1. Accueil
  2. /
  3. Formations professionnelles
  4. /
  5. formation droit des affaires
  6. /
  7. Cycles certifiants - Professionnels

Formation - Être Délégué à la protection des données personnelles (DPO/DPD)

Le DPO de l'entreprise
Réf. 600579
5 jours
Expertise

5 jours

Réf600579

Prix3 190€ HT

20 à 30% de remise groupée

Vous souhaitez personnaliser le programme de cette formation pour qu'elle réponde aux spécificités de votre entreprise ?

Obtenez votre devis personnalisé

Les données personnelles portent sur toutes les informations attachées à une personne physique identifiée ou identifiable. Mais, parce qu'elles concernent des personnes, celles-ci doivent en conserver la maîtrise C'est pourquoi, leur utilisation est encadrée par la loi, d'autant plus lorsqu'il s'agit de données dites « sensibles ».
Nombre d'entreprises se doivent d'intégrer la fonction de délégué à la protection des données personnelles pour être en conformité. C'est dans ce contexte qu'ELEGIA propose le cycle professionnel « Être Délégué à la protection des données personnelles (DPO/DPD) » à l'issue duquel il est proposé aux candidats de valoriser leurs compétences et de se présenter à l'examen de Certification du DPO réalisé par notre partenaire SGS certificateur agréé par la CNIL.

Qu'est-ce que la réglementation en matière de protection des données personnelles ?


Le règlement général sur la protection des données personnelles (RGPD) est entré en vigueur le 25 mai 2018. Il s'agit d'une réglementation européenne d'application directe qui pose un cadre pour protéger toutes les données personnelles au sein de l'Union européenne.. En cas de manquement à cette législation, l'entreprise ou l'organisation, en charge du traitement des données personnelles, s'expose à de lourdes sanctions. Pour prévenir le risque, de nombreuses entités font donc appel à un délégué de la protection des données personnelles (DPO). Interlocuteur privilégié de la CNIL, il veille à la bonne préservation des données sensibles.

Piloter la protection des données personnelles en entreprise et Gérer les contrôles CNIL


Parce qu'Elegia dispose d'un savoir-faire de 30 ans, elle a su évoluer avec son temps et proposer de nouvelles formations au gré des changements de la société. Ainsi, Elegia compte parmi les premiers acteurs à proposer des formations concernant le nouveau métier de délégué à la protection des données personnelles (DPO). Ces formations permettent de mieux identifier le rôle et les missions du DPO, de lui donner les moyens du pilotage et d'être en capacité de gérer un contrôle CNIL. Participant à l'évaluation des failles de sécurité dans l'environnement numérique, le DPO ainsi formé, disposera des moyens nécessaires pour être force de proposition auprès des décideurs de l'entreprise.

Objectifs de la formation

  • Cerner les règles du pilotage de la protection des données personnelles de l'entreprise
  • Monter et suivre un programme de conformité en matière de données personnelles
  • Évaluer les risques numériques et repérer les failles de sécurité
  • Gérer les contrôles de la CNIL 

Programme de la formation

5 jours

A. Règlement européen « Données personnelles » : être en conformité
1 jour

1. Objectifs et enjeux du RGPD
  • origine de la directive 95-46 et de la loi Informatique et Libertés et philosophie du RGPD
  • concepts : licéité/loyauté de la collecte, limitation des finalités, minimisation/exactitude et conservation limitée des données, confidentialité, proprotionnalité, responsabilité, transparence, base légale et sécurité des traitements…
Exercice pratique : identifier les données personnelles directes et indirectes
2. Quelles sont les organisations concernées ?
  • critères d'application territoriale et personnelle
  • acteurs et responsabilités : coresponsabilité des clients et prestataires
Étude de cas : la CJUE et le responsable de traitement
3. Obligations techniques et organisationnelles
  • dresser une cartographie des traitements, préparer un plan d'actions, prioriser les chantiers
  • implémenter et documenter les exigences « Privacy by Design » et les mesures de sécurité logistique et physique
  • adopter une gouvernance interne, sensibiliser les équipes
  • définir des procédures de conformité : gestion des demandes des droits, des violations de données et des AIDP et communiquer auprès des personnes concernées
Mise en situation : mettre en oeuvre une AIDP ?
4. Quelles sont les mesures juridiques et contractuelles ?
  • constituer et alimenter le registre des traitements
  • qualifier les protagonistes et vérifier les responsabilités
  • « roadmap » de mise en conformité des contrats
  • constituer les clauses et annexes du RGPD et le document d'accountability
Exercice pratique : qualifier les protagonistes des relations complexes et en cerner les conséquences
5. Quel rôle pour le délégué à la protection des données (DPD/DPO) ?
  • fonction quasi obligatoire dans l'entreprise
  • registre/responsabilités/missions
6. Intégrer les nouveaux droits accordés aux individus
  • revoir les mentions d'information et modalités de recueil des consentements des personnes
  • cas particulier du profilage (e-Privacy) et de la prise de décision algorithmique, cookie consent (eprivacy)
7. Flux transfrontaliers de données
  • « BCR », clauses contractuelles types
  • conventions de flux complémentaires, « Privacy Shield »
8. Quelles sont les sanctions ?
  • amendes/CA, actions des personnes concernées, condamnations et préjudices
Étude de cas : sanctions et risques
9. Quel impact sur les formalités administratives et les rapports avec la CNIL ?
  • « guichet unique » au sein de l'UE, suppression des formalités et autorisations
  • sort du droit dérivé, rôle du CEPD
  • demandes à la CNIL sur l'AIDP, notification des failles de sécurité, multiplication des contrôles

B. DPO : désignation, rôle et missions du Délégué à la protection des données personnelles
1 jour

1. Fondement : accountability et fin des déclarations préalables
  • accountability : philosophie de la conformité dynamique et responsabilisation des acteurs (responsable du traitement et sous-traitant)
  • conséquence immédiate : fin des déclarations préalables à la CNIL
  • principaux outils de la conformité dynamique : analyse d'impact à la protection des données (AIPD), DPO
2. Désignation d'un DPO interne, externe ou mutualisé
  • cas dans lesquels la désignation du DPO est obligatoire (UE et États membres)
  • conditions et modalités de la désignation (qualifications et compétences requises)
  • choix entre la désignation d'un DPO interne, externe ou mutualisé, désignation dans un groupe
Mise en situation : désignation du DPO auprès de la CNIL et en interne
3. Statut et responsabilités des DPO
  • statut et responsabilités du DPO interne/du DPO externe ou mutualisé
Étude de cas : mise en cause de l'entreprise et violation de données, quelle responsabilité du DPO ?
4. Rôle du DPO
  • pilotage de la mise en conformité : DPO chef d'orchestre de la mise en conformité, DPO et comité de pilotage
  • conseil de l'organisme afin qu'il se maintienne en conformité/bilan annuel
Atelier « Acteur clé » :
- positionnement du DPO par rapport à la direction de l'entreprise, indépendance et/ou lien hiérarchique ?
- différences entre un DPO désigné auprès de la CNIL et un référent RGPD non désigné auprès de la CNIL
5. DPO du RT et du ST
  • identification du responsable du traitement (RT), du responsable conjoint et du sous-traitant (ST)
  • DPO du RT/DPO, du ST
6. Missions du DPO
  • information et conseil du RT ou du ST
  • contrôle du respect du RGPD et des autres dispositions en matière de protection des données
  • conseil sur l'analyse d'impact/coopération et point de contact avec l'autorité de contrôle
  • identification, évaluation et préconisations avec le RSSI des mesures organisationnelles et techniques de sécurité
  • point de contact des personnes concernées pour l'exercice des droits
  • sensibilisation et formation, communication interne et externe (missions complémentaires)
Quiz interactif : les missions du DPO
7. Cadre du pilotage : moyens mis à la disposition du DPO
  • participation à toutes les questions de protection des données
  • ressources pour exercer ses missions/accès aux données à caractère personnel, formation continue
8. Début de mission : l'audit de maturité de l'organisme

C. DPO : piloter la protection des données personnelles de l'entreprise
1 jour

1. Auditer la protection des données
  • méthodologie, identification des interlocuteurs, interviews, collecte des documents et informations
  • identification des opérateurs (responsables de traitement, responsables conjoints, sous-traitants)
  • identification des bases juridiques des traitements
2. Mettre en oeuvre la cartographie des traitements
  • cartographie des traitements et des données
  • rôle du DPO lors de la cartographie des traitements : aide lors de l'enregistrement des traitements ou seul contrôle des registres ?
  • le DPO et les registres de l'art. 30 (RT et ST)
Construction d'outil (check-list) : méthodologie pour réaliser l'audit
3. Mettre en conformité la documentation contractuelle et d'information
  • rôle respectif de la direction juridique et du DPO
  • identification des réglementations sectorielles
  • focus sur les transferts de données personnelles vers des pays tiers (décisions d'adéquation et garanties appropriées)
Atelier « Bonnes pratiques sur la documentation » :
- bâtir sa documentation de mise en conformité
- construire sa politique de protection des données personnelles (RT et ST, BtoC et BtoB)
- rédiger les clauses relatives à la protection des données person­nelles dans les contrats
4. Saisir l'opportunité d'une AIPD (ou DPIA)
  • rappels sur l'AIPD (accountability, finalité, caractère obligatoire)
  • critères sur l'opportunité d'une AIPD
  • notion de risque sur la vie privée
  • réaliser une AIPD : la méthode et les outils à la disposition du RT et du DPO
  • réaliser une AIPD : conseils sur la sous-traitance et sur les mesures organisationnelles et techniques de sécurité
Mise en situation : dans plusieurs situations données, de l'opportunité ou non de réaliser une PIA
5. DPO et exercice des droits des personnes concernées
  • DPO : un interlocuteur naturel
  • mise en place des procédures d'exercice des droits
  • l'exercice des droits en pratique
Cas pratique : demande d'accès, quel rôle et quelles diligences du DPO ?
6. DPO et violations de données
  • procédures de détection/de notification : mise en place
  • rôle du DPO en cas de violation de données
Mise en situation : réagir à une violation de données
7. Outils méthodologiques et logiciels pour l'exercice des fonctions de DPO
  • élaboration de programmes de sensibilisation et de formation
  • nécessité de s'appuyer sur des outils de gouvernance des données
  • outils à disposition : CNIL et éditeurs
  • outils et traçabilité des activités de traitement
8. Fin de la mission de DPO
  • fin sur l'initiative de l'organisme ou du DPO

D. Gérer les contrôles CNIL
1 jour

1. Renforcement des contrôles de la CNIL depuis le RGPD
  • renforcement du cadre
  • origine des contrôles
  • typologie des contrôles
Autodiagnostic : identifier les actions préventives à mener depuis le RGPD
2. Points d'attention lors du déroulement d'un contrôle sur place (au sein de l'entité)
  • vérification de l'identité des contrôleurs habilités
  • informations et droits dans le cadre d'une procédure de contrôle
  • pouvoirs des agents de contrôle
Atelier « jeu de rôle et points de vigilance » :
- quelle posture adopter face à un contrôle de la CNIL ?
- quelles vérifications opérer au préalable ?
- comment accompagner les agents ?
3. Gestion des suites d'un contrôle au vu du RGPD
  • procès-verbal du contrôle
  • actions à prendre par l'entité contrôlée à la suite du contrôle
  • décision de l'autorité de contrôle
Exercice de synthèse : récapituler les éléments recueillis lors du contrôle
4. Durcissement des sanctions de la CNIL avec le RGPD
  • typologie des sanctions
  • publicité et exemples
  • voies de recours
  • coopération renforcée avec le RGPD entre la CNIL et ses homologues européens
Construction d'outil (check-list) : points d'attention pour répondre, préalablement à une sanction, à une mise en demeure de la CNIL
5. Plan d'actions sur les contrôles et le RGPD
  • process de gestion d'un contrôle et de sa diffusion au sein de l'entité
  • désignation d'un DPO
  • process de gestion des plaintes CNIL
  • sensibilisation des directions opérationnelles aux dispositions du RGPD
Mise en situation : construire un plan d'actions au sein de son entreprise

E. Risques numériques et traitement de données personnelles : repérer les failles de sécurité
1 jour

Atelier fil rouge : tout au long de la formation, les participants sont mis en situation et évaluent le risque numérique sur le traitement des données personnelles en utilisant l'outil PIA de la CNIL
1. Appréhender le risque numérique dans le contexte du traitement des données personnelles
  • identifier et modéliser les traitements et les flux de données métiers
  • localiser les données à caractère personnel dans le SI et/ou dans le cloud
  • recenser les mesures de sécurité existantes
  • repérer les vulnérabilités pouvant impacter les biens support
2. Analyser et mesurer les risques numériques
  • élaborer des scénarios d'attaque convoitant les données sensibles et les données à caractère personnel
  • quantifier les risques numériques en termes de probabilité d'occurrence et d'impacts induits
  • sensibiliser les décideurs sur les risques et devenir force de proposition
3. Gérer les risques numériques
  • positionner des capteurs et des sondes métiers et des techniques à même de détecter les signes avant-coureurs ou avérés d'une attaque cyber
  • agir sur les risques identifiés : réduction, transfert, acceptation, annulation
  • sélectionner, implémenter, tester et optimiser les mesures de sécurité à même de réduire les risques identifiés
  • échafauder des stratégies à même de détecter, ralentir voire empêcher les attaques cyber
Plan d'actions : renforcer le système d'information de son entreprise en appliquant les 42 règles du guide d'hygiène de l'ANSS

Points forts de la formation

  • Cycle animé par des praticiens experts du traitement de la donnée personnelle développant une approche très pragmatique
  • Approche métier sur les différents aspects du DPO et suivant les critères requis par l'autorité de contrôle (CNIL)
  • Documents, schémas et fiches pratiques
  • Présentation d'outils d'aide à la gestion du traitement des données personnelles

A qui s’adresse la formation

  • Dirigeants
  • Responsables et Juristes d'entreprise
  • Délégué à la protection des données personnelles (DPD/DPO)
  • Responsables conformité, qualité, projets transverses CRM
  • Responsables marketing
  • RSSI, DSI
  • Risk Managers
  • Toute personne concernée par le traitement des données personnelles
Aucun prérequis n'est nécessaire

Instant digital de la formation

Une collection de modules micro-learning sur le thème « Gestion de projet » complète la formation en présentiel

Parmi les formateurs

Thomas BEAUGRAND

Thomas BEAUGRAND

Titulaire d'un DESS Droit de l'informatique et du multimédia obtenu à l'Université Panthéon-Assas Paris II, Il intègre en 2007 le cabinet Staub dont il est associé et qui a reçu plusieurs distinctions en droit des technologies de l'information, des médias et des télécommunications (Trophée Or au palmarès annuel des avocats en 2018 et argent en 2019, etc.) Son expertise du droit des données et de l'informatique constitue un atout important pour les participants désireux de mettre à jour leurs connaissances des normes RGPD.

Pascal ALIX

Pascal ALIX

Avocat au barreau de Paris et Délégué à la Protection des Données personnelles externe, membre de l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) et chargé d'enseignement en droit des données à caractère personnel à l'ENSAE Paris Tech.

Vanessa YOUNES-FELLOUS

Vanessa YOUNES-FELLOUS

Avocate ayant une pratique de plus de 10 ans en droit de la protection des données personnelles, notamment en tant qu’ancienne juriste au sein de la CNIL, elle est coauteure de l’ouvrage sur le RGPD aux Editions Législatives et auteure du Livre blanc sur le RGPD  d’Elegia Formation. Elle a été distinguée en 2019, dans le classement du magazine Décideurs, en raison de son expertise en droit de la protection des données personnelles. 

Hadi EL KHOURY

Hadi EL KHOURY

Il détient un diplôme d'ingénieur électrique en télécommunications de l'Ecole Supérieure d'Ingénieurs de Beyrouth (ESIB), Université Saint Joseph (USJ) et un Mastère Spécialisé en Sécurité des Systèmes Informatiques et des Réseaux de Télécom ParisTech. Durant les 18 dernières années, il a conseillé, formé et entraîné des dizaines d'organisations à travers le monde, dans les secteurs privés et publics, sur les questions de cybersécurité et de gestion des risques numériques. Il détient plusieurs prix et distinctions en matière d'innovation en sécurité numérique. Il intervient régulièrement dans les écoles, universités, conférences, événements et médias au sujet de la cybersécurité et du numérique.

Financement de la formation

Vous êtes salarié(e) d’entreprise ? Vous pouvez vous faire financer votre formation par le plan de développement des compétences de votre entreprise (ex- plan de formation) :
 
Le plan de développement des compétences, c’est l’ensemble des actions de formation établi à l’initiative de l’employeur  dans le cadre de la politique de ressources humaines de l’entreprise. Il est annuel et s’élabore généralement en fin d’année. D’après la loi du 5 septembre 2018 « pour la liberté de choisir son avenir professionnel », l’action de formation est désormais définie comme « un parcours pédagogique permettant d'atteindre un objectif professionnel ». De nouvelles actions de formation font ainsi partie de cette définition comme : le tutorat, le coaching, l’AFEST, le MOOC, le mentoring…
 
Tous les salariés de l’entreprise peuvent être concernés par le plan de développement des compétences, quelle que soit la nature, la durée de leur contrat ou leur ancienneté.
 
L’OPCO gère, généralement, les dépenses liées aux coûts pédagogiques, rémunérations et allocations formation, transport, repas et hébergement. Suite à la réforme de la formation 2018, les missions des OPCO vont être redéfinies d’ici 2021.
 
N’hésitez pas à vous rapprocher de votre service RH/ formation pour plus d’informations sur les prises en charge possibles.
 
Si vous ne connaissez pas votre OPCO, vous pouvez vous rendre sur le site du ministère du travail en suivant ce lien.

Avis sur la formation

avis vérifiés
4.7/5
30 avis
73%
23%
3%
0%
0%
4/5
4
ALEXANDRE R.
21 oct 2019
Documentation pas assez coceptualisée
5/5
5
JEAN PIERRE A.
21 oct 2019
Le cursus est complet et bien conçu.
5/5
5
CECILE C.
20 juin 2019
Le contenu et la durée de la formation étaient adaptés.
5/5
5
CECILE C.
20 juin 2019
Le contenu de la formation était trop vaste pour une durée d’une journée.
5/5
5
CECILE C.
20 juin 2019
Cette formation m'a apporté de nombreux éclaircissements sur la manière dont se déroule un contrôle de la CNIL et m'a permis de mieux cerner l'attitude à adopter dans une telle situation.
3/5
3
CLAUDE B.
27 mar 2019
Formation très théorique.
4/5
4
CLAUDE B.
27 mar 2019
Pour cette deuxième formation, encore beaucoup de théorique, peu d'exemple ou de moyens.
5/5
5
PHILIPPE C.
22 nov 2018
bcp d'échanges avec et entre les participants et le formateur
5/5
5
PHILIPPE C.
22 nov 2018
formation qui permet d'aborder dans le détail de nombreux points du RGPD
5/5
5
RODOLPHE C.
22 oct 2018
Intervenant de qualité et très à l'écoute
5/5
5
RODOLPHE C.
22 oct 2018
Formateurs de qualité, à l'écoute, très professionnels
5/5
5
OLIVIER D.
22 oct 2018
locaux et proche des transports en commun et faciles d'accès.
4/5
4
LOUIS C.
22 oct 2018
Le formateur était excellent ! Précis, pragmatique, très pointu et pédagogue. Cependant, comment se fait-il qu'ELEGIA ne prévienne pas ses formateurs du fait que le formation fait partie d'un tout ("pack" RGPD de 4 sessions distinctes). Les formateurs des 4 sessions auraient donc pu se concerter afin d'adapter le contenu de leur formation. Thomas BEAUGRAND ayant appris cela à 12h n'a pu que difficilement restreindre une partie du contenu prévu et qui sera revu plus en profondeur au cœur d'une journée entière de formation.
5/5
5
RODOLPHE C.
22 oct 2018
logistique de la formation - Qualité de l'intervenant
Voir les 14 commentaires
18 000 stagiaires formés cette année
97% de satisfaction
70 000 références clients

Recevoir le programme au format PDF

Merci de renseigner votre email professionnel
Je note que les informations recueillies par ELEGIA Formation, membre du groupe Lefebvre Sarrut à partir de ce formulaire, sont nécessaires au traitement de ma demande.En soumettant ce formulaire, j'accepte que le groupe Lefebvre Sarrut collecte et utilise les données personnelles que je viens de renseigner dans ce formulaire, dans le but de gérer mes demandes, commandes et abonnements et de constituer un fichier clientèle.
Conformément au Règlement Général sur la Protection des Données, vous disposez d'un droit d'accès, de rectification, de portabilité, d'effacement de vos données à caractère personnel, et d'un droit d'opposition et de limitation du traitement de vos données.Vous pouvez exercer ces droits en nous contactant, à l'adresse suivante : privacyformation@lefebvre-sarrut.eu.Vous disposez également du droit d'introduire une réclamation auprès de la CNIL. Pour en savoir plus sur le traitement de vos données à caractère personnel, vous pouvez consulter notre politique de confidentialité.