Formation #600381

Être Délégué à la Protection des Données Personnelles (DPO/DPD)

Ce stage n'a plus de session disponible et/ou est exclusivement réalisé en intra-entreprise pour une efficacité maximale.

Personnaliser le programme de cette formation pour qu'elle réponde aux spécificités de votre entreprise.

Vous souhaitez personnaliser le programme de cette formation pour qu'elle réponde aux spécificités de votre entreprise ? Demandez un devis.

Être Délégué à la Protection des Données Personnelles (DPO/DPD) 2 790 € HT Ajouter au panier Devis Intra

Le DPO de l'entreprise

Le RGPD  - règlement européen de protection au traitement des données  personnelles -  est en vigueur depuis le 25 mai 2018 ! Ce règlement, d’application directe en droit Français, pose un nouveau cadre pour la protection des données au sein de l’Union Européenne : une responsabilisation de tous les acteurs, un renforcement des droits de la personne, la mise en place au sein de l’entreprise quelle que soit la taille de dispositifs innovants de conformité, de lourdes sanctions en cas de manquements (plafond de 20M d’euros ou 4% du CA annuel), etc. Le chef d’orchestre de cet arsenal est le Délégué à la Protection des Données (DPO) au lieu et place du CIL et interlocuteur privilégié de la CNIL. C’est dans ce contexte qu'ELEGIA formation propose le cycle certifiant « Etre DPO » à l’effet de disposer de toutes les compétences pour exercer  ce nouveau métier

Objectifs

  • Bâtir et suivre un programme de conformité au RGPD
  • Identifier le rôle et les missions du délégué à la protection des données personnelles (DPO)
  • Cerner les règles du pilotage de la protection des données personnelles de l'entreprise
  • Gérer les contrôles CNIL
Programme
Face au succès de cette formation, nous vous proposons une session supplémentaire qui débutera le 8 novembre !

A. Réglement européen « Données personnelles » : être en conformité (1 jour)
1. Objectifs et enjeux du RGDP
  • principes de la directive 95-46 et de la loi Informatique et Libertés
  • origine et philosophie du RGPD et du réglement e-Privacy
  • concepts au sein du RGPD : licéité, limitation des finalités, minimisation/exactitude et conservation limitée des données, intégrité, confidentialité, responsabilité, base légale des traitements, consentements, catégories particulières des traitements, condamnations pénales et infractions
2. Quelles sont les entreprises concernées ?
  • critères d'application territoriale
  • acteurs et responsables : coresponsabilité des clients et prestataires
Étude de cas : jurisprudence de la CJUE sur le « responsable de traitement »
3. Quelles sont les obligations techniques et organisationnelles ?
  • dresser une cartographie des traitements/préparer un plan de recommandations
  • comprendre, implémenter et documenter les exigences « Privacy by Design », « Security by Default »
  • comprendre, implémenter et entretenir l’« Accountability », l’analyse d’impact préalable (AIPD)
  • définir des procédures d'audits/d'évaluation des risques
  • adopter une méthodologie interne formalisée
Mise en situation : comment gérer une AIPD ?
4. Quelles sont les mesures juridiques et contractuelles ?
  • définir une « roadmap »  de mise en conformité
  • rédiger des politiques de vie privée adaptées et transparentes
  • répartir/définir la responsabilité entre intervenants
Plan d'actions : assurer la conformité au règlement
5. Quel rôle pour le « Délégué à la protection des données » (DPD/DPO) ?
  • fonction quasi obligatoire dans l'entreprise
  • registre /responsabilités/missions
6. Comment intégrer les nouveaux droits accordés aux individus ?
  • revoir les mentions d’information des personnes
  • revoir les modalités de recueil des consentements des personnes
  • cas particulier du profilage (e-Privacy)
7. Flux transfrontaliers de données
  • « BCR », clauses contractuelles types
  • conventions de flux complémentaires, le « Privacy Shield »
8. Quelles sont les sanctions ?
  • amendes en fonction du CA, augmentation drastique des peines maximales
Cas pratique : identifier les sanctions et mesurer les risques financiers et « réputationnels »
9. Quel impact sur les formalités administratives et les rapports avec la CNIL ?
  • principe du « guichet unique » au sein de l'UE - suppression des formalités déclaratives ou demandes d’autorisations
  • sort du droit dérivé
  • demandes à la CNIL en matière d’analyse d’impact - obligation de notification des failles de sécurité
  • multiplication des contrôles

B. DPO (DPD) : désignation, rôle et missions du délégué à la protection des données personnelles (1 jour)
1. Fondement : l’accountability et la fin des déclarations préalables
  • l’accountability : philosophie de la conformité dynamique et notion de responsabilisation des acteurs (responsable du traitement et sous-traitant),
  • conséquence immédiate : la fin des déclarations préalables à la CNIL
  • principaux outils de la conformité dynamique : l'analyse d'impact préalable (AIPD) et le DPO
2. Désignation d’un DPO interne, externe ou mutualisé
  • cas dans lesquels la désignation du DPO est obligatoire (UE et Etat-membre)
  • conditions de la désignation (qualifications et compétences requises)
  • modalités de la désignation du DPO
  • choix entre la désignation d’un DPO interne, externe ou mutualisé : avantages et inconvénients
3. Statut et responsabilités des DPO
  • statut et responsabilités du DPO interne
  • statut et responsabilités du DPO externe ou mutualisé
Etude de cas : mise en cause de l'entreprise et violation de données, quelle mise en cause du DPO ?
4. Rôle du DPO
  • pilotage de la mise en conformité : DPO, « chef d’orchestre de la mise en conformité », DPO et le comité de pilotage
  • conseil de l’organisme afin qu’il se maintienne en conformité
  • bilan annuel
Atelier « Acteur clé » :
- le positionnement du DPO par rapport à la direction de l'entreprise, indépendance et/ou lien hiérarchique ?
- la transversalité du DPO et le rôle de collaborateur avec les équipes juridiques, IT, marketing dans l'entreprise 
5. DPO du RT et du ST
  • identification du responsable du traitement (RT), du responsable conjoint et du sous-traitant (ST)
  • DPO du RT
  • DPO du ST
6. Missions du DPO
  • information et conseil du responsable du traitement ou du sous-traitant
  • contrôle du respect du RGPD et des autres dispositions en matière de protection des données
  • conseil sur l’analyse d’impact
  • coopération et point de contact avec l’autorité de contrôle

  • identification, évaluation et préconisations avec le RSSI des mesures organisationnelles et techniques de sécurité
  • gestion des risques associés aux opérations de traitement
  • point de contact des personnes concernées pour l’exercice des droits
  • sensibilisation et formation (mission complémentaire)
  • communication interne et externe (mission complémentaire)
Quiz interactif : les missions du DPO
7. Cadre du pilotage : moyens mis à la disposition du DPO
  • nécessaire participation à toutes les questions de protection des données
  • fourniture de ressources nécessaires pour exercer ses missions/accès aux données à caractère personnel
  • formation continue du DPO
8. DPO, successeur du CIL ?
  • bref rappel du statut de l’actuel Correspond Informatique et Libertés
  • survie du CIL ? Cas particulier du CIL presse
  • DPO et CIL, points communs et différences
Partage d'expériences : du CIL au DPO, quelles évolutions dans l'entreprise ?

C. DPO (DPD) : le pilotage de la protection des données personnelles de l'entreprise (1 jour)
1. Audit de la protection des données
  • méthodologie, identification des interlocuteurs, interviews
  • collecte des documents et informations
  • identification des opérateurs (responsables de traitement, responsables conjoints, sous-traitants)
  • identification des bases juridiques des traitements
2. Mise en œuvre de la cartographie des traitements
  • cartographie des traitements et cartographie des données 
  • rôle du DPO lors de la cartographie des traitements : aide lors de l’enregistrement des traitements ou seul contrôle des registres ?
  • DPO du responsable du traitement (RT) et le registre de l’art.30
  • DPO du sous-traitant (ST) et le registre de l’art.30
Ckeck-list : méthodologie pour réaliser l'audit 
3. Mise en conformité de la documentation contractuelle et d’information
  • mise en conformité de la documentation (accountability) : le rôle respectif de la direction juridique et du DPO

  • identification des réglementations sectorielles
  • focus sur les transferts de données personnelles vers des pays tiers (décisions d’adéquation et garanties appropriées)
Atelier « Documentation » :

- bâtir sa documentation de mise en conformité

- politique de protection des données personnelles (RT et ST, BtoC et BtoB)

- les clauses relatives à la protection des données person­nelles dans les contrats
4. L’opportunité d'une AIPD (ou DPIA) 

  • rappels sur l'AIPD (accountability, finalité, caractère obligatoire)
  • critères sur l’opportunité d’une AIPD
  • notion de risque sur la vie privée
  • réaliser un DPIA : la méthode et les outils à la disposition du RT et du DPO
  • réaliser une AIPD : conseils sur la sous-traitance et sur les mesures organisationnelles et techniques de sécurité
Étude de cas : dans plusieurs situations données, de l'opportunité ou non de réaliser une AIPD
5. Le DPO et l’exercice des droits des personnes concernées
  • DPO, interlocuteur naturel des personnes concernées
  • mise en place des procédures d’exercice des droits
  • l’exercice des droits en pratique
Cas pratique : demande de limitation du traitement, quelles diligences du DPO ?
6. DPO et les violations de données
  • mise en place des procédures de détection et de notification
  • rôle du DPO en cas de violation de données
Mise en situation : réagir à une violation de données
7. Outils méthodologiques et logiciels pour l’exercice des fonctions de DPO

  • élaboration de programmes de sensibilisation et de formation
  • nécessité de s’appuyer sur des outils de gouvernance des données
  • outils à disposition : CNIL et éditeurs

  • outils permettant la traçabilité des activités de traitement
Partage de pratiques : choisir l'outil adapté à l'entreprise
8. Fin de la mission de DPO
  • fin la mission sur l’initiative de l’organisme/sur l’initiative du DPO

D. Gérer les contrôles CNIL (1 jour)
1. Renforcement des contrôles de la CNIL avec le RGPD 
  • statut de l’autorité nationale de contrôle
  • comité européen de protection des données
  • pouvoirs des autorités de contrôle
  • régimes des sanctions
  • recours juridictionnels
  • droit à réparation
  • origine et typologie des contrôles : exemples
Autodiagnostic : identifier les actions préventives à mener depuis le RGPD 
2. Points d’attention lors du déroulement d’un contrôle sur place (au sein de l’entité)
  • vérification de l’identité des contrôleurs habilités
  • informations et droits dans le cadre d’une procédure de contrôle
  • pouvoirs des agents de contrôle
Jeu de rôle : quelle posture à adopter face à un contrôle de la CNIL ? quelles vérifications à opérer au préalable ? comment accompagner les agents ?
3. Gestion des suites d’un contrôle au vu du RGPD 
  • procès-verbal du contrôle
  • actions à prendre par l’entité contrôlée à la suite du contrôle
  • décision de l’autorité de contrôle
Exercice de synthèse : récapituler les éléments recueillis lors du contrôle
4. Renforcement des sanctions de la CNIL avec le RGPD 
  • typologie des sanctions
  • publicité et exemples
  • voies de recours
  • coopération renforcée avec le RGPD entre la CNIL et ses homologues européens
Cas pratique : points d'attention pour répondre, préalablement à une sanction, à une mise en demeure de la CNIL
5. Plan d’actions sur les contrôles et le RGPD 
  • process de gestion d’un contrôle et sa diffusion au sein de l’entité
  • désignation d’un DPO
  • process de gestion des plaintes CNIL
  • sensibilisation des directions opérationnelles aux dispositions du RGPD
Mise en situation : construire un plan d'actions au sein de son entreprise
Points forts

Points forts

  • Cycle animé par des praticiens de la donnée personnelle développant une approche très pragmatique
  • Acquisition d'une qualification métier sur les différents aspects du DPO et suivant les critères requis par l'autorité de contrôle
  • Remise de documents synthétiques, schémas et fiches pratiques
  • Présentation d'outils d'aide à la gestion du traitement de la donnée personnelle
Public et prérequis

Public

Dirigeants - Responsables et juriste d'entreprise - Délégué à la protection des données personnelles (DPD/DPO) - Responsables conformité, qualité, projets transverses CRM - Responsables Marketing - RSSI, DSI - Risques Managers - Toute personne concernée par le traitement des données personnelles

Prérequis

Aucun prérequis n'est nécessaire pour suivre ce cycle
Formateurs

Parmi nos formateurs

Thomas BEAUGRAND

Thomas BEAUGRAND

Titulaire d’un DESS obtenu à l’université Panthéon-Assas Paris II, il s'est entre autres intéressé au droit de la propriété intellectuelle. Il intègre en 2007 le cabinet Staub, qui reçoit le trophée d'or dans la catégorie droits des technologies de l'information, des médias et des télécommunications lors du palmarès annuel des avocats 2018. Son expertise du droit des données et de l’informatique constitue un atout important pour les participants désireux de mettre à jour leurs connaissances des normes RGPD.

Vanessa YOUNES-FELLOUS

Vanessa YOUNES-FELLOUS

Avocat en droit de la protection des données, elle a exercé pendant deux ans en tant que juriste au sein de la CNIL : désormais aguerrie aux contrôles de cette organisation, elle fait profiter les participants de son expérience complète en matière de protection des données personnelles.

Avis

3 avis

OLIVIER
D
22/10/2018
5
5/5
locaux et proche des transports en commun et faciles d'accès.
LOUIS
C
22/10/2018
4
4/5
Le formateur était excellent ! Précis, pragmatique, très pointu et pédagogue. Cependant, comment se fait-il qu'ELEGIA ne prévienne pas ses formateurs du fait que le formation fait partie d'un tout ("pack" RGPD de 4 sessions distinctes). Les formateurs des 4 sessions auraient donc pu se concerter afin d'adapter le contenu de leur formation. Thomas BEAUGRAND ayant appris cela à 12h n'a pu que difficilement restreindre une partie du contenu prévu et qui sera revu plus en profondeur au cœur d'une journée entière de formation.
RODOLPHE
C
22/10/2018
5
5/5
logistique de la formation - Qualité de l'intervenant
Jusqu'a -30%
Devis personnalisé

Agréé auprès du ministère du Travail
pour les informations CE (arrêté n°99-469 du 29/03/99)

Agréé auprès du Préfet de Région pour
les formations CHSCT (arrêté n°2003-2254 du 28/10/03)

Consultants en formations certifiés
Kirkpatrick four levels°niveau bronze