dresse le « Panorama de la sécurité des systèmes d’information
(SSI) », le deuxième, tant attendu par les apprenants, est maintenant disponible.
Il est dédié à la « Sécurité de l’authentification », avec au programme :
• Unité 1 : principes de l’authentification
• Unité 2 : attaques sur les mots de passe
• Unité 3 : sécuriser son mot de passe
• Unité 4 : gérer ses mots de passe
• Unité 5 : pour aller plus loin : notions de cryptographie
Chaque unité représente approximativement 1h20 de travail pour l’apprenant.
3. CERTIFICATION DES COMPÉTENCES DU DPO : LA CNIL ADOPTE DEUX RÉFÉRENTIELS
Délibération n° 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de
certification des compétences du délégué à la protection des données (DPO)
Délibération n° 2018-317 du 20 septembre 2018 portant adoption des critères du référentiel
d'agrément d'organismes de certification pour la certification des compétences du délégué à la
protection des données (DPO)
4. RÈGLEMENT EUROPÉEN PRESENTE PAR LA CNIL
• Textes officiels
• Comprendre le règlement
• Se préparer au règlement
• Téléchargez l'outil PIA
TEMPS ESTIME REQUIS POUR LES LECTURES PREPARATOIRES (TIMER & ALARM) :
121.2. Tests en ligne
1.2.1. Approche légale
GDPR Compliance Support Tool de la CNPD
1.2.2. Approche NTIC
PREMIER TEST : LES INCOLLABLES
SECOND TEST : DATA PROTECTION SELF ASSESSMENT
13TROISIEME TEST : 140 QUESTIONS LAW-RIGHT
1.2.3. Approche organisationnelle
1. Découvrez l'origine de vos points forts
2. Test DISCp4 Pro : le management en couleurs
3. MBTI test en français ou ici
1.3. Préparation des présentations
Vous allez être nommé DPO d’une PME française active dans le secteur de l’apprentissage des
langues étrangères (fiche de présentation en annexe 1).
Vous avez 5 minutes SHARP (minutées) et 5 slides pour nous rassurer… assurer (chaque
participant présente selon ordre fixé par des identifiants).
Combien coûte votre mission ? Combien serez-vous ? Combien cela prendra-t-il de temps ?
Quelles sont les étapes ? Avez-vous l’expérience de mon secteur ?
Pourquoi vous faire confiance (à VOUS) ?
1 : Préparation de la TROISIEME journée
3.1. Lectures préparatoires
1. ELEMENTS ESSENTIELS MINIMUMS QU'UNE FORMATION DPD DOIT CONTENIR
2. DPO : PAR OÙ COMMENCER ?
3. S'INFORMER SUR LE RGPD
> Les questions fréquentes sur le RGPD
> RGPD : ce qui change pour les professionnels
> RGPD : ce qui change pour les collectivités
> Le droit à la portabilité
> Devenir délégué à la protection des données
> Ce qu'il faut savoir sur l’analyse d’impact relative à la protection des données
(DPIA)
4. NOUVEAUTÉS SUR LE PIA : GUIDES, OUTIL, « PIAF », ÉTUDE DE CAS
5. TELECHARGER LE PIA DE LA CNIL
6. GUIDES DE LA CNIL : LA SÉCURITÉ DES DONNÉES PERSONNELLES
7. FONDEMENT JURIDIQUE DU TRAITEMENT
8. QUELQUES DEFINITIONS POUR BIEN COMPRENDRE LE RGPD
9. GUIDE TO THE GENERAL DATA PROTECTION REGULATION (GDPR)
14TEMPS ESTIME REQUIS POUR LES LECTURES PREPARATOIRES (TIMER & ALARM) :
3.2. Tests en ligne
3.2.1. Approche légale
Êtes-vous « RGPD friendly » ?
3.2.2. Approche NTIC
La sécurité de l’information pour tous : Réduisez vos expositions aux risques informatiques
STARTUP SECURITY KIT
DIAGNOSTIC
153.2.3. Approche organisationnelle
3.3. Préparation des présentations
Le responsable de la sécurité des systèmes d'information (RSSI ; en anglais, Chief Information
Security Officer ou CISO) de la société de tests linguistiques me pose la question de savoir s’ils
doivent nommer un DPO ?
Ne connaissant pas suffisamment son entreprise, je décide de me préparer en testant et
appliquant les 7 clés du succès© à MON entreprise (existante ou à constituer, principale ou
accessoire) ou à UNE de mes entreprises.
Délivrables à préparer de manière individuelle (un participant présentera sa réponse au groupe
après avoir été identifié sur base de critères fantaisistes) et à présenter au groupe divisé en 2
(DPO/CLIENT) :
1. Réponse STRUCTUREE en veillant particulièrement à utiliser le RGPD annoté©
2. Présentation du PIA de la CNIL (le cas échéant) appliqué à MON/UNE de mes entreprise(s)
:
a) Nouveautés sur le PIA : guides, outil, « PIAF », étude de cas
b) Outil PIA : téléchargez et installez le logiciel de la CNIL
c) PiA, les bases de connaissance
Le logiciel PIA s’inscrit dans une démarche d’accompagnement des responsables de traitement
dans la mise en œuvre des obligations du RGPD. Disponible en français et en anglais, il facilite et
accompagne la conduite d’une analyse d’impact relative à la protection des données (AIPD), qui
deviendra obligatoire pour certains traitements à partir de mai 2018.
Cet outil vise aussi à faciliter l’appropriation des guides AIPD de la CNIL.
A qui s’adresse l’outil PIA?
L’outil s’adresse principalement aux responsables de traitement n’étant pas ou étant peu familiers
avec la démarche d'analyse d’impact relative à la protection des données (AIPD). Il s’agit d’une
version « prêt à l’emploi », se lançant facilement sur un poste de travail.
161 : Préparation de la QUATRIEME journée
2.1. Lectures préparatoires
1. DATA PROTECTION Le nouveau règlement sur la protection des données et ses
conséquences pour les entreprises en Belgique
2. MEDEF
• Principes de base GDPR
• RGPD en 12 étapes
• Rédaction et implementation procédures RGPD
• Modèle clause de consentement
• Privacy policy
• Texte Règlement (UE) avec table de contenu
3. SUISSE : DÉCOUVRIR LA PROTECTION DES DONNÉES
4. … SUR MESURE
2.2. Tests en ligne
2.2.1. Approche légale
1. FOIRES AUX QUESTIONS (FAQ) DISPONIBLES SUR LE SITE ET DANS LA RUBRIQUE
« BESOIN D’AIDE » PERMETTENT AUX PROFESSIONNELS COMME AU PUBLIC DE
PRENDRE CONNAISSANCE, RAPIDEMENT ET SIMPLEMENT, DES PRINCIPALES
NOUVEAUTÉS ISSUES DU RGPD
2. MODÈLE DE REGISTRE
2.2.2. Approche NTIC
PREMIER TEST: AUDIT DE MATURITE DPB
SECOND TEST : DONNEES VOLEES CHEZ SPEED-LIVRAISON
2.2.3. Approche organisationnelle
SUR MESURE
2.3. Préparation des présentations
SUR MESURE
171 : Préparation de la CINQUIEME journée
5.1. Lectures préparatoires
1. UN GUIDE PRATIQUE POUR LE MONDE ASSOCIATIF
2. CHECK POINT: GRÂCE AU RGPD, POURREZ-VOUS LIRE TOUS LES EMAILS OÙ VOTRE PATRON
PARLE DE VOUS?
3. GUIDE DE SENSIBILISATION AU RGPD POUR LES PETITES ET MOYENNES ENTREPRISES:
FICHE 1 : Votre entreprise communique et/ou vend en ligne
FICHE 2 : Améliorez et maîtrisez votre relation client
FICHE 3 : Protégez les données de vos collaborateurs
4. 60 CYBERSECURITY PREDICTIONS FOR 2019 (OU ARTICLE SUR MEME SUJET EN FRANÇAIS)
5.2. Tests en ligne
SUR MESURE
5.2.1. Approche légale
5.2.2. Approche NTIC
5.2.3. Approche organisationnelle
5.3. Préparation des présentations
18JOUR 1
Domaine 1. - Réglementation générale en matière de protection des données et mesures
prises pour la mise en conformité
1.1. Règlement européen et loi française sur la protection des données - fondamentaux :
1. Champ d'application
• Article 2 : Champ d'application matériel
• Article 3 : Champ d'application territorial
2. Définitions et notions
• Article 4 : Définitions
3. Organismes soumis aux obligations règlementaires
1.2. Règlement européen et loi française sur la protection des données - principes :
• Article 5 : Principes relatifs au traitement des données à caractère personnel
1. Licéité du traitement
2. Loyauté et transparence
3. Limitation des finalités
4. Minimisation des données
5. Exactitude des données
6. Conservation limitée des données
7. Intégrité, confidentialité des données
1.3. Règlement européen et loi française sur la protection des données - validité du traitement
:
1. Bases juridiques d'un traitement
• Article 6 : Licéité du traitement
2. Consentement
• Article 7 : Conditions applicables au consentement
193. Consentement des mineurs
• Article 8 : Conditions applicables au consentement des enfants en ce qui concerne les
services de la société de l'information
4. Catégories particulières de données à caractère personnel
• Article 9 : Traitement portant sur des catégories particulières de données à caractère
personnel
5. Données relatives aux condamnations pénales et aux infractions
• Article 10 : Traitement des données à caractère personnel relatives aux condamnations
pénales et aux infractions
1.4. Droits des personnes concernées :
1. Transparence et information
Chapitre 3 : Droits de la personne concernée
Section 1 : Transparence et modalités
• Article 12 : Transparence des informations et des communications et modalités de l'exercice
des droits de la personne concernée
Section 2 : Information et accès aux données à caractère personnel
• Article 13 : Informations à fournir lorsque des données à caractère personnel sont collectées
auprès de la personne concernée
• Article 14 : Informations à fournir lorsque les données n'ont pas été collectées auprès de la
personne concernée
2. Accès, rectification et effacement (droit à l'oubli)
• Article 15 : Droit d'accès de la personne concernée
Section 3 : Rectification et effacement
• Article 16 : Droit de rectification
• Article 17 : Droit à l'effacement ("droit à l'oubli")
3. Opposition
• Article 21 : Droit d'opposition
4. Décisions individuelles automatisées
20• Article 22 : Décision individuelle automatisée, y compris le profilage
5. Portabilité
• Article 20 : Droit à la portabilité des données
6. Limitation du traitement
• Article 18 : Droit à la limitation du traitement
7. Limitations des droits
• Article 23 : Limitations
1.5. Mesures prises pour la mise en conformité :
1. Politiques ou procédure en matière de protection des données
Chapitre 2 : Principes
• Article 5 : Principes relatifs au traitement des données à caractère personnel
Section 2 : Sécurité des données à caractère personnel
• Article 32 : Sécurité du traitement
• Article 25 : Protection des données dès la conception et protection des données par défaut
2. Qualification des acteurs d'un traitement de données : responsables du traitement,
responsables conjoints du traitement, sous-traitants
Chapitre 4 : Responsable du traitement et Sous-traitant
Section 1 : Obligations générales
• Article 24 : Responsabilité du responsable du traitement
• Article 25 : Protection des données dès la conception et protection des données par défaut
• Article 26 : Responsables conjoints du traitement
• Article 27 : Représentants des responsables du traitement ou des sous-traitants qui ne sont
pas établis dans l'Union
• Article 28 : Sous-traitant
213. Formalisation des relations (contrat sous-traitant, accord entre responsables conjoints du
traitement)
Idem point 2 ci-dessus
4. Codes de conduite et certifications
Section 5 : Codes de conduite et certification
• Article 40 : Codes de conduite
• Article 41 : Suivi des codes de conduite
• Article 42 : Certification
• Article 43 : Organismes de certification
1.6. Délégué à la protection des données (DPO) :
1. Désignation et fin de mission
Section 4 : Délégué à la protection des données
• Article 37 : Désignation du délégué à la protection des données
2. Qualités professionnelles, connaissances spécialisées et capacité à accomplir ses missions
• Article 37 : Désignation du délégué à la protection des données
3. Fonction du DPO (moyens, ressources, positionnement, indépendance, confidentialité,
absence de conflit d'intérêts, formation)
• Article 38 : Fonction du délégué à la protection des données
4. Missions du DPO et rôle du DPO en matière d'audits
• Article 39 : Missions du délégué à la protection des données
5. Relations du DPO avec les personnes concernées et gestion des demandes d'exercice des
droits
• Article 39 : Missions du délégué à la protection des données
6. Coopération du DPO avec l'autorité de contrôle
22• Article 39 : Missions du délégué à la protection des données
7. Qualités personnelles, travail en équipe, management, communication, pédagogie
1.7. Transferts de données hors de l'Union européenne :
Chapitre 5 : Transfert de données à caractère personnel vers des pays tiers ou à des organisations
internationales
• Article 44 : Principe général applicable aux transferts
1. Décision d'adéquation
• Article 45 : Transferts fondés sur une décision d'adéquation
2. Garanties appropriées
• Article 46 : Transferts moyennant des garanties appropriées
3. Règles d'entreprise contraignantes
• Article 47 : Règles d'entreprise contraignantes
4. Dérogations
• Article 49 : Dérogations pour des situations particulières
5. Autorisation de l'autorité de contrôle
Section 2 : Compétence, missions et pouvoirs
• Article 55 : Compétence
• Article 56 : Compétence de l'autorité de contrôle chef de file
• Article 57 : Missions
• Article 58 : Pouvoirs
• Article 59 : Rapport d'activité
6. Suspension temporaire
7. Clauses contractuelles
1.8. Autorités de contrôle :
1. Statut
23Section 1 : Statut d'indépendance
• Article 51 : Autorité de contrôle
• Article 52 : Indépendance
2. Pouvoirs
• Article 58 : Pouvoirs
3. Régime de sanction
• Article 83 : Conditions générales pour l'imposition d'amendes administratives
• Article 84 : Sanctions
4. Comité européen de protection des données
Section 3 : Comité européen de la protection des données
• Article 68 : Comité européen de la protection des données
• Article 69 : Indépendance
• Article 70 : Missions du comité
• Article 71 : Rapports
• Article 72 : Procédure
• Article 73 : Président
• Article 74 : Missions du président
• Article 75 : Secrétariat
• Article 76 : Confidentialité
5. Recours juridictionnels
Chapitre 8 : Voies de recours, Responsabilité et Sanctions
• Article 77 : Droit d'introduire une réclamation auprès d'une autorité de contrôle
• Article 78 : Droit à un recours juridictionnel effectif contre une autorité de contrôle
• Article 79 : Droit à un recours juridictionnel effectif contre un responsable du traitement ou
un sous-traitant
• Article 80 : Représentation des personnes concernées
• Article 81 : Suspension d'une action
6. Droit à réparation
• Article 82 : Droit à réparation et responsabilité
241.9. Doctrine et jurisprudence :
1. Lignes directrices du G29
https://www.cnil.fr/fr/reglement-europeen/lignes-directrices &
https://edps.europa.eu/data-protection/our-work/our-work-by-type/guidelines_fr &
https://ec.europa.eu/justice/article-29/documentation/index_en.htm
2. Avis, lignes directrices et recommandations du comité européen de protection des données
https://edpb.europa.eu/edpb_fr & https://edpb.europa.eu/our-work-tools/general-
guidance/gdpr-guidelines-recommendations-best-practices_fr
3. Jurisprudence française et européenne
JOUR 2
25Domaine 2. - Responsabilité
2.1. Analyse d'impact relative à la protection des données (AIPD)
Section 3 :Analyse d'impact relative à la protection des données et consultation préalable
• Article 35 : Analyse d'impact relative à la protection des données
• Article 36 : Consultation préalable
2.2. Protection des données dès la conception et par défaut
• Article 25 : Protection des données dès la conception et protection des données par défaut
2.3. Registre des activités de traitement (responsable de traitement) et registre des catégories
d'activités de traitement (sous-traitant)
• Article 30 : Registre des activités de traitement
2.4. Violations de données à caractère personnel, notification des violations et communication à
la personne concernée
Section 2 : Sécurité des données à caractère personnel
• Article 32 : Sécurité du traitement
• Article 33 : Notification à l'autorité de contrôle d'une violation de données à caractère
personnel
• Article 34 : Communication à la personne concernée d'une violation de données à carcatère
personnel
Domaine 3. - Mesures techniques et organisationnelles pour la sécurité des données au regard
26des risques
3.1. Pseudonymisation et chiffrement des données personnelles
• Article 4 : Définitions
• Article 5 : Principes relatifs au traitement des données à caractère personnel
3.2. Mesures pour garantir la confidentialité, l'intégrité et la résilience des systèmes et des services
de traitement
Section 2 : Sécurité des données à caractère personnel
• Article 32 : Sécurité du traitement
3.3. Mesures permettant de rétablir la disponibilité des données et l'accès aux données en cas
d'incident physique ou technique
Section 2 : Sécurité des données à caractère personnel
• Article 32 : Sécurité du traitement
27JOUR 3
+
Temps fort de la formation complète (5 jours) : partage entre participants DPO « pro du GDPR »
: explorations aventureuses du RGPD dans votre entreprise.
Soit les concepts ont déjà été :
1) Étudiés ;
2) Étudiés et exemplifiés ;
3) Étudiés, exemplifiés et pratiqués ;
Soit ils sont découverts et compris de manière inductive en « vie réelle »
accompagné de DPO reconnus et spécialistes en cybersécurité.
Les participants reçoivent dès la fin de la seconde journée un document intitulé « Briefing pour
votre première mission de DPO » qui présente leur premier client, ses activités (en particulier si
impliquant le traitement de DCP sensibles), sa structure, ses dirigeants, nombre de membres du
personnel,…
Check-list des matières appliquées et vérifiées durant
la 3ème journée de formation:
• Principes et Codes de protection des données personnelles et de la vie privée : directives,
règlementations et législations.
• Principes de la loi française sur la protection des données n° 78-17 du 6 janvier 1978,
modifiée par la loi du 20 juin 2018 (loi relative « à l'informatique, aux fichiers et aux
libertés”).
• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la
protection des personnes physiques à l'égard du traitement des données à caractère
personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
(Règlement Général sur la Protection des Données).
28• Définitions
• Licéité du traitement
• Catégories de données (particulières ou sensibles)
• Transparence, communication, information
• Droit des personnes concernées
• Droit à l’oubli
• Droit à la portabilité
• Protection des données dès la conception
• Protection des données par défaut
• Responsable de traitement & sous-traitant : obligations et responsabilités
• Documentation obligatoire
• Registre des activités de traitement
• Sécurité des données et nécessité de mesures appropriées
• Violation des données personnelles
• Analyse d'impact relative à la protection des données (DPIA)
• Délégué à la Protection de Données (DPD/DPO)
• Certification de la protection des données (Bureau Veritas & CNIL)
• Codes de conduite
• Transferts de données à caractère personnel vers des pays tiers
• Sanctions et pénalités
• Autorités de contrôle
• Guichet unique et coopération entre les autorités de contrôle
• Comité Européen de la Protection des Données (CEPD)
• Lignes directrices RGPD/avis CNIL et des autres autorités de protection de données
francophones (Belgique et Grand-duché de Luxembourg) ou anglophones (ICO),
recommandations du groupe 29/CEPD
• Rôles et responsabilités (organigramme de la protection des données dans l’entreprise)
• Applications pratiques de missions du DPD/DPO dans le groupe (international le cas
échéant)/l’entreprise/le département ou fonction.
Avec une attention toute particulière aux Rôles et responsabilités (organigramme protection des
données dans l’entreprise concernée) ET la Désignation du représentant du responsable de
traitement.
Et une question transversale :
Quelles sont les conditions de notification à l’autorité de contrôle ?
29JOUR 4
Section 5 : Codes de conduite et certification
• Article 40 : Codes de conduite
• Article 41 : Suivi des codes de conduite
• Article 42 : Certification
• Article 43 : Organismes de certification
Chapitre 5 : Transfert de données à caractère personnel vers des pays tiers ou à des organisations
internationales
• Article 44 : Principe général applicable aux transferts
• Article 45 : Transferts fondés sur une décision d'adéquation
• Article 46 : Transferts moyennant des garanties appropriées
• Article 47 : Règles d'entreprise contraignantes
• Article 48 : Transferts ou divulgations non autorisés par le droit de l'Union
• Article 49 : Dérogations pour des situations particulières
• Article 50 : Coopération internationale dans le domaine de la protection des données à
caractère personnel.
Responsable du traitement et Sous-traitant
Section 1 : Obligations générales
• Article 30 : Registre des activités de traitement
Analyse d'impact relative à la protection des données et consultation préalable
• Article 35 : Analyse d'impact relative à la protection des données
• Article 36 : Consultation préalable
30JOUR 5
et
PROGRAMME SUR MESURE A CHAQUE GROUPE SELON LES ECHANGES DES 4 JOURNEES
PRECEDENTES.
Révision des questions et réponses (pédagogie interactive cf. brochure pédagogique en annexe)
ET approfondissement des sujets propres à chaque entreprise / participant pour préparer
l’examen (en ligne – la date est fixée avec les participants).
Félicitations ! Quelques bulles sont de rigueur : un moment convivial entre les participants et
les formateurs.
Nous annonçons la formation DPO 2.0. International© (suite de la première) : e-privacy
directive, trade secrets and cybersecurity / la protection des données et de la vie privée dans le
monde avec nos principaux pays partenaires commerciaux (capacité de lire des textes en anglais
requise).
31ANNEXE 1 : CASUS ENTREPRISE FRANCAISE DE
TESTS LINGUISTIQUES
NATURE DU TRAITEMENT
Tests des langues écrites et parlées - évaluation de personnes concernées (PC) pour leurs
compétences linguistiques et organisation/budgétisation de cours de formations en langues
étrangères.
La société assiste ses clients dans l’évaluation de 11 langues et dans 80 pays.
CONTEXTE DU TRAITEMENT
Les tests de langues sont soit généraux, soit spécialisés. La société réalise également des audits
et des tests.
Tests généraux
Les tests généraux, disponibles exclusivement en ligne, permettent aux entreprises d’évaluer les
compétences de leurs collaborateurs dans les langues suivantes : anglais, français, espagnol,
italien, allemand, portugais, néerlandais, flamand, suédois, russe et chinois mandarin.
L’interface a été traduite en 14 langues, ce qui permet aux candidats de consulter les résultats des
tests dans leur langue maternelle.
Chaque test dure de 45 à 60 minutes et se compose de 2 parties :
1. grammaire et structures
2. compréhension orale.
Les deux parties consistent en 60 questions chacune. Le candidat peut ensuite accéder
directement au rapport d’évaluation une fois le test terminé.
Les résultats sont notés sur une échelle de 0 (débutant) à 5 (bilingue). La société peut les comparer
au niveau linguistique exigé dans les différents postes au sein de l’entreprise.
Tests spécialisés
32La société a développé, en collaboration avec les plus grandes industries, des tests spécifiques à
certains secteurs.
Parmi les secteurs d’activité concernés :
• le domaine militaire:
en partenariat avec l’Armée de l’air française, la société a développé un test spécifique destiné à
évaluer les compétences en anglais dans un contexte militaire. Ce test reflète l’importance de la
communication en anglais avec l’OTAN et les forces des Nations Unies et se rapporte à des
situations concrètes vécues par les forces armées au sol.
• le domaine aérien:
des tests spécialisés dans la compréhension écrite en anglais pour le personnel de maintenance
des avions.
Audits originaux
L’audit original de la société représente une analyse complète préalable à la formation.
L’organisation d’un programme de formation linguistique pour les collaborateurs implique de
connaître non seulement leur niveau linguistique, mais aussi leurs objectifs professionnels, leurs
besoins et leurs contraintes.
Grâce à la plateforme de gestion de la société, les responsables de formation peuvent non
seulement organiser les évaluations et consulter les résultats, mais aussi identifier les besoins et
les objectifs du personnel.
En utilisant le Référentiel des Compétences Linguistiques associé à l’audit des besoins de la
société, le coordinateur de formation linguistique peut déterminer le niveau précis du
collaborateur au début de la formation ainsi que le niveau à atteindre. Grâce à ces informations,
le coordinateur décide du programme pédagogique approprié.
KISS, solution de dialogue international de la société (« Kick International Speaking Solutions »),
évalue de manière précise les compétences de communication orale des collaborateurs. Les tests
de la société sont reconnus en tant que norme internationale d’évaluation.
KISS associe une évaluation en ligne et un test de communication orale par téléphone, ce qui
permet d’obtenir une idée précise des compétences de communication orale.
Le test KISS est extrêmement complet : il évalue la compréhension écrite et orale ainsi que les
compétences de communication orale du candidat.
Compréhension écrite et orale :
33• vocabulaire
• grammaire et structures syntaxe
• richesse et complexité
Expression orale :
• prononciation
• intonation
• aisance
• compréhension orale
L’avantage de ce test de la société est double : il est fiable et les résultats sont immédiatement
visibles par les participants. KISS évalue les compétences en français, anglais, espagnol, allemand
et italien.
PROCÉDURE DE RÉALISATION DES TESTS/AUDITS
Lorsqu'un client signe un contrat – la société crée une plate-forme dédiée à l'entreprise cliente qui
lui permet de gérer ses propres administrateurs de tests/audits (ATA) et ses participants aux
tests/audits.
La société créé les comptes des administrateurs, typiquement les responsables dans l'entreprise :
le responsable de formation, le recruteur ou le responsable des RH typiquement qui inscrit les
participants au test dans le système - sur leur plateforme - à l'aide des champs: prénom, nom,
courriel, identifiants en ligne.
Un petit mail est envoyé au candidat par l'administrateur. Chaque administrateur à une page, par
ex : une société pétrolière administre les tests, créé un compte.
Soit l'administrateur fait venir la personne concernée sur place, soit il lui envoie les informations
de connexion par courriel - toute la prestation est ensuite automatisée.
Chaque participant peut ensuite utiliser la plateforme à l'aide de son login et mot de passe.
La plate-forme est customisable et chaque client a une URL, une personnalisation différente.
Chaque client peut avoir une ou plusieurs bases de traduction notamment pour identifier les
candidats. Exemples : administrateur de site ou évaluateur.
La société propose une architecture type et puis le client particularise cf. une entreprise de
recrutement a sa plate-forme selon ses sites. La société fait du sur mesure cf. la société pétrolière.
La société a des versions génériques et en créée des différentes sur mesure. Les données sont ou
globalisées ou séparées cf. les deux sociétés mentionnées.
Les traitements sont identiques pour les différents clients.
34Le rapport est établi selon une ligne préétablie. C'est l'administrateur qui choisit si la personne
concernée reçoit ou non copie du rapport.
FINALITÉ DU TRAITEMENT : EVALUER LA CONNAISSANCE LINGUISTIQUE DES
CANDIDATS/EMPLOYÉS
La société suggère aux participants à ses tests des recommandations sur les points à améliorer,
pour progresser. L'approche est donc éducative et positive.
Le client - l'entreprise - communique ainsi une liste d'administrateurs qui peuvent créer des
comptes d'utilisateurs.
Les administrateurs des clients peuvent allouer des tests à leurs employés.
Les emails envoyés ne le sont que parce que l'employé s'est inscrit : pas de marketing direct ou de
profilage d'aucune manière.
L'administrateur récupère les scores et le rapport (ou non), le client peut faire des statistiques de
la plupart de ses candidats.
Le client a un contrôle total sur les tests: terminés, en cours, supprimés, questions restées
ouvertes, nombre de pauses ou coupures, les urgences au travail qui empêchent de terminer le
test, ...
Certains tests sont faits sur mesure, cf. dans l'armée de l'air, certains termes sont simplifiés pour
assurer une meilleure communication.
ENJEUX DU TRAITEMENT
Automatisation des évaluations linguistiques de personnels/étudiants en maximum 1 heure avec
max 60 questions écrites et 60 orales.
Aide au recrutement également pour les entreprises clientes. Les personnes concernées sont
évaluées automatiquement et reçoivent des suggestions pour s'améliorer.
Dans une société mondialisée, une France digitale et acteur économique, politique, sociale et
culturel mondiale, les capacités linguistiques des français doivent être sans cesse améliorée. Et
sans les mesurer, il est impossible de les connaître et de les développer.
* *
*
35Vous pouvez aussi lire
