DPO – Data Protection Officer

1 – Les principes de la protection des données à caractère personnel

1.1 Les sources

• Évolution et mise en perspective des principes généraux applicables (loi informatique et Libertés, textes européens, genèse RGPD, droit comparé US)
• Qu’est-ce que la CNIL ? Qu’est-ce que le CEPD ?

1.2 Les définitions essentielles

• De quoi parle-t-on ? Notions de donnée à caractère personnel, traitement, responsable de traitement/sous-traitant, etc.

1.2 Le champ d’application

• Champ d’application matériel du RGPD (la Directive 2016/680 dite Directive « Police », le secteur des télécom/commerce électronique)
• Champ d’application territorial (l’autorité de contrôle « chef de file », les transferts de données hors UE/EEE, certifications/codes de conduite)

1.3 Les grands principes 

• L’architecture complexe du RGPD
• Les principes essentiels du RGPD (licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, etc.)
• Conformité de l’écosystème (la qualification de responsable de traitement/sous-traitant ; accords contractuels)
• Le registre de traitements

1.4 Les régimes spéciaux

• Les données à caractère hautement personnel, les données relatives aux condamnations pénales ou infractions, catégories particulières de données, etc.
• Le profilage
• Les référentiels de la CNIL

1.5 Les droits des personnes

• Droit à l’information, droit d’accès, droit de rectification, droit à l’effacement, droit d’opposition, etc.

2 – L’approche par les risques

2.1 Intégrer les principes de Privacy by design et by default

• Les 7 piliers du Privacy by design
• À quoi servent ces principes ?
• Les outils de mise en œuvre

2.2 Se donner les moyens d’assurer la sécurité

• Les violations de données personnelles : notion d’intégrité, de disponibilité, de confidentialité… et d’accountability
• Les sanctions en cas de manquement à la sécurité
• Notions de mesures de sécurité et d’adéquation aux risques
• Exemples de mesures de sécurité et de contre-mesures pour chaque type de violation
• Les bonnes pratiques, etc.

2.3 Évaluer les risques et analyser l’impact de vos traitements sur les droits et libertés fondamentales (AIPD)

• Qu’est-ce qu’une analyse d’impact ? Position de la CNIL
• Contenu de l’AIPD
• Appréciation du risque
• Notion d’AIPD flash

2.4 Savoir notifier les violations de données personnelles

• Genèse de l’obligation de notification
• Modalités de la notification (qui, quand, comment ?)
• Modalités de la communication aux personnes concernées

2.5 Anticiper les recours et préparer un contrôle par les autorités 

• Réclamations, recours, responsabilités
• L’action collective, le droit à réparation
• Se préparer à un contrôle de la CNIL (modalités, pouvoirs de la CNIL, sanctions)

3 – Mettre en œuvre la conformité

3.1 Nommer un DPO dans l’entreprise

• Qualités, profil, statut

3.2 Mettre en place et/ou gérer la gouvernance de protection des données

• DPO, contrôleur ou faiseur ?
• Comité de pilotage, groupe de travail, etc.

3.3 Déployer une culture « Protection des données » dans l’entreprise

• Notion, intérêt et structuration du Dossier de conformité
• Sensibilisation des personnels

3.4 Recenser parallèlement les outils et livrables de gouvernance

• Analyse de l’existant, veille globale
• Accountability

3.5 Connaître son environnement et son écosystème

• Cartographies

Fin de session et evaluation

• Evaluation par QCM
• Certification AFNOR réalisé le dernier jour de la formation ( option)

Autre formation disponible 

• Sensibilisation DPO
• Nouvelles règles relatives à la protection des données- RGPD
• Formation DPO Data Protection Officer