PROGRAMME DES FORMATIONS DPO EN CINQ JOURS - RESUME Christophe Boeraeve - IDDUP
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
PROGRAMME DES RESUME L’objectif de cette formation est de co- FORMATIONS construire avec les participants les connaissances et outils indispensables à un DPO (futur ou déjà en fonction). Christophe Boeraeve DPO EN CINQ JOURS Par LAW-RIGHT ET IDDUP 1
Formation UNIQUE en francophonie « DATA PRACTICAL OFFICER » Par LAW-RIGHT Le Droit de la Protection des Données (DPD) et de la Vie Privée (VP) Nos cartes maitresses : 1. Enseignement et équipes pédagogiques réputées depuis 20 ans+ 2. Cours en FR & ENG/NL qui couvrent les 50 articles essentiels pour toute organisation 3. Formateurs poly-certifiés (France/Grande-Bretagne/Grand-duché de Luxembourg/Pays- Bas et International) : 4. Formation en CINQ JOURS (rendue possible par le programme Data Practical Officer original© et les « 7 recettes du succès »). 5. Programme de 6 JOURS (5 + 1 propre au droit français) en 2019 pour obtenir les certifications de la CNIL et/ou bureau Veritas Paris. Formateurs: 1. Christophe BOERAEVE (CB), AVOCAT international également DPO en France, Belgique, Grand-duché de Luxembourg et Grande-Bretagne 2. Assaf BENSOUSSAN (AB), Juriste 3. Thierry BELLOCCHI (TB), Spécialiste en Cybersécurité 4. Chantal BASTIDE (CBA), Avocate spécialisée en protection des données à caractère personnel et de la vie privée 5. Isabelle DAMOISAUX-DELNOY (IDD), Spécialiste en Communication, Relations publiques et Gestion de crise. 2
Programme et contenu de la Formation : les « 7 clés du succès » Le programme COMPLET DPO original© ou « Data Practical Officer », garantit à chaque participant d’acquérir les 6 fondements de la maturité au GDPR/la certification d’un DPO selon la CNIL (ou dans un premier temps les compétences DPO selon la CNIL) à l’aide de la méthode originale LES 7 CLES DU SUCCES : 1) Les 50 articles essentiels du RGPD sont exposés sur la base d’une méthode originale Data Practical Officer© : le RGPDA©, « A » pour annoté ; et 2) Chaque participant reçoit un exemplaire du RGPDA© annoté avec les instructions, avis et recommandations d’une ou de plusieurs Autorité(s) de Protection des Données/Agences nationale pour la sécurité des systèmes d’information selon la méthode des 6 c’s1 : • COMMISSION NATIONALE INFORMATIQUE ET LIBERTES • AGENCE NATIONALE POUR LA SECURITE DES SYSTEMES D’INFORMATION • AUTORITE DE PROTECTION DES DONNEES • CENTRE POUR LA CYBERSECURITE BELGIQUE • COMMISSION NATIONALE POUR LA PROTECTION DES DONNEES • AGENCE NATIONALE POUR LA SECURITE DES SYSTEMES D’INFORMATION LUXEMBOURG (Aussi disponible pour et sur demande pour tout autre des 31 pays européens concernés par le RGPD). 3) Les participants commentent et annotent, à leur tour, les 50 articles essentiels tout au long du cursus et les connectent entre eux ; etIls disposent du manuscrit original rédigé par le formateur : « Le GDPR ou la Grande Dame qui Protège et qui Rassure »© ; et 1 Méthode des 6 c’s. 3
4) Ils s’entrainent à utiliser un logiciel d’assistance à la conformité RGPD dédié de leur entreprise ou à défaut Data Privacy Box (notamment) ; et 5) Tant avant - que pendant et après la formation – les séminaristes multiplient les lectures préparatoires et complémentaires et s’initient à (re)trouver seuls les informations selon la méthode des 6 c’s©2 ; et 6) Les participants connectent directement les enseignements avec leur réalité et situations concrètement rencontrées dans l’entreprise, le département, les questions des clients, fournisseurs ou partenaires, … 7) Les participants connectent directement les enseignements avec leur réalité et situations concrètement rencontrées dans l’entreprise, le département, les questions des clients, fournisseurs ou partenaires, … En effet, la fonction de délégué à la protection des données (DPO-DPD) relève du droit récent et doit être appréhendée avec toute la précaution nécessaire. Pour cela, il est important d’opérer un va-et-vient permanent entre les sujets théoriques et outils pratiques qui leurs seront indispensables et les situations concrètes de la vie en entreprise. En tant que " chef d’orchestre" de la conformité en matière de protection des données au sein de l'organisme qui vous a désigné, vous serez principalement chargé : • d’informer et de conseiller l'organisme qui vous a désigné, ainsi que ses employés ; • de contrôler le respect du règlement et du droit national en matière de protection des données ; • de conseiller l’organisme sur la réalisation d’une analyse d'impact relative à la protection des données et d’en vérifier l’exécution ; • être contacté par les personnes concernées pour toute question ; • de coopérer avec la CNIL et d’être son point de contact. 2 Pour retrouver les articles, utiliser : https://www.gdpr-expert.eu/#articles. Les articles sont des liens hypertextes. Pour un développement de la méthode des 6 c’s : http://www.law-right.com/fr/notre-cabinet/6-checks-pour-optimiser-votre-dossier/. 4
Les 3 spirales 1. Lectures préparatoires 2. Tests en ligne 3. Préparation des présentations 4. Journées de formation MATIN 6. 1H Présentations et fixation des objectifs (9-10h) 7. 1H30 exposé interactif (10-11h30) 8. 1H ateliers (11h30- 12h30) 9. Déjeuner APRES-MIDI 1. 30 MIN soft-skills et communication/ventes (13h30-14h) 2. 1H30 exposé interactif (14-15h30) 1. Appropriation des 7 clés 3. 45 MIN préparation en du succès© dès Journée groupes (15h30-16h15) 1-8 jours et tout au long 4. 45 MIN présentations de la formation en groupes (16h15-17h) 2. Priorisation et choix de 5. 30 MIN debriefing, ces clés du succès évaluations objectifs et 3. Lectures/Etudes et présentation première Exercices spirale de la prochaine préparatoires/Tests en 5 journée ligne/Sites APD/Journée comme DPO pro 4. Examen
1 : Préparation de la PREMIERE journée 1.1. Lectures préparatoires 1. CYBERSÉCURITÉ GUIDE POUR LES PME 2. BIBLIOTHÈQUE RGPD 3. RGPD VADE-MECUM POUR LES PME 4. GUIDE BELGE DE LA CYBERSÉCURITÉ 5. RÈGLEMENT EUROPÉEN SUR LA PROTECTION DES DONNÉES PERSONNELLES : SE PRÉPARER EN 6 ÉTAPES 6. LES BONS REFLEXES POUR LES TPE ET PME: > RGPD : passer à l'action > RGPD : notions clés et bons réflexes > RGPD : par où commencer > RGPD : points de vigilance > RGPD : en pratique 7. GUIDE SECURITE DES DONNEES PERSONNELLES TEMPS ESTIME REQUIS POUR LES LECTURES PREPARATOIRES (TIMER & ALARME) : 1.2. Tests en ligne Et puisque nous commençons donc la formation dès la lecture de ce programme, aiguisons donc nos sens et nos deux hémisphères cérébraux avec ces tests à rapprocher des 3 approches du règlement. En règle, pour satisfaire les 3 approches convergentes retenues par le Règlement (Technologique, Organisationnelle et Légale ou TOL) avec la conformité comme destination, une équipe multi- disciplinaire doit être constituée et organisée. 6
De manière itérative, le Règlement va requérir 3 approches distinctes et convergentes pour atteindre cet objectif hautement désirable : la sauvegarde et la protection des données : 1. Approche légale et juridique. Des instructions et autres articles de loi nous guident tout au long d’une voie qui ne comprend pas vraiment d’arrivée permanente et finale ; et 2. Approche informatique/technologique. Des moyens et ressources des technologies de l’information, des réseaux et de l’informatique articulent la réponse aux volontés de nuire des hackers ou aux simples incidents ou accidents qui peuvent aboutir à des pertes/altérations de données. Il s’agit autant de solutions en termes de matériels informatiques (« hardware ») que de logiciels (« software ») ; et 3. Approche organisationnelle/humaine. Les deux premières solutions, froides comme peuvent l’être des codes juridiques ou des machines électroniques, sont (encore à ce jour) toujours conçues et actionnées par des êtres humains. Les procédures, politiques et autres instructions ou check-lists organisent les solutions juridiques et techniques en rassemblant les personnes concernées par la protection des données dans l’entreprise. 1.2.1. Approche légale PREMIER TEST GDPR : VOTRE ORGANISATION GÈRE-T-ELLE CORRECTEMENT LES DONNÉES PERSONNELLES ? 7
SECOND TEST GDPR : ACCÈS AU QUESTIONNAIRE DE MATURITÉ RGPD (qui aboutit à un rapport et une liste de tâches à réaliser, rapport avec les recommandations et points d’attention) 1.2.2. Approche NTIC PREMIER TEST : LE TEST DU PHISHING Je vous ai partagé un print-screen de mon écran… Qu’y découvrez-vous d’intéressant comme futur DPO ? 8
SECOND TEST : CYBERSECURITY GUIDE 1.2.3. Approche organisationnelle 1.2.3.1. CNIL : RGPD : SE PRÉPARER EN 6 ÉTAPES 1.2.3.2. CNPD : SE CONFORMER EN 7 ÉTAPES : GUIDE DE PRÉPARATION AU NOUVEAU RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES 9
1.2.3.3. APD : PRÉPAREZ-VOUS EN 13 ÉTAPES 1.3. Préparation des présentations 1. Quand dans ma vie - privée et/ou professionnelle - ais-je été personnellement victime d’une violation de mes données à caractère personnel (DCP) ? (Si cela ne m’est jamais arrivé quid des fuites de données médiatisées ?) 2. Comment ai-je réagi ? (Comment réagirais-je si cela ne m’est jamais arrivé) 3. Quels changements depuis le 25 mai ? (Par rapport à la situation de la directive 95/46/EC) 10
1 : Préparation de la SECONDE journée 1.1. Lectures préparatoires 1. LA NOUVELLE LOI VIE PRIVÉE DE A À Z (POUR LES JEUNES) La vidéo Fiche pédagogique Support pédagogique visuel supplémentaire Carnet des copains de classe La nouvelle Loi vie privée de A à Z 2. SECNUMACADÉMIE – LA NOUVELLE FORMATION EN LIGNE MET LA CYBERSÉCURITÉ À LA PORTÉE DE TOUS 11
Après un premier module qui dresse le « Panorama de la sécurité des systèmes d’information (SSI) », le deuxième, tant attendu par les apprenants, est maintenant disponible. Il est dédié à la « Sécurité de l’authentification », avec au programme : • Unité 1 : principes de l’authentification • Unité 2 : attaques sur les mots de passe • Unité 3 : sécuriser son mot de passe • Unité 4 : gérer ses mots de passe • Unité 5 : pour aller plus loin : notions de cryptographie Chaque unité représente approximativement 1h20 de travail pour l’apprenant. 3. CERTIFICATION DES COMPÉTENCES DU DPO : LA CNIL ADOPTE DEUX RÉFÉRENTIELS Délibération n° 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données (DPO) Délibération n° 2018-317 du 20 septembre 2018 portant adoption des critères du référentiel d'agrément d'organismes de certification pour la certification des compétences du délégué à la protection des données (DPO) 4. RÈGLEMENT EUROPÉEN PRESENTE PAR LA CNIL • Textes officiels • Comprendre le règlement • Se préparer au règlement • Téléchargez l'outil PIA TEMPS ESTIME REQUIS POUR LES LECTURES PREPARATOIRES (TIMER & ALARM) : 12
1.2. Tests en ligne 1.2.1. Approche légale GDPR Compliance Support Tool de la CNPD 1.2.2. Approche NTIC PREMIER TEST : LES INCOLLABLES SECOND TEST : DATA PROTECTION SELF ASSESSMENT 13
TROISIEME TEST : 140 QUESTIONS LAW-RIGHT 1.2.3. Approche organisationnelle 1. Découvrez l'origine de vos points forts 2. Test DISCp4 Pro : le management en couleurs 3. MBTI test en français ou ici 1.3. Préparation des présentations Vous allez être nommé DPO d’une PME française active dans le secteur de l’apprentissage des langues étrangères (fiche de présentation en annexe 1). Vous avez 5 minutes SHARP (minutées) et 5 slides pour nous rassurer… assurer (chaque participant présente selon ordre fixé par des identifiants). Combien coûte votre mission ? Combien serez-vous ? Combien cela prendra-t-il de temps ? Quelles sont les étapes ? Avez-vous l’expérience de mon secteur ? Pourquoi vous faire confiance (à VOUS) ? 1 : Préparation de la TROISIEME journée 3.1. Lectures préparatoires 1. ELEMENTS ESSENTIELS MINIMUMS QU'UNE FORMATION DPD DOIT CONTENIR 2. DPO : PAR OÙ COMMENCER ? 3. S'INFORMER SUR LE RGPD > Les questions fréquentes sur le RGPD > RGPD : ce qui change pour les professionnels > RGPD : ce qui change pour les collectivités > Le droit à la portabilité > Devenir délégué à la protection des données > Ce qu'il faut savoir sur l’analyse d’impact relative à la protection des données (DPIA) 4. NOUVEAUTÉS SUR LE PIA : GUIDES, OUTIL, « PIAF », ÉTUDE DE CAS 5. TELECHARGER LE PIA DE LA CNIL 6. GUIDES DE LA CNIL : LA SÉCURITÉ DES DONNÉES PERSONNELLES 7. FONDEMENT JURIDIQUE DU TRAITEMENT 8. QUELQUES DEFINITIONS POUR BIEN COMPRENDRE LE RGPD 9. GUIDE TO THE GENERAL DATA PROTECTION REGULATION (GDPR) 14
TEMPS ESTIME REQUIS POUR LES LECTURES PREPARATOIRES (TIMER & ALARM) : 3.2. Tests en ligne 3.2.1. Approche légale Êtes-vous « RGPD friendly » ? 3.2.2. Approche NTIC La sécurité de l’information pour tous : Réduisez vos expositions aux risques informatiques STARTUP SECURITY KIT DIAGNOSTIC 15
3.2.3. Approche organisationnelle 3.3. Préparation des présentations Le responsable de la sécurité des systèmes d'information (RSSI ; en anglais, Chief Information Security Officer ou CISO) de la société de tests linguistiques me pose la question de savoir s’ils doivent nommer un DPO ? Ne connaissant pas suffisamment son entreprise, je décide de me préparer en testant et appliquant les 7 clés du succès© à MON entreprise (existante ou à constituer, principale ou accessoire) ou à UNE de mes entreprises. Délivrables à préparer de manière individuelle (un participant présentera sa réponse au groupe après avoir été identifié sur base de critères fantaisistes) et à présenter au groupe divisé en 2 (DPO/CLIENT) : 1. Réponse STRUCTUREE en veillant particulièrement à utiliser le RGPD annoté© 2. Présentation du PIA de la CNIL (le cas échéant) appliqué à MON/UNE de mes entreprise(s) : a) Nouveautés sur le PIA : guides, outil, « PIAF », étude de cas b) Outil PIA : téléchargez et installez le logiciel de la CNIL c) PiA, les bases de connaissance Le logiciel PIA s’inscrit dans une démarche d’accompagnement des responsables de traitement dans la mise en œuvre des obligations du RGPD. Disponible en français et en anglais, il facilite et accompagne la conduite d’une analyse d’impact relative à la protection des données (AIPD), qui deviendra obligatoire pour certains traitements à partir de mai 2018. Cet outil vise aussi à faciliter l’appropriation des guides AIPD de la CNIL. A qui s’adresse l’outil PIA? L’outil s’adresse principalement aux responsables de traitement n’étant pas ou étant peu familiers avec la démarche d'analyse d’impact relative à la protection des données (AIPD). Il s’agit d’une version « prêt à l’emploi », se lançant facilement sur un poste de travail. 16
1 : Préparation de la QUATRIEME journée 2.1. Lectures préparatoires 1. DATA PROTECTION Le nouveau règlement sur la protection des données et ses conséquences pour les entreprises en Belgique 2. MEDEF • Principes de base GDPR • RGPD en 12 étapes • Rédaction et implementation procédures RGPD • Modèle clause de consentement • Privacy policy • Texte Règlement (UE) avec table de contenu 3. SUISSE : DÉCOUVRIR LA PROTECTION DES DONNÉES 4. … SUR MESURE 2.2. Tests en ligne 2.2.1. Approche légale 1. FOIRES AUX QUESTIONS (FAQ) DISPONIBLES SUR LE SITE ET DANS LA RUBRIQUE « BESOIN D’AIDE » PERMETTENT AUX PROFESSIONNELS COMME AU PUBLIC DE PRENDRE CONNAISSANCE, RAPIDEMENT ET SIMPLEMENT, DES PRINCIPALES NOUVEAUTÉS ISSUES DU RGPD 2. MODÈLE DE REGISTRE 2.2.2. Approche NTIC PREMIER TEST: AUDIT DE MATURITE DPB SECOND TEST : DONNEES VOLEES CHEZ SPEED-LIVRAISON 2.2.3. Approche organisationnelle SUR MESURE 2.3. Préparation des présentations SUR MESURE 17
1 : Préparation de la CINQUIEME journée 5.1. Lectures préparatoires 1. UN GUIDE PRATIQUE POUR LE MONDE ASSOCIATIF 2. CHECK POINT: GRÂCE AU RGPD, POURREZ-VOUS LIRE TOUS LES EMAILS OÙ VOTRE PATRON PARLE DE VOUS? 3. GUIDE DE SENSIBILISATION AU RGPD POUR LES PETITES ET MOYENNES ENTREPRISES: FICHE 1 : Votre entreprise communique et/ou vend en ligne FICHE 2 : Améliorez et maîtrisez votre relation client FICHE 3 : Protégez les données de vos collaborateurs 4. 60 CYBERSECURITY PREDICTIONS FOR 2019 (OU ARTICLE SUR MEME SUJET EN FRANÇAIS) 5.2. Tests en ligne SUR MESURE 5.2.1. Approche légale 5.2.2. Approche NTIC 5.2.3. Approche organisationnelle 5.3. Préparation des présentations 18
JOUR 1 Domaine 1. - Réglementation générale en matière de protection des données et mesures prises pour la mise en conformité 1.1. Règlement européen et loi française sur la protection des données - fondamentaux : 1. Champ d'application • Article 2 : Champ d'application matériel • Article 3 : Champ d'application territorial 2. Définitions et notions • Article 4 : Définitions 3. Organismes soumis aux obligations règlementaires 1.2. Règlement européen et loi française sur la protection des données - principes : • Article 5 : Principes relatifs au traitement des données à caractère personnel 1. Licéité du traitement 2. Loyauté et transparence 3. Limitation des finalités 4. Minimisation des données 5. Exactitude des données 6. Conservation limitée des données 7. Intégrité, confidentialité des données 1.3. Règlement européen et loi française sur la protection des données - validité du traitement : 1. Bases juridiques d'un traitement • Article 6 : Licéité du traitement 2. Consentement • Article 7 : Conditions applicables au consentement 19
3. Consentement des mineurs • Article 8 : Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information 4. Catégories particulières de données à caractère personnel • Article 9 : Traitement portant sur des catégories particulières de données à caractère personnel 5. Données relatives aux condamnations pénales et aux infractions • Article 10 : Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions 1.4. Droits des personnes concernées : 1. Transparence et information Chapitre 3 : Droits de la personne concernée Section 1 : Transparence et modalités • Article 12 : Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée Section 2 : Information et accès aux données à caractère personnel • Article 13 : Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée • Article 14 : Informations à fournir lorsque les données n'ont pas été collectées auprès de la personne concernée 2. Accès, rectification et effacement (droit à l'oubli) • Article 15 : Droit d'accès de la personne concernée Section 3 : Rectification et effacement • Article 16 : Droit de rectification • Article 17 : Droit à l'effacement ("droit à l'oubli") 3. Opposition • Article 21 : Droit d'opposition 4. Décisions individuelles automatisées 20
• Article 22 : Décision individuelle automatisée, y compris le profilage 5. Portabilité • Article 20 : Droit à la portabilité des données 6. Limitation du traitement • Article 18 : Droit à la limitation du traitement 7. Limitations des droits • Article 23 : Limitations 1.5. Mesures prises pour la mise en conformité : 1. Politiques ou procédure en matière de protection des données Chapitre 2 : Principes • Article 5 : Principes relatifs au traitement des données à caractère personnel Section 2 : Sécurité des données à caractère personnel • Article 32 : Sécurité du traitement • Article 25 : Protection des données dès la conception et protection des données par défaut 2. Qualification des acteurs d'un traitement de données : responsables du traitement, responsables conjoints du traitement, sous-traitants Chapitre 4 : Responsable du traitement et Sous-traitant Section 1 : Obligations générales • Article 24 : Responsabilité du responsable du traitement • Article 25 : Protection des données dès la conception et protection des données par défaut • Article 26 : Responsables conjoints du traitement • Article 27 : Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union • Article 28 : Sous-traitant 21
3. Formalisation des relations (contrat sous-traitant, accord entre responsables conjoints du traitement) Idem point 2 ci-dessus 4. Codes de conduite et certifications Section 5 : Codes de conduite et certification • Article 40 : Codes de conduite • Article 41 : Suivi des codes de conduite • Article 42 : Certification • Article 43 : Organismes de certification 1.6. Délégué à la protection des données (DPO) : 1. Désignation et fin de mission Section 4 : Délégué à la protection des données • Article 37 : Désignation du délégué à la protection des données 2. Qualités professionnelles, connaissances spécialisées et capacité à accomplir ses missions • Article 37 : Désignation du délégué à la protection des données 3. Fonction du DPO (moyens, ressources, positionnement, indépendance, confidentialité, absence de conflit d'intérêts, formation) • Article 38 : Fonction du délégué à la protection des données 4. Missions du DPO et rôle du DPO en matière d'audits • Article 39 : Missions du délégué à la protection des données 5. Relations du DPO avec les personnes concernées et gestion des demandes d'exercice des droits • Article 39 : Missions du délégué à la protection des données 6. Coopération du DPO avec l'autorité de contrôle 22
• Article 39 : Missions du délégué à la protection des données 7. Qualités personnelles, travail en équipe, management, communication, pédagogie 1.7. Transferts de données hors de l'Union européenne : Chapitre 5 : Transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales • Article 44 : Principe général applicable aux transferts 1. Décision d'adéquation • Article 45 : Transferts fondés sur une décision d'adéquation 2. Garanties appropriées • Article 46 : Transferts moyennant des garanties appropriées 3. Règles d'entreprise contraignantes • Article 47 : Règles d'entreprise contraignantes 4. Dérogations • Article 49 : Dérogations pour des situations particulières 5. Autorisation de l'autorité de contrôle Section 2 : Compétence, missions et pouvoirs • Article 55 : Compétence • Article 56 : Compétence de l'autorité de contrôle chef de file • Article 57 : Missions • Article 58 : Pouvoirs • Article 59 : Rapport d'activité 6. Suspension temporaire 7. Clauses contractuelles 1.8. Autorités de contrôle : 1. Statut 23
Section 1 : Statut d'indépendance • Article 51 : Autorité de contrôle • Article 52 : Indépendance 2. Pouvoirs • Article 58 : Pouvoirs 3. Régime de sanction • Article 83 : Conditions générales pour l'imposition d'amendes administratives • Article 84 : Sanctions 4. Comité européen de protection des données Section 3 : Comité européen de la protection des données • Article 68 : Comité européen de la protection des données • Article 69 : Indépendance • Article 70 : Missions du comité • Article 71 : Rapports • Article 72 : Procédure • Article 73 : Président • Article 74 : Missions du président • Article 75 : Secrétariat • Article 76 : Confidentialité 5. Recours juridictionnels Chapitre 8 : Voies de recours, Responsabilité et Sanctions • Article 77 : Droit d'introduire une réclamation auprès d'une autorité de contrôle • Article 78 : Droit à un recours juridictionnel effectif contre une autorité de contrôle • Article 79 : Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant • Article 80 : Représentation des personnes concernées • Article 81 : Suspension d'une action 6. Droit à réparation • Article 82 : Droit à réparation et responsabilité 24
1.9. Doctrine et jurisprudence : 1. Lignes directrices du G29 https://www.cnil.fr/fr/reglement-europeen/lignes-directrices & https://edps.europa.eu/data-protection/our-work/our-work-by-type/guidelines_fr & https://ec.europa.eu/justice/article-29/documentation/index_en.htm 2. Avis, lignes directrices et recommandations du comité européen de protection des données https://edpb.europa.eu/edpb_fr & https://edpb.europa.eu/our-work-tools/general- guidance/gdpr-guidelines-recommendations-best-practices_fr 3. Jurisprudence française et européenne JOUR 2 25
Domaine 2. - Responsabilité 2.1. Analyse d'impact relative à la protection des données (AIPD) Section 3 :Analyse d'impact relative à la protection des données et consultation préalable • Article 35 : Analyse d'impact relative à la protection des données • Article 36 : Consultation préalable 2.2. Protection des données dès la conception et par défaut • Article 25 : Protection des données dès la conception et protection des données par défaut 2.3. Registre des activités de traitement (responsable de traitement) et registre des catégories d'activités de traitement (sous-traitant) • Article 30 : Registre des activités de traitement 2.4. Violations de données à caractère personnel, notification des violations et communication à la personne concernée Section 2 : Sécurité des données à caractère personnel • Article 32 : Sécurité du traitement • Article 33 : Notification à l'autorité de contrôle d'une violation de données à caractère personnel • Article 34 : Communication à la personne concernée d'une violation de données à carcatère personnel Domaine 3. - Mesures techniques et organisationnelles pour la sécurité des données au regard 26
des risques 3.1. Pseudonymisation et chiffrement des données personnelles • Article 4 : Définitions • Article 5 : Principes relatifs au traitement des données à caractère personnel 3.2. Mesures pour garantir la confidentialité, l'intégrité et la résilience des systèmes et des services de traitement Section 2 : Sécurité des données à caractère personnel • Article 32 : Sécurité du traitement 3.3. Mesures permettant de rétablir la disponibilité des données et l'accès aux données en cas d'incident physique ou technique Section 2 : Sécurité des données à caractère personnel • Article 32 : Sécurité du traitement 27
JOUR 3 + Temps fort de la formation complète (5 jours) : partage entre participants DPO « pro du GDPR » : explorations aventureuses du RGPD dans votre entreprise. Soit les concepts ont déjà été : 1) Étudiés ; 2) Étudiés et exemplifiés ; 3) Étudiés, exemplifiés et pratiqués ; Soit ils sont découverts et compris de manière inductive en « vie réelle » accompagné de DPO reconnus et spécialistes en cybersécurité. Les participants reçoivent dès la fin de la seconde journée un document intitulé « Briefing pour votre première mission de DPO » qui présente leur premier client, ses activités (en particulier si impliquant le traitement de DCP sensibles), sa structure, ses dirigeants, nombre de membres du personnel,… Check-list des matières appliquées et vérifiées durant la 3ème journée de formation: • Principes et Codes de protection des données personnelles et de la vie privée : directives, règlementations et législations. • Principes de la loi française sur la protection des données n° 78-17 du 6 janvier 1978, modifiée par la loi du 20 juin 2018 (loi relative « à l'informatique, aux fichiers et aux libertés”). • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données). 28
• Définitions • Licéité du traitement • Catégories de données (particulières ou sensibles) • Transparence, communication, information • Droit des personnes concernées • Droit à l’oubli • Droit à la portabilité • Protection des données dès la conception • Protection des données par défaut • Responsable de traitement & sous-traitant : obligations et responsabilités • Documentation obligatoire • Registre des activités de traitement • Sécurité des données et nécessité de mesures appropriées • Violation des données personnelles • Analyse d'impact relative à la protection des données (DPIA) • Délégué à la Protection de Données (DPD/DPO) • Certification de la protection des données (Bureau Veritas & CNIL) • Codes de conduite • Transferts de données à caractère personnel vers des pays tiers • Sanctions et pénalités • Autorités de contrôle • Guichet unique et coopération entre les autorités de contrôle • Comité Européen de la Protection des Données (CEPD) • Lignes directrices RGPD/avis CNIL et des autres autorités de protection de données francophones (Belgique et Grand-duché de Luxembourg) ou anglophones (ICO), recommandations du groupe 29/CEPD • Rôles et responsabilités (organigramme de la protection des données dans l’entreprise) • Applications pratiques de missions du DPD/DPO dans le groupe (international le cas échéant)/l’entreprise/le département ou fonction. Avec une attention toute particulière aux Rôles et responsabilités (organigramme protection des données dans l’entreprise concernée) ET la Désignation du représentant du responsable de traitement. Et une question transversale : Quelles sont les conditions de notification à l’autorité de contrôle ? 29
JOUR 4 Section 5 : Codes de conduite et certification • Article 40 : Codes de conduite • Article 41 : Suivi des codes de conduite • Article 42 : Certification • Article 43 : Organismes de certification Chapitre 5 : Transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales • Article 44 : Principe général applicable aux transferts • Article 45 : Transferts fondés sur une décision d'adéquation • Article 46 : Transferts moyennant des garanties appropriées • Article 47 : Règles d'entreprise contraignantes • Article 48 : Transferts ou divulgations non autorisés par le droit de l'Union • Article 49 : Dérogations pour des situations particulières • Article 50 : Coopération internationale dans le domaine de la protection des données à caractère personnel. Responsable du traitement et Sous-traitant Section 1 : Obligations générales • Article 30 : Registre des activités de traitement Analyse d'impact relative à la protection des données et consultation préalable • Article 35 : Analyse d'impact relative à la protection des données • Article 36 : Consultation préalable 30
JOUR 5 et PROGRAMME SUR MESURE A CHAQUE GROUPE SELON LES ECHANGES DES 4 JOURNEES PRECEDENTES. Révision des questions et réponses (pédagogie interactive cf. brochure pédagogique en annexe) ET approfondissement des sujets propres à chaque entreprise / participant pour préparer l’examen (en ligne – la date est fixée avec les participants). Félicitations ! Quelques bulles sont de rigueur : un moment convivial entre les participants et les formateurs. Nous annonçons la formation DPO 2.0. International© (suite de la première) : e-privacy directive, trade secrets and cybersecurity / la protection des données et de la vie privée dans le monde avec nos principaux pays partenaires commerciaux (capacité de lire des textes en anglais requise). 31
ANNEXE 1 : CASUS ENTREPRISE FRANCAISE DE TESTS LINGUISTIQUES NATURE DU TRAITEMENT Tests des langues écrites et parlées - évaluation de personnes concernées (PC) pour leurs compétences linguistiques et organisation/budgétisation de cours de formations en langues étrangères. La société assiste ses clients dans l’évaluation de 11 langues et dans 80 pays. CONTEXTE DU TRAITEMENT Les tests de langues sont soit généraux, soit spécialisés. La société réalise également des audits et des tests. Tests généraux Les tests généraux, disponibles exclusivement en ligne, permettent aux entreprises d’évaluer les compétences de leurs collaborateurs dans les langues suivantes : anglais, français, espagnol, italien, allemand, portugais, néerlandais, flamand, suédois, russe et chinois mandarin. L’interface a été traduite en 14 langues, ce qui permet aux candidats de consulter les résultats des tests dans leur langue maternelle. Chaque test dure de 45 à 60 minutes et se compose de 2 parties : 1. grammaire et structures 2. compréhension orale. Les deux parties consistent en 60 questions chacune. Le candidat peut ensuite accéder directement au rapport d’évaluation une fois le test terminé. Les résultats sont notés sur une échelle de 0 (débutant) à 5 (bilingue). La société peut les comparer au niveau linguistique exigé dans les différents postes au sein de l’entreprise. Tests spécialisés 32
La société a développé, en collaboration avec les plus grandes industries, des tests spécifiques à certains secteurs. Parmi les secteurs d’activité concernés : • le domaine militaire: en partenariat avec l’Armée de l’air française, la société a développé un test spécifique destiné à évaluer les compétences en anglais dans un contexte militaire. Ce test reflète l’importance de la communication en anglais avec l’OTAN et les forces des Nations Unies et se rapporte à des situations concrètes vécues par les forces armées au sol. • le domaine aérien: des tests spécialisés dans la compréhension écrite en anglais pour le personnel de maintenance des avions. Audits originaux L’audit original de la société représente une analyse complète préalable à la formation. L’organisation d’un programme de formation linguistique pour les collaborateurs implique de connaître non seulement leur niveau linguistique, mais aussi leurs objectifs professionnels, leurs besoins et leurs contraintes. Grâce à la plateforme de gestion de la société, les responsables de formation peuvent non seulement organiser les évaluations et consulter les résultats, mais aussi identifier les besoins et les objectifs du personnel. En utilisant le Référentiel des Compétences Linguistiques associé à l’audit des besoins de la société, le coordinateur de formation linguistique peut déterminer le niveau précis du collaborateur au début de la formation ainsi que le niveau à atteindre. Grâce à ces informations, le coordinateur décide du programme pédagogique approprié. KISS, solution de dialogue international de la société (« Kick International Speaking Solutions »), évalue de manière précise les compétences de communication orale des collaborateurs. Les tests de la société sont reconnus en tant que norme internationale d’évaluation. KISS associe une évaluation en ligne et un test de communication orale par téléphone, ce qui permet d’obtenir une idée précise des compétences de communication orale. Le test KISS est extrêmement complet : il évalue la compréhension écrite et orale ainsi que les compétences de communication orale du candidat. Compréhension écrite et orale : 33
• vocabulaire • grammaire et structures syntaxe • richesse et complexité Expression orale : • prononciation • intonation • aisance • compréhension orale L’avantage de ce test de la société est double : il est fiable et les résultats sont immédiatement visibles par les participants. KISS évalue les compétences en français, anglais, espagnol, allemand et italien. PROCÉDURE DE RÉALISATION DES TESTS/AUDITS Lorsqu'un client signe un contrat – la société crée une plate-forme dédiée à l'entreprise cliente qui lui permet de gérer ses propres administrateurs de tests/audits (ATA) et ses participants aux tests/audits. La société créé les comptes des administrateurs, typiquement les responsables dans l'entreprise : le responsable de formation, le recruteur ou le responsable des RH typiquement qui inscrit les participants au test dans le système - sur leur plateforme - à l'aide des champs: prénom, nom, courriel, identifiants en ligne. Un petit mail est envoyé au candidat par l'administrateur. Chaque administrateur à une page, par ex : une société pétrolière administre les tests, créé un compte. Soit l'administrateur fait venir la personne concernée sur place, soit il lui envoie les informations de connexion par courriel - toute la prestation est ensuite automatisée. Chaque participant peut ensuite utiliser la plateforme à l'aide de son login et mot de passe. La plate-forme est customisable et chaque client a une URL, une personnalisation différente. Chaque client peut avoir une ou plusieurs bases de traduction notamment pour identifier les candidats. Exemples : administrateur de site ou évaluateur. La société propose une architecture type et puis le client particularise cf. une entreprise de recrutement a sa plate-forme selon ses sites. La société fait du sur mesure cf. la société pétrolière. La société a des versions génériques et en créée des différentes sur mesure. Les données sont ou globalisées ou séparées cf. les deux sociétés mentionnées. Les traitements sont identiques pour les différents clients. 34
Le rapport est établi selon une ligne préétablie. C'est l'administrateur qui choisit si la personne concernée reçoit ou non copie du rapport. FINALITÉ DU TRAITEMENT : EVALUER LA CONNAISSANCE LINGUISTIQUE DES CANDIDATS/EMPLOYÉS La société suggère aux participants à ses tests des recommandations sur les points à améliorer, pour progresser. L'approche est donc éducative et positive. Le client - l'entreprise - communique ainsi une liste d'administrateurs qui peuvent créer des comptes d'utilisateurs. Les administrateurs des clients peuvent allouer des tests à leurs employés. Les emails envoyés ne le sont que parce que l'employé s'est inscrit : pas de marketing direct ou de profilage d'aucune manière. L'administrateur récupère les scores et le rapport (ou non), le client peut faire des statistiques de la plupart de ses candidats. Le client a un contrôle total sur les tests: terminés, en cours, supprimés, questions restées ouvertes, nombre de pauses ou coupures, les urgences au travail qui empêchent de terminer le test, ... Certains tests sont faits sur mesure, cf. dans l'armée de l'air, certains termes sont simplifiés pour assurer une meilleure communication. ENJEUX DU TRAITEMENT Automatisation des évaluations linguistiques de personnels/étudiants en maximum 1 heure avec max 60 questions écrites et 60 orales. Aide au recrutement également pour les entreprises clientes. Les personnes concernées sont évaluées automatiquement et reçoivent des suggestions pour s'améliorer. Dans une société mondialisée, une France digitale et acteur économique, politique, sociale et culturel mondiale, les capacités linguistiques des français doivent être sans cesse améliorée. Et sans les mesurer, il est impossible de les connaître et de les développer. * * * 35
Vous pouvez aussi lire