Conformité et RGPD

Devenir DPO (Délégué à la protection des données)

Objectif :

A l’issu de la formation le stagiaire sera capable de :

  1. Maitriser les principes de la règlementation en matière de la protection des données personnelles Maitriser la mission du Délégué à la Protection des données (DPD)
  2.  Savoir réaliser une analyse d’impact, la gestion des droits, et tenir les registres.
  3. Savoir évaluer la conformité d’un traitement de données personnelles d’une structure

Programme :

1 le Règlement européen (RGPD)

Exercice pratique : quiz de démarrage

Le contexte du droit français et du droit européen des données à caractère personnel :

Les principaux textes applicables

Les apports majeurs du Règlement Européen (RGPD)

Les nouvelles définitions et leurs conséquences

Les nouveaux principes consacrés : accountability, transparence, minimisation, etc.

Les apports en termes de condition de fond et de droits des personnes 

Exercice pratique : rédaction d’une mention d’information version Règlement selon un cas donné

2 Le rôle et les pouvoirs des autorités compétentes 

   La CNIL rôle et mission

3 Délégué à la Protection des Données

Les rôles et missions du DPO

La responsabilité du DPO

Les items de la RGPD

  • Le droit des personnes
  • Le Registre des traitements
  • Les Durées de conservation des données
  • L’analyse d’impact
  • La gestion des réclamations
  • Le transfert de données

4 Focus et Exercices pratique, élaboration d’un plan d’action de mise en conformité au Règlement sur la base d’un cas donné

  • Droit des personnes
  • Registre des traitements
  • Durées de conservation des données
  • L’analyse d’impact
  • La gestion des réclamations
  • Le transfert de données

5 Bilan et évaluation

  •  Evaluation des connaissances via QCM.
  • Apport des correctifs si necessaire .

Réf. : DNDA 211
Durée : 2 jours
Tarif : 1800,00 

Formation DPO Data Protection Officer

Objectifs de la formation DPO Data Protection Officer: 

– Connaître les missions du Data Protection Officer (DPO) ;
– Acquérir les compétences nécessaires à l’exercice de ces fonctions ;
– S’approprier les démarches et outils nécessaires au maniement des règles en matière de protection des données ;
– Apprendre à gérer l’organisation pour accompagner la mise à niveau et le maintien de performance de l’organisation en matière de respect de la vie privée ;
– Mettre en place un programme de mise en conformité et priorisation des actions par les risques.

Programme de la formation DPO Data Protection Officer: 

1.    Vision globale : les principes de la protection des données à caractère personnel

1.1    Les sources
     Histoire, évolution et mise en perspective du droit de la protection des données personnelles ;
     Directive « Police » et données relatives aux condamnations pénales et aux infractions ;
     Lignes directrices du G29, avis, lignes directrices et recommandations du comité européen de protection des données ;
     Jurisprudence française et européenne ;
     Changement de paradigme :
du contrôle a priori au contrôle a posteriori ;
exception : la survivance de formalités préalables dans le domaine de la santé, dans certains cas.

1.2    Les définitions essentielles
     Définitions et notions :
     donnée à caractère personnel ;
     traitement ;
     fichier ;
     personne concernées, responsable de traitement, sous-traitant, destinataire, tiers ;
     catégories particulières de données ;
     profilage et prise de décision automatisée.
     Champs d’application du RGPD et organismes concernés.    

1.3    Les grands principes L’architecture complexe du RGPD ;
     Les principes essentiels du RGPD :
     finalités du traitement ;
     principe de minimisation des données ;
     notion d’exactitude des données ;
     notion de conservation limitée des données ;
     notion de base légale du traitement ;
     notion de consentement ;
     notion de catégories particulières de données à caractère personnel.
     L’accountability et la traçabilité : le changement de paradigme ;
     La sécurité.

1.4    Les droits des personnes concernées
Droits et limites ;

     Transparence et information ;
     Accès, rectification et effacement (droit à l’oubli) ;
     Limitation du traitement ;
     Décisions individuelles automatisées et profilage ;
     Opposition ;
     Portabilité.

1.5    Les acteurs DPO :
    Du CIL au DPO ;
    Désignation et fin de mission ;
    Qualités professionnelles, connaissances spécialisées, capacité à accomplir ses missions, profil ;
    Qualités personnelles, travail en équipe, management, communication, pédagogie ;
     Fonction du DPO (moyens, ressources, positionnement, indépendance, confidentialité, absence de conflit d’intérêts, formation) ;
     Missions du DPO et rôle du DPO en matière d’audits ;
     Relations du DPO avec les personnes concernées, l’autorité de contrôle et les collaborateurs.
     Autorités de contrôle :
     La CNIL ;
     Statut ;
     Fonctionnement ;
     Missions ;
     Pouvoirs ;
     Régime de sanction.
     Comité européen de protection des données (CEPD) ;
     Organismes de certification ;
     Recours juridictionnels.

1.6    Les transferts de données :
     Les traitements transfrontaliers ;
     Les transferts de données hors UE :
     Décision d’adéquation ;
     Garanties appropriées ;
     Règles d’entreprise contraignantes ;
     Dérogations ;
     Autorisation de l’autorité de contrôle ;
     Suspension temporaire ;
     Clauses contractuelles.

2    Vision opérationnelle : mettre en œuvre la conformité

2.1    Nommer un DPO dans l’entreprise
     Mettre en place une organisation de gestion de projet :
     Constituer un comité de pilotage ;
     Nommer un chef de projet (le DPO ou non) ;
     Planifier des workshops avec les Services ;
     Désigner un sponsor dans l’organisation.
     Gérer et faire évoluer les organisations existantes ;
     Lui confier ou non la tenue des registres de traitement.

2.2    Mettre en place et/ou gérer la Gouvernance de protection des données
     Etre nommé DPO ;
     Faire un état des lieux de la situation.

2.3    Recenser parallèlement les outils et livrables de gouvernance
     Recenser les outils d’aide à la conformité déjà disponibles
     Prendre note des mises à jour et modifications éventuellement nécessaires
     Constituer ou mettre à jour un dossier des outils d’aide à la conformité
     Modèles de document, formulaire, outil PIA, référentiels, guides, forum, etc.
     Établir une liste des livrables attendus
     S’informer : mettre en place des outils et une méthodologie de veille (CEPD, lignes-directrices, actualités de la CNIL, etc.) ;
     établir des relations avec d’autres professionnels du domaine (associations de DPO, AFCDP, etc.).
     Recenser les codes de conduite, labels et certifications obtenus par l’entreprise ou intéressants, ainsi que les formations en place et les compétences déjà acquises dans la société

2.4    Connaître son environnement et son écosystème
     État des lieux plus poussé des livrables passés
     Études d’impact précédentes, conformité avec les formalités CNIL pré-RGPD, etc.
     Cartographier les données avec l’aide du RSSI et des Services
     cartographier les systèmes d’informations (repérer les DACP), établir une matrice des flux, cartographier les acteurs (lister les contrats)
     éclaircir les imprécisions sur les conséquences juridiques du fonctionnement des systèmes d’information (flux de données non connus, lieu d’hébergement des données et des back up)
     Etablir le registre des activités de traitement (responsable de traitement) et registre des catégories d’activités de traitement (sous-traitant)

2.5    Prioriser les actions sur la base de l’état des lieux
     Tirer les conséquences des qualifications juridiques établies
     apprécier l’impact des éventuelles modifications de fondement juridique des traitements ;
     apprécier la qualification donnée par les opérationnels des données traitées / collectées.
     Clarifier la situation contractuelle de l’entreprise
renégocier les contrats ;
     entrer en contact avec les prestataires, les clients, etc. ;
      mettre à jour les documents et mentions d’information ;
      sensibiliser / informer les personnels.

2.6    Réaliser les analyses d’impact relatives à la protection des données (AIPD)
     Piloter les traitements par le risque :
     identifier les traitements les plus à risque ;
     identifier les traitements imposant la réalisation d’une étude d’impact.
     Réaliser les analyses de risque sur la sécurité des données ;
     Anticiper les violations de données à caractère personnel, la notification des violations et la communication avec les personnes concernées :
     mettre en place des mécanismes de remontées d’alertes, des référentiels de quantification des risques, des procédures de notification des violations de données ;
     coordonner cette notification avec les autres mécanismes de notification des incidents de sécurité ;
     prendre des mesures en vue de rétablir la disponibilité des données et l’accès aux données en cas d’incident physique ou technique.

2.7    Constituer son dossier de conformité (Accountability) et déployer une culture de « Protection des données » dans l’organisation
     Constituer son dossier de conformité (Accountability) :
    lancer la création d’un SI /dossier dédié à la conformité pour la documentation ;
     mettre en place de processus d’alimentation de ce dossier.
     Prendre des mesures techniques et organisationnelles pour la sécurité des données au regard des risques :
     mettre en place la protection des données dès la conception (Privacy by design) et par défaut (Privacy by default) ;
     garantir la confidentialité, l’intégrité et la résilience des systèmes et des services de traitement.
     Déployer une culture de « Protection des données » dans l’entreprise :
     sensibiliser le personnel ;
     créer un processus de réponse aux réclamations ;
organiser des exercices pour anticiper d’éventuelles violations de sécurité.

2.8    Se préparer à un contrôle de la CNIL et intégrer les risques juridiques
     Se préparer à un contrôle de la CNIL ;
     Intégrer les risques juridiques (voies de recours, moyens de défense, sanctions).

Réf. : DNDADPO
Durée : 5 Jours
Tarif : 3625,00 

Formation Hébergement des données de santé et vie privée

Objectifs de la formation Hébergement des données de santé et vie privée:

Apprendre les exigences juridiques et de sécurité en matière de :

– Protection des données personnelles de santé, y compris le RGPD et la loi Informatique & Libertés 3 dans le cadre de la santé
– Hébergement des données de santé (certification HDS)
– Interopérabilité des systèmes d’information de santé (CI-SIS)
– Sécurité des systèmes d’information de santé (PGSSI-S, CPS, RGS, LPM, NIS)

Programme de la formation Hébergement des données de santé et vie privée:

Module 1 : Présentation du contexte

– Cadre légal et normatif
– Notions fondamentales
– Données de santé, dossier médical partagé, systèmes d’information, etc.
– Principaux acteurs
     Patient, Professionnel de santé et médico-social, Établissements de santé, Hébergeur, ASIP-santé, CNIL, etc.

Module 2 : Droits des patients et secret
– Droits des patients
     Confidentialité de leurs données de santé, information et accès aux données, droit de rectification et d’opposition, etc.
– Secret
     Secret professionnel, secret médical, secret partagé                                 

Module 3 : Gestion des données personnelles de santé
– Licéité des traitements de données personnelles
– Recueil des données de santé
– Formalités préalables, PIA
– Élaboration et tenue du registre des activités de traitement
– Conservation, suppression, anonymisation et archivage des données
– Transferts internationaux de données
– Gestion des droits des personnes concernées

Module 4 : Sécurité du système d’information de santé
– Obligations légales de sécurité de données et systèmes d’information de santé
– Enjeux de la sécurité du SI-S : Confidentialité, Intégrité, Disponibilité, Traçabilité et imputabilité
– PGSSI-S

Module 5 : Interopérabilité du système d’information de santé
– Obligation légale d’interopérabilité
– Présentation du cadre d’interopérabilité des systèmes d’information de santé

Module 6 : Hébergement des données de santé
– Exigences légales en matière d’hébergement
– Certification HDS
– Passage de l’agrément à la certification
– Médecin de l’hébergeur de la procédure d’agrément à la certification

Module 7 : SMSI
– Présentation de la norme ISO 27001
– Organisation de la sécurité
     Rôles et responsabilités, Politique de sécurité, SMSI
     Médecin hébergeur
     Responsabilités vis-à-vis du CSP
– Gestion des risques
     Appréciation des risques
     Plan de traitement des risques
     Déclaration d’applicabilité étendue
     ISO27018
     Exigences HDS
– Processus de certification
– Mesures de sécurité opérationnelles
     Gestion des accès, identification, authentification
     Classification et chiffrement
     Architecture réseau et applicative
     Sécurité des échanges
     Durcissement des systèmes
     Objets connectés et accès distants
     Cycle de vie et obsolescence des systèmes
     Sauvegarde et archivage
     Auditabilité (Traçabilité, Imputabilité)
– Gestion des incidents dans les contextes des données de santé
     Notifications aux autorités
– Gestion de la continuité d’activité

Réf. : DNDASECUSANTE
Durée : 3 Jours
Tarif : 2070,00 

Formation RGPD

Objectifs :

A l’issu de la formation vous serai capable de :

  • Connaitre la reglementation Europeen en matiere de RGPD 
  • connaitre les impacts sur les responsabilité de traitement 
  • connaitre les institutions referentes 

contenu de programme

Propos liminaires sur le Règlement européen (RGPD)

Exercice pratique : quiz de démarrage

  1. Le contexte du droit français et du droit européen des données à caractère personnel : les principaux textes applicables
  2. Quel bilan de la Directive de 1995 ? Pourquoi avoir fait le choix d’un texte plus contraignant et d’application directe ?
  3. Les différentes étapes de l’élaboration du Règlement européen
  4. Le processus d’incorporation en droit interne et l’articulation avec les textes préexistants (Loi Informatique et Libertés, Loi pour une République numérique)

Les apports majeurs du Règlement Européen (RGPD)

  1. Les nouvelles définitions et leurs conséquences
  2. Les nouveaux principes consacrés : accountability, transparence, minimisation, etc.
  3. Les apports en termes de condition de fond et de droits des personnes 

Exercice pratique :

  1. rédaction d’une mention d’information version Règlement selon un cas donné de nouvelles obligations et responsabilités pour les entreprises françaises 
  2. Apport des correctifs

Les impacts sur les responsables de traitement

  1. Les incidences du principe de transparence –   L’analyse d’impact ou PIA et consultation des autorités
  2. La notification de faille de sécurité

Les impacts sur les sous-traitants

  1. La relation avec les responsables de traitement
  2. La tenue du registre d’activité
  3. L’intérêt des certifications et code de conduite

Du CIL au DPO

  1. Comment désigner le DPO ?
  2.  Les rôles et missions du DPO
  3. La responsabilité du DPO
  4. Quel avenir pour le CIL ?

 Exercices pratiques :

  • Rédaction d’une clause « Données personnelles » entre un responsable et un sous-traitant, en application du Règlement et identification des dispositions contractuelles à anticiper côté client et côté prestataire (sous-traitant)
  • Apport des correctifs

Le rôle et les pouvoirs des autorités compétentes

  1. Le rôle et la nouvelle coopération entre les autorités 
  2. Les conséquences du remplacement du G29 par le Comité européen de la protection des données (CEPD)
  3. Les apports du guichet unique pour les entreprises
  4. Les sanctions prévues au Règlement

Fin de session 

  • Evaluation des connaissances via QCM 

Nota :

Un support de cour format dématéralisé est remis au stagiaire en debut de session ainsi qu’un cahier d’exercices.

Réf. : DNDA 210
Durée : 1 jour
Tarif : 890,00 

Formation Security by Design

Objectifs de la formation Security by Design

– Faciliter la prise en compte de la sécurité dans vos projets informatiques
– Fiabiliser votre gestion de projets informatiques
– Contribuer à niveau de confiance acceptable du SI
– Maîtriser les risques liés à la sous-traitance et à l’externalisation

Programme de la formation Security by Design

Module 1 : Introduction à la sécurité des systèmes d’information
– Le contexte
– Une étude de cas
– Un quizz

Module 2 : Principes de sécurité des systèmes d’information

– Des architectures sécurisées
– Une administration sécurisée des SI
– La sécurité de l’infrastructure
– La sécurisation des développements logiciels et applicatifs : DevSecOps, SDLC, OWASP, CWE, etc
– Les fondamentaux de la cryptographie

Module 3 : Sécurité des systèmes d’information et projet informatique

– Pourquoi intégrer la sécurité dans vos projets ?
– Les rôles et les responsabilités SSI dans les projets
– Les étapes SSI dans les projets : approche Agile intégrée, ISO 27034, etc
– Quelques aspects juridiques et règlementaires : NIS, LPM, RGPD, etc
– La maîtrise des risques : EBIOS RM, MEHARI, etc
– Une étude de cas
– Une sous-traitance maîtrisée : maintien en conditions opérationnelles et de sécurité (MCO-MCS), plan d’assurance sécurité (PAS), référentiel Cloud, etc
– La documentation SSI
– Les audits de sécurité : infrastructure et applications

Réf. : DNDASECUBYDESIGN
Durée : 2 Jours
Tarif : 1380,00 

Nous contacter

Nouvelles formations

Dernières actualités

Nous suivre