CPF
Certifiant

Formation Parcours Délégué à la protection des données personnelles (DPO/DPD)

Certification Lefebvre Dalloz enregistré auprès de France Compétences (RS5524)

4.6/5 ( 14 avis)
Anciennement formation Elegia
Session garantie 5 jours Présentiel / captation / a distance
tealium

Les données personnelles portent sur toutes les informations attachées à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise. C'est pourquoi, leur utilisation est encadrée par la loi, d’autant plus lorsqu’il s’agit de données dites « sensibles ».Nombre d’entreprises se doivent d’intégrer la fonction de délégué à la protection des données personnelles pour être en conformité notamment au RGPD. C’est dans ce contexte qu'est proposé le parcours professionnel « Être Délégué à la protection des données personnelles (DPO/DPD) » à l’issue duquel il est proposé aux candidats de valoriser leurs compétences et de se présenter à l’examen de Certification du DPO réalisé par notre partenaire SGS certificateur agréé par la CNIL.

Objectifs pédagogiques

Déterminer les règles du pilotage de la protection des données personnelles de l'entrepriseMonter et suivre un programme de conformité en matière de données personnellesÉvaluer les risques numériques et repérer les failles de sécuritéGérer les contrôles de la CNIL

Programme de la formation

Engagement

Vous vous engagez dans votre formation. Connectez-vous sur votre espace participant et complétez votre questionnaire préparatoire. Votre formateur recevra vos objectifs de progrès. Auto-évaluez vos compétences pour suivre vos progrès à l'issue de votre formation.

Protection des données personnelles : mise en conformité (1 jour)

Voir le moduleRéduire

Déterminer les obligations techniques et organisationnelles des entités concernées par le RGPD

Rappeler le champ d'application, les objectifs et les enjeux du RGPD

Origine de la directive 95-46 et de la loi Informatique et Libertés et philosophie du RGPDCritères d'application territoriale et personnelleActeurs et responsabilités : coresponsabilité des clients et prestataires
  • Débat : quel impact de la suppression des formalités et autorisations par la création du "Guichet unique"

Définir les concepts et principes du RGPD

Notion de donnée, traitement, finalité, base légale, responsable de traitement, sous-traitant, destinataire, profilage, etc.)Principes de licéité/loyauté de la collecte, limitation des finalités, minimisation/exactitude et conservation limitée des données, confidentialité, proportionnalité, responsabilité, transparence, et sécurité des traitements...Cas particulier du profilage (eprivacy) et de la prise de décision algorithmiqueEprivacy : spécificités des données de communications électroniques, cookie consent
  • Exercice pratique : identifier les données personnelles directes et indirectes

Identifier les contraintes techniques et organisationnelles

Cartographie des traitements, durées de conservation, finalités aux bases légalesImplémentation et documentation des exigences « Privacy by Design » et mesures de sécurité logistique/physique (pseudonymisation, certifications, plan d'assurance sécurité)Gestion d'une violation de données personnellesAdoption d'une gouvernance interne et sensibilisation des équipesProcédures de conformité : gestion des demandes des droits, des violations de données et des AIDP et communiquer auprès des personnes concernées
  • Cas pratique : constituer sa documentation d'accontability
Définir le rôle pour le délégué à la protection des données (DPD/DPO)

Repérer les raisons de nommer un DPO

Prévenir les risques et sanctions : amendes/CA, actions des personnes concernées, condamnation et préjudicesFonction quasi-obligatoire dans l'entreprise
  • Débat : quel intérêt de nommer un DPO ?

Mesurer les fonctions du DPO dans l'entreprise

Tenir le registreLimiter les mises en cause de responsabilitéExpliquer ses missions
  • Partage d'expériences : le rôle du DPO
Cerner les oblications juridiques

Repérer les obligations juridiques

Constitution et suivi du registre des traitementsConception et déploiement des mentions d'information et modalités de recueil des consentements des personnes
  • Cas pratique : comment instruire des demandes d'exercice des droits des personnes concernées ?

Gérer la conformité RGPD sur le plan contractuel

Qualification des protagonistes et vérification des responsabilités« Roadmap » de mise en conformité des contratsClauses et annexes du RGPD
  • Exercice pratique : qualifier les protagonistes des relations complexes et en cerner les conséquences
Caractériser les spécificités du traitement des données

Analyser les flux transfrontaliers de données

« BCR », clauses contractuelles typesConventions de flux complémentaires
  • Débat : Privacy Shield et conséquences du nouvel accord pour le transfert de données entre l'Union européenne et les États-Unis

Utiliser les fichiers Marketing

Respect du RGPD dans le cadre des prospections commercialesRespect du RGPD dans le cadre des locations ou cessions de fichiers
  • Check-list : procédure d'utilisation du fichier Marketing

DPO (DPD) : désignation, rôle et missions du délégué à la protection des données personnelles (1 jour)

Voir le moduleRéduire

Définir le rôle du DPO dans l'entreprise

Déceler l'origine du DPO : accountability et fin des déclarations préalables

Accountability : philosophie de la conformité dynamique et responsabilisation des acteurs (responsable du traitement et sous-traitant)Conséquence immédiate : fin des déclarations préalables à la CNILPrincipaux outils de la conformité dynamique : analyse d'impact à la protection des données (AIPD)
  • Quiz : les principes de mise en conformité de la protection des données personnelles

Expliquer le rôle du DPO

Pilotage de la mise en conformité : DPO chef d'orchestre de la mise en conformité, DPO et comité de pilotageConseil de l'organisme pour son maintien en conformité/bilan annuel
  • Débat : positionnement du DPO par rapport à la direction de l'entreprise, indépendance et/ou lien hiérarchique ?
  • Cas pratique : différences entre un DPO désigné auprès de la CNIL et un référent RGPD non désigné auprès de la CNIL
Examiner son mode de désignation et ses responsabilités

Désigner un DPO interne, externe ou mutualisé

Cas dans lesquels la désignation du DPO est obligatoire (UE et États membres)Conditions et modalités de la désignation (qualifications et compétences requises)Choix entre la désignation d’un DPO interne, externe ou mutualisé, désignation dans un groupe
  • Mise en situation : désignation du DPO auprès de la CNIL et en interne

Analyser le statut et les responsabilités des DPO

Statut du DPO interne/du DPO externe ou mutualiséResponsabilités
  • Jeu de rôle : deviner qui est qui ?
  • Étude de cas : quelle responsabilité du DPO en cas de mise en cause de l'entreprise et de violation de données ?
Exercer les missions de DPO

Lister les missions du DPO

Information et conseil du RT ou du STContrôle du respect du RGPD et des autres dispositions en matière de protection des donnéesConseil sur l'analyse d'impact/coopération et point de contact avec l'autorité de contrôleIdentification, évaluation et préconisations avec le RSSI des mesures organisationnelles et techniques de sécuritéPoint de contact des personnes concernées pour l'exercice des droitsSensibilisation et formation, communication interne et externe (missions complémentaires)
  • Quiz interactif : les missions du DPO

Déployer la fonction de DPO dans l'entreprise

Participation à toutes les questions de protection des donnéesRessources pour exercer ses missions/accès aux données à caractère personnel, formation continue
  • Mise en situation : le positionnement du DPO dans l'entreprise

Encadrer la fin de mission du DPO

Circonstances de la fin de mission : à l'initiative du DPO ou de l'organismeCadre juridiqueDroits du DPO
  • Cas pratique : dans quelles circonstances mettre fin à la mission du DPO ?

DPO (DPD) : piloter la protection des données personnelles de l'entreprise (1 jour)

Voir le moduleRéduire

Identifier les mesures de conformité à mettre en place dans l'entreprise

Auditer la protection des données

Méthodologie, identification des interlocuteurs, interviews, collecte des documents et informationsDistinction entre les opérateurs (responsables de traitement, responsables conjoints, sous-traitants)Identification des bases juridiques des traitements
  • Quiz : points clés de l'audit

Mettre en œuvre la cartographie des traitements

Cartographie des traitements et des donnéesRôle du DPO lors de la cartographie des traitements : aide lors de l’enregistrement des traitements ou seul contrôle des registres ?DPO et registres de l’art. 30 (RT et ST)
  • Construction d'outil (check-list) : méthodologie pour réaliser l'audit

Mettre en conformité la documentation contractuelle et d’information

Rôles respectifs de la direction juridique et du DPOIdentification des réglementations sectoriellesFocus sur les transferts de données personnelles vers des pays tiers (décisions d’adéquation et garanties appropriées)
  • Construction d'outils : bâtir sa documentation de mise en conformité
  • Plan d'action : construire sa politique de protection des données personnelles (RT et ST, BtoC et BtoB)
  • Cas pratique : rédiger les clauses relatives à la protection des données person­nelles dans les contrats

Déterminer l’opportunité d'une AIPD (ou DPIA)

Rappels sur l'AIPD (accountability, finalité, caractère obligatoire)Critères sur l’opportunité d’une AIPDNotion de risque sur la vie privéeRéalisation d'un AIPD : méthode et outils à la disposition du RT et du DPO, conseils sur la sous-traitance et sur les mesures organisationnelles et techniques de sécurité
  • Mise en situation : dans plusieurs situations données, de l'opportunité ou non de réaliser une PIA
Réagir face aux exigences liées à la protection de données des personnes concernées

Répondre aux demandes d'exercice des droits des personnes interessées

Attributions du DPO Mise en place des procédures d’exercice des droitsExercice des droits en pratique
  • Cas pratique : demande d'accès, quel rôle et quelles diligences du DPO ?

Répliquer à une violation de données

Procédures de détection/de notification : mise en placeRôle du DPO en cas de violation de données
  • Mise en situation : réagir à une violation de données
Utiliser les ressources pertinentes pour piloter la conformité

Sensibiliser les différentes parties de l'entreprise

Communication dans l'entrepriseÉlaboration des programmes de formation
  • Mise en situation : alerter les acteurs de l'entreprise des enjeux de la protection des données

Mettre à disposition des outils méthodologiques et logiciels pour l'exercice des fonctions de DPO

Nécessité de s'appuyer sur des outils de gouvernance des donnéesOutils à disposition : CNIL et éditeursOutils et traçabilité des activités de traitement
  • Partage d'expérience : les outils adaptés au contexte de son entreprise

CNIL : gérer les contrôles liés à la protection des données personnelles (1 jour)

Voir le moduleRéduire

Préparer un contrôle CNIL

Intégrer le renforcement des contrôles de la CNIL depuis le RGPD

Renforcement du cadreOrigine des contrôlesTypologie des contrôles
  • Autodiagnostic : identifier les actions préventives à mener depuis le RGPD

Lister les points d’attention lors du déroulement d’un contrôle sur place (au sein de l’entité)

Vérification de l’identité des contrôleurs habilitésInformations et droits dans le cadre d’une procédure de contrôleEtendue des pouvoirs des agents de contrôle
  • Jeu de rôle : quelle posture adopter face à un contrôle de la CNIL ? comment accompagner les agents ?
Critère d'évaluation de la compétence : Check-list - Les vérifications à opérer avant et pendant le contrôle CNIL
Adopter les mesures adéquates à la suite d'un contrôle CNIL

Traiter les suites d'un contrôle

Procès-verbal du contrôleActions à prendre par l'entité contrôlée à la suite du contrôleDécision de l'autorité de contrôlePoint sur la nouvelle procédure simplifiée de sanction CNIL (loi du 24/01/2022 et Décret 8/04/2022)
  • Débat : comparer la procédure simplifiée et la procédure ordinaire

Examiner les sanctions en cas de manquement et les voies de recours offertes

Typologie des sanctions et exemples de décisionsPublicité Voies de recours et exemples de décisionsPoint sur les mesures correctrices dans la nouvelle procédure simplifiée de sanction CNILCoopération renforcée avec le RGPD entre la CNIL et ses homologues européens, exemples de décisions
  • Check-list : points d'attention pour répondre à une mise en demeure de la CNIL
Critère d'évaluation de la compétence : Exercice de synthèse - Récapituler les éléments recueillis lors du contrôle
Implémenter les actions de mise en conformité dans l'entreprise

Organiser l'intégration de la conformité dans l'entreprise

Sensibilisation des directions opérationnelles aux dispositions du RGPDDésignation d'un DPO interne ou externe
  • Partage d'expériences : diffuser la culture de la protection des données personnelles dans l'entreprise

Bâtir un process

Process de gestion d'un contrôle Diffusion au sein de l'entité
  • Débat : gérer les plaintes
Critère d'évaluation de la compétence : Quiz - Construire un plan d'actions pour gérer les contrôles de la CNIL

Cybersécurité et traitement de données personnelles (1 jour)

Voir le moduleRéduire

Définir une politique de protection des données personnelles

Repérer les données à caractère personnel

Identification et modélisation des traitements et les flux de données métiersLocalisation des données à caractère personnel dans le SI et/ou dans le cloud
  • Cas pratique : repérer les vulnérabilités pouvant impacter les biens supports

Prévenir les violations de données

Recensement des mesures de sécurité existantesRepérage des vulnérabilités pouvant impacter les biens supports
  • Mise en situation : les réflexes pour garantir la violation de données
Évaluer les risques numériques

Analyser les risques numériques

Listing des scénarios d'attaque convoitant les données sensibles et les données à caractère personnelQuantification des risques numériques en termes de probabilité d'occurrence et d'impacts induits
  • Mise en situation : élaborer des scénarios d'attaque

Être acteur de la conformité

Sensibilisation des décideurs sur les risques pour leur donner les moyens d'évaluation des risquesComment devenir force de proposition sur la stratégie à élaborer ?
  • Jeux de rôle : convaincre les décideurs
Développer des actions de traitement des risques

Échafauder des stratégies

Prévention des cyberattaques Utilisation de l'outil PIA de la CNIL pour protéger les données personnelles
  • Mise en situation : détecter une cyberattaque

Agir sur les risques identifiés

Pilotage des actions : réduction, transfert, acceptation, annulationPositionnement des capteurs, des sondes métiers et des techniques pour détecter les signes avant-coureurs ou avérés d'une attaque cyberSélection, implémentation, test et optimisation des mesures de sécurité à même de réduire les risques identifiés
  • Plan d'actions : renforcer le système d'information de son entreprise en appliquant les 42 règles du guide d'hygiène de l'ANSSI
Définir une politique de protection des données personnelles

Repérer les données à caractère personnel

Identification et modélisation des traitements et les flux de données métiersLocalisation des données à caractère personnel dans le SI et/ou dans le cloud
  • Cas pratique : repérer les vulnérabilités pouvant impacter les biens supports

Prévenir les violations de données

Recensement des mesures de sécurité existantesRepérage des vulnérabilités pouvant impacter les biens supports
  • Mise en situation : les réflexes pour garantir la violation de données
Évaluer les risques numériques

Analyser les risques numériques

Listing des scénarios d'attaque convoitant les données sensibles et les données à caractère personnelQuantification des risques numériques en termes de probabilité d'occurrence et d'impacts induits
  • Mise en situation : élaborer des scénarios d'attaque

Être acteur de la conformité

Sensibilisation des décideurs sur les risques pour leur donner les moyens d'évaluation des risquesComment devenir force de proposition sur la stratégie à élaborer ?
  • Jeux de rôle : convaincre les décideurs
Développer des actions de traitement des risques

Échafauder des stratégies

Prévention des cyberattaques Utilisation de l'outil PIA de la CNIL pour protéger les données personnelles
  • Mise en situation : détecter une cyberattaque

Agir sur les risques identifiés

Pilotage des actions : réduction, transfert, acceptation, annulationPositionnement des capteurs, des sondes métiers et des techniques pour détecter les signes avant-coureurs ou avérés d'une attaque cyberSélection, implémentation, test et optimisation des mesures de sécurité à même de réduire les risques identifiés
  • Plan d'actions : renforcer le système d'information de son entreprise en appliquant les 42 règles du guide d'hygiène de l'ANSSI

Transfert

Votre parcours de formation se poursuit dans votre espace participant. Connectez-vous pour accéder aux ressources, auto-évaluer vos compétences acquises pendant votre formation et faciliter la mise en œuvre de vos engagements dans votre contexte professionnel.

Les points forts

Approche métier sur les différents aspects du DPO et suivant les critères requis par l'autorité de contrôle (CNIL) - Présentation d'outils d'aide à la gestion du traitement des données personnelles

À qui s’adresse cette formation ?

Délégués à la protection des données (DPO/DPD) - Directeurs de services informatiques (DSI) - Avocats - Juristes - Toute personne s'intéressant à l'économie de la data et/ou en charge de la conformité de traitements de données personnelles

Pré-requis

Aucun prérequis nécessaire

Moyens pédagogiques

Dispositif de formation structuré autour du transfert des compétencesAcquisition des compétences opérationnelles par la pratique et l'expérimentationApprentissage collaboratif lors des moments synchronesParcours d'apprentissage en plusieurs temps pour permettre engagement, apprentissage et transfertFormation favorisant l'engagement du participant pour un meilleur ancrage des enseignements

Satisfaction et Evaluation

Le parcours fera l'objet d'une évaluation des compétences donnant lieu à la délivrance d'un certificat Lefebvre-Dalloz - évaluation facultative (sauf pour les participants bénéficiant d'un financement CPF) - suivant les modalités ci-après : présentation d'un projet professionnel démontrant l'acquisition des compétences attendues d'un délégué à la protection des données (Durée de l'épreuve : 30 minutes de soutenance orale)

Parmi nos formateurs

  • Pascal Alix

    Avocat au barreau de Paris, Délégué à la Protection des Données personnelles externe, EUROPRIVACY Auditor, Chargé d'enseignement en droit de l'intelligence artificielle à l'Université d'Artois.

  • Hubert De Segonzac

    Avocat au barreau de Paris et Délégué à la Protection des Données personnelles externe, membre de l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP)

Financement de la formation

Vous êtes salarié(e) d’entreprise ? Vous pouvez vous faire financer votre formation par le plan de développement des compétences de votre entreprise (ex- plan de formation) :

Le plan de développement des compétences, c’est l’ensemble des actions de formation établi à l’initiative de l’employeur dans le cadre de la politique de ressources humaines de l’entreprise. Il est annuel et s’élabore généralement en fin d’année. D’après la loi du 5 septembre 2018 « pour la liberté de choisir son avenir professionnel », l’action de formation est désormais définie comme « un parcours pédagogique permettant d'atteindre un objectif professionnel ». De nouvelles actions de formation font ainsi partie de cette définition comme : le tutorat, le coaching, l’AFEST, le MOOC, le mentoring…

Tous les salariés de l’entreprise peuvent être concernés par le plan de développement des compétences, quelle que soit la nature, la durée de leur contrat ou leur ancienneté.

L’OPCO gère, généralement, les dépenses liées aux coûts pédagogiques, rémunérations et allocations formation, transport, repas et hébergement. Suite à la réforme de la formation 2018, les missions des OPCO vont être redéfinies d’ici 2021.

N’hésitez pas à vous rapprocher de votre service RH/ formation pour plus d’informations sur les prises en charge possibles.

Si vous ne connaissez pas votre OPCO, vous pouvez vous rendre sur le site du ministère du travail en suivant ce lien.

Vos avis sur la formation

4.6/5
14 avis de consommateurs
27/10/2023

Formation très enrichissante et de qualité

ERIC C.
27/10/2023

Formation intéressante et complète mais qui de part le sujet abordée comporte des redites avec les formations Désignation, rôle et missions du DPO et Protection des données personnelles : mise en conformité

ERIC C.
27/10/2023

Je suis très satisfait de cette formation et la recommande chaudement même à ceux que l'univers "cyber" peut rebuter tant elle est interactive et abordable

ERIC C.
19/10/2023

Formation de qualité, bien organisée et très à l'actualité. Accueil chaleureux et locaux bien équipés.

KONSTANTIA Z.
21/10/2023

Formation de qualité, bien organisée et très à l'actualité. Accueil chaleureux et locaux bien équipés.

KONSTANTIA Z.
12/10/2023

Formation ne m'ayant pas apporté pour ma part de réelles connaissances pratiques, bien que bien réalisée dans son ensemble

YVES R.
13/10/2023

Formation pas assez dynamique

YVES R.
21/10/2023

Exemples concrets et conseils pratiques

YVES R.
25/10/2023

Formation pratique et bien présentée

YVES R.
25/10/2023

Formation très pratique et intéressante.

YVES R.
09/04/2023

Très bons intervenants, très accessibles et pédagogue

VINODHINY S.
09/04/2023

très bon intervenant

VINODHINY S.
25/10/2022

oui bonne disposition matériel et salle correctformateurs intéressants avec de bon profils

RABHA H.
05/11/2022

ras

MARC G.

Inter

Les sessions garanties correspondent à des dates de formations confirmées par Lefebvre Dalloz Compétences (anciennement Francis Lefebvre Formation). Ces sessions ne sont ni annulées ni reportées sauf dans le cas de force majeure.
5 jours
Réf 600579
Repas inclus (en présentiel)
Prix initial : 6 080 €
4 193 € HT

Nos sessions 2024 en présentiel à Paris se dérouleront à Paris ou à Paris-La Défense

Intra

Réf 600579

Vous souhaitez réaliser cette formation dans votre entreprise, sans adaptation ni personnalisation du programme ?

Sur-mesure

Réf 600579

Ce programme pourra servir de base à la construction d’une formation sur-mesure adaptée à vos besoins et à votre environnement professionnel

tealium