CONFORMITE & RGPD

COMPRENDRE LES ENJEUX RELATIFS A LA PROTECTION DES DONNEES PERSONNELLES

Depuis l’entrée en application du RGPD

En mai 2018, plusieurs centaines de sanctions ont été prononcées par la CNIL à l’encontre des géants du web (Google, Amazon, Twitter) mais également à l’encontre de plus petits acteurs (PME/TPE, médecins libéraux, particuliers à l’étranger). Afin de se prémunir contre ces sanctions (qui peuvent parfois dépasser le millions d’euros !), chaque organisme, qu’il soit public ou privé, doit s’assurer que les données personnelles qu’il traite soient protégées, en conformité avec le RGPD.

Nos formations vont vous aider à comprendre de manière exhaustive, les enjeux que posent la protection des données personnelles au sein des entreprises .

Autres thématiques disponible dans notre catalogue Cybersecurité 

RED TEAMFORENSICPENTESTGOUVERNANCENORME ISO 27 001

 

Devenir Délégué à la protection des données

1 le Règlement européen (RGPD)

Exercice pratique : quiz de démarrage

  • Le contexte du droit français et du droit européen des données à caractère personnel :
  • Les principaux textes applicables
Les apports majeurs du Règlement Européen (RGPD)
  • Les nouvelles définitions et leurs conséquences
  • Les nouveaux principes consacrés : accountability, transparence, minimisation, etc.
  • Les apports en termes de condition de fond et de droits des personnes

Exercice pratique : rédaction d’une mention d’information version Règlement selon un cas donné

2 Le rôle et les pouvoirs des autorités compétentes

La CNIL rôle et mission

3 Délégué à la Protection des Données
  • Les rôles et missions du DPO
  • La responsabilité du DPO
  • Les items de la RGPD
    • Le droit des personnes
    • Le Registre des traitements
    • Les Durées de conservation des données
    • L’analyse d’impact
    • La gestion des réclamations
    • Le transfert de données
4 Focus et Exercices pratique, élaboration d’un plan d’action de mise en conformité au Règlement sur la base d’un cas donné
  • Droit des personnes
  • Registre des traitements
  • Durées de conservation des données
  • L’analyse d’impact
  • La gestion des réclamations
  • Le transfert de données
5 Bilan et évaluation
  •  Evaluation des connaissances via QCM.
  • Apport des correctifs si nécessaire .
Autres formations en conformité RGPD disponible :
  1. Les fondamentaux du RGPD
  2. Devenir DPO
  3. DPO Data protection Officer
  4. Hébergement des données de santé et vie privée

Réf. : DNDA 211
Durée : 2 jours
Tarif : 1800,00 

Formation DPO Data Protection Officer

Vision globale : les principes de la protection des données à caractère personnel

Les sources

  • Histoire, évolution et mise en perspective du droit de la protection des données personnelles ;
    Directive « Police » et données relatives aux condamnations pénales et aux infractions ;
  • Lignes directrices du G29, avis, lignes directrices et recommandations du comité européen de protection des données ;
  • Jurisprudence française et européenne ;
  • Changement de paradigme :
  • du contrôle a priori au contrôle a posteriori ;
  • exception : la survivance de formalités préalables dans le domaine de la santé, dans certains cas.

Les définitions essentielles

  • Définitions et notions :
    • donnée à caractère personnel ;
      traitement ;
      fichier ;
  • personne concernées, responsable de traitement, sous-traitant, destinataire, tiers ;
    catégories particulières de données ;

    • profilage et prise de décision automatisée.
  • Champs d’application du RGPD et organismes concernés.

Les grands principes L’architecture complexe du RGPD ;

  • Les principes essentiels du RGPD :
  • finalités du traitement ;
    • principe de minimisation des données ;
    • notion d’exactitude des données ;
    • notion de conservation limitée des données ;
    • notion de base légale du traitement ;
    • notion de consentement ;
    • notion de catégories particulières de données à caractère personnel.
    • L’accountability et la traçabilité : le changement de paradigme ;
    • La sécurité.
Les droits des personnes concernées
  • Droits et limites ;
    • Transparence et information ;
    • Accès, rectification et effacement (droit à l’oubli) ;
    • Limitation du traitement ;
    • Décisions individuelles automatisées et profilage ;
    • Opposition ;
    • Portabilité.

Les acteurs DPO :

  • Du CIL au DPO ;
    • Désignation et fin de mission ;
    • Qualités professionnelles, connaissances spécialisées, capacité à accomplir ses missions, profil ;
    • Qualités personnelles, travail en équipe, management, communication, pédagogie ;
    • Fonction du DPO (moyens, ressources, positionnement, indépendance, confidentialité, absence de conflit d’intérêts, formation) ;
    • Missions du DPO et rôle du DPO en matière d’audits ;
    • Relations du DPO avec les personnes concernées, l’autorité de contrôle et les collaborateurs.
      Autorités de contrôle :

      • La CNIL ;
        • Statut ,Fonctionnement,Missions ,Pouvoirs ,Régime de sanction.
        • Comité européen de protection des données (CEPD) ;
        • Organismes de certification ;
        • Recours juridictionnels.
Les transferts de données :
  • Les traitements transfrontaliers ;
  • Les transferts de données hors UE :
  • Décision d’adéquation ;
  • Garanties appropriées ;
  • Règles d’entreprise contraignantes ;
  • Dérogations ;
  • Autorisation de l’autorité de contrôle ;
  • Suspension temporaire ;
  • Clauses contractuelles.
Vision opérationnelle : mettre en œuvre la conformité

Nommer un DPO dans l’entreprise
  • Mettre en place une organisation de gestion de projet :
  • Constituer un comité de pilotage ;
  • Nommer un chef de projet (le DPO ou non) ;
  • Planifier des workshops avec les Services ;
  • Désigner un sponsor dans l’organisation.
  • Gérer et faire évoluer les organisations existantes ;
  • Lui confier ou non la tenue des registres de traitement.

Mettre en place et/ou gérer la Gouvernance de protection des données

  • Etre nommé DPO ;
  • Faire un état des lieux de la situation.

Recenser parallèlement les outils et livrables de gouvernance

  • Recenser les outils d’aide à la conformité déjà disponibles
  • Prendre note des mises à jour et modifications éventuellement nécessaires
  • Constituer ou mettre à jour un dossier des outils d’aide à la conformité
  • Modèles de document, formulaire, outil PIA, référentiels, guides, forum, etc.
  • Établir une liste des livrables attendus
  • S’informer : mettre en place des outils et une méthodologie de veille (CEPD, lignes-directrices, actualités de la CNIL, etc.) ;
  • établir des relations avec d’autres professionnels du domaine (associations de DPO, AFCDP,etc.)
  • Recenser les codes de conduite, labels et certifications obtenus par l’entreprise ou intéressants, ainsi que les formations en place et les compétences déjà acquises dans la société

Connaître son environnement et son écosystème

  • État des lieux plus poussé des livrables passés
  • Études d’impact précédentes, conformité avec les formalités CNIL pré-RGPD, etc.
  • Cartographier les données avec l’aide du RSSI et des Services
  • Cartographier les systèmes d’informations (repérer les DACP), établir une matrice des flux, cartographier les acteurs (lister les contrats)
  • Eclaircir les imprécisions sur les conséquences juridiques du fonctionnement des systèmes d’information (flux de données non connus, lieu d’hébergement des données et des back up)
  • Etablir le registre des activités de traitement (responsable de traitement) et registre des catégories d’activités de traitement (sous-traitant)

Prioriser les actions sur la base de l’état des lieux

  • Tirer les conséquences des qualifications juridiques établies
  • apprécier l’impact des éventuelles modifications de fondement juridique des traitements ;
  • apprécier la qualification donnée par les opérationnels des données traitées / collectées.
    Clarifier la situation contractuelle de l’entreprise
  • renégocier les contrats ;
  • entrer en contact avec les prestataires, les clients, etc. ;
  • mettre à jour les documents et mentions d’information ;
  • sensibiliser / informer les personnels.

Réaliser les analyses d’impact relatives à la protection des données (AIPD)

  • Piloter les traitements par le risque :
  • identifier les traitements les plus à risque ;
  • identifier les traitements imposant la réalisation d’une étude d’impact.
  • Réaliser les analyses de risque sur la sécurité des données ;
  • Anticiper les violations de données à caractère personnel, la notification des violations et la communication avec les personnes concernées :
  • mettre en place des mécanismes de remontées d’alertes, des référentiels de quantification des risques, des procédures de notification des violations de données ;
  • coordonner cette notification avec les autres mécanismes de notification des incidents de sécurité ;
  • prendre des mesures en vue de rétablir la disponibilité des données et l’accès aux données en cas d’incident physique ou technique.

Constituer son dossier de conformité (Accountability) et déployer une culture de « Protection des données » dans l’organisation

  • Constituer son dossier de conformité (Accountability) :
    • lancer la création d’un SI /dossier dédié à la conformité pour la documentation ;
      mettre en place de processus d’alimentation de ce dossier.
    • Prendre des mesures techniques et organisationnelles pour la sécurité des données au regard des risques :
    • mettre en place la protection des données dès la conception (Privacy by design) et par défaut (Privacy by default) ;
    • garantir la confidentialité, l’intégrité et la résilience des systèmes et des services de traitement.
    • Déployer une culture de « Protection des données » dans l’entreprise :
      sensibiliser le personnel ;
    • créer un processus de réponse aux réclamations ;
    • organiser des exercices pour anticiper d’éventuelles violations de sécurité.

Se préparer à un contrôle de la CNIL et intégrer les risques juridiques

  • Se préparer à un contrôle de la CNIL ;
  • Intégrer les risques juridiques (voies de recours, moyens de défense, sanctions).
Bilan et évaluation
  •  Evaluation des connaissances via QCM.
  • Apport des correctifs si nécessaire .
Autres formations en conformité RGPD disponible :
  1. Les fondamentaux du RGPD
  2. Devenir DPO
  3. DPO Data protection Officer
  4. Hébergement des données de santé et vie privée

Réf. : DNDADPO
Durée : 5 Jours
Tarif : 3625,00 

Formation Hébergement des données de santé et vie privée

 Présentation du contexte
  • -Cadre légal et normatif
  • Notions fondamentales
  • Données de santé, dossier médical partagé, systèmes d’information, etc.
  • Principaux acteurs
    • Patient, Professionnel de santé et médico-social, Établissements de santé, Hébergeur, ASIP-santé, CNIL, etc.
Droits des patients et secret
  •  Droits des patients
    • Confidentialité de leurs données de santé, information et accès aux données, droit de rectification et d’opposition, etc.
  • Secret
    Secret professionnel, secret médical, secret partagé
 Gestion des données personnelles de santé
  • Licéité des traitements de données personnelles
  • Recueil des données de santé
  • Formalités préalables, PIA
  • Élaboration et tenue du registre des activités de traitement
  • Conservation, suppression, anonymisation et archivage des données
  • Transferts internationaux de données
  • Gestion des droits des personnes concernées
 Sécurité du système d’information de santé
  • Obligations légales de sécurité de données et systèmes d’information de santé
  • Enjeux de la sécurité du SI-S : Confidentialité, Intégrité, Disponibilité, Traçabilité et imputabilité
  • PGSSI-S
Interopérabilité du système d’information de santé
  • Obligation légale d’interopérabilité
  • Présentation du cadre d’interopérabilité des systèmes d’information de santé
Hébergement des données de santé
  • Exigences légales en matière d’hébergement
  • Certification HDS
  • Passage de l’agrément à la certification
  • Médecin de l’hébergeur de la procédure d’agrément à la certification
 SMSI
  • Présentation de la norme ISO 27001
  • Organisation de la sécurité
    • Rôles et responsabilités, Politique de sécurité, SMSI
    • Médecin hébergeur
    • Responsabilités vis-à-vis du CSP
    • Gestion des risques
      Appréciation des risques
      Plan de traitement des risques
      Déclaration d’applicabilité étendue
      ISO27018
      Exigences HDS
      – Processus de certification
      – Mesures de sécurité opérationnelles
      Gestion des accès, identification, authentification
      Classification et chiffrement
      Architecture réseau et applicative
      Sécurité des échanges
      Durcissement des systèmes
      Objets connectés et accès distants
      Cycle de vie et obsolescence des systèmes
      Sauvegarde et archivage
      Auditabilité (Traçabilité, Imputabilité)
      – Gestion des incidents dans les contextes des données de santé
      Notifications aux autorités
      – Gestion de la continuité d’activité
Bilan et évaluation
  •  Evaluation des connaissances via QCM.
  • Apport des correctifs si nécessaire .
Autres formations en conformité RGPD disponible :
  1. Les fondamentaux du RGPD
  2. Devenir DPO
  3. DPO Data protection Officer
  4. Hébergement des données de santé et vie privée

digital network defense agency

Réf. : DNDASECUSANTE
Durée : 3 Jours
Tarif : 2100,00 

Formation RGPD

Propos liminaires sur le Règlement européen (RGPD)

Exercice pratique : quiz de démarrage

  1. Le contexte du droit français et du droit européen des données à caractère personnel : les principaux textes applicables
  2. Quel bilan de la Directive de 1995 ? Pourquoi avoir fait le choix d’un texte plus contraignant et d’application directe ?
  3. Les différentes étapes de l’élaboration du Règlement européen
  4. Le processus d’incorporation en droit interne et l’articulation avec les textes préexistants (Loi Informatique et Libertés, Loi pour une République numérique)
Les apports majeurs du Règlement Européen (RGPD)
  1. Les nouvelles définitions et leurs conséquences
  2. Les nouveaux principes consacrés : accountability, transparence, minimisation, etc.
  3. Les apports en termes de condition de fond et de droits des personnes
Exercice pratique :
  1. rédaction d’une mention d’information version Règlement selon un cas donné de nouvelles obligations et responsabilités pour les entreprises françaises
  2. Apport des correctifs
Les impacts sur les responsables de traitement
  1. Les incidences du principe de transparence
  2. L’analyse d’impact ou PIA et consultation des autorités
  3. La notification de faille de sécurité
Les impacts sur les sous-traitants
  1. La relation avec les responsables de traitement
  2. La tenue du registre d’activité
  3. L’intérêt des certifications et code de conduite
Du CIL au DPO
  1. Comment désigner le DPO ?
  2.  Les rôles et missions du DPO
  3. La responsabilité du DPO
  4. Quel avenir pour le CIL ?
 Exercices pratiques :
  • Rédaction d’une clause « Données personnelles » entre un responsable et un sous-traitant, en application du Règlement et identification des dispositions contractuelles à anticiper côté client et côté prestataire (sous-traitant)
  • Apport des correctifs
Le rôle et les pouvoirs des autorités compétentes
  1. Le rôle et la nouvelle coopération entre les autorités
  2. Les conséquences du remplacement du G29 par le Comité européen de la protection des données (CEPD)
  3. Les apports du guichet unique pour les entreprises
  4. Les sanctions prévues au Règlement
Fin de session 
  • Evaluation des connaissances via QCM

Nota :

  • Un support de cour format dématérialisé est remis au stagiaire en début de session ainsi qu’un cahier d’exercices.
Autres formations en conformité RGPD disponible :
  1. Les fondamentaux du RGPD
  2. Devenir DPO
  3. DPO Data protection Officer
  4. Hébergement des données de santé et vie privée

Réf. : DNDA 210
Durée : 1 jour
Tarif : 890,00 

Nouvelles règles relatives à la protection des données- RGPD

Cette formation vous permettra d’être en conformité avec les nouvelles règles relatives à la protection des données RGPD réf  nᵒ 2016/679en vous permettant d’identifier les écarts sur les procédures en place au sein des structures pour lesquelles vous intervenez.

en vous proposant un plan d’action pour la  mise en conformité de vos processus interne .

1 Quizz de connaissance RGPD (A)
  • Le contexte du droit français et du droit européen des données à caractère personnel applicable
2 Les nouveautés réglementaires (T)
  • Les données liées aux fichiers et aux traitements
  • Les acteurs impliqués dans les traitements
    • Responsable de traitement, tiers, sous-traitant, destinataire, personne concernée,
3 La Conformité structurelle et opérationnelle (A+T)
  • Les obligations du responsable de traitement et du sous-traitant (A+T)
    • Preuve du respect du règlement, (T)
    • Sécurité des données, (T)
    • PIA, Privacy by Design, (A)
    • Notification de violation de données, (A)
    • Les clauses contractuelles à intégrer dans les contrats (A)
  • Le droit des personnes concernées (T)
    • Evolutions des droits existants concernant le traitement de leurs données
    • Recours des personnes concernées
  • Le transfert de données personnel en dehors de UE (T)
4 Le DPO (T)
  • Son rôle, ses responsabilités et ses missions
  • Sa désignation et son positionnement
  • Les contrôles de conformité au règlement
5 Atelier WorkShop (A)
  • Animation du Plan d’action conformité
  • Cartographie
  • Révision des documents éventuellement déjà existant

6 Bilan & Evaluation des acquis

  •  Evaluation des connaissances via QCM.
  • Un support de cour format dématérialisé est remis au stagiaire en début de session .
Autres formations en conformité RGPD disponible :
  1. Les fondamentaux du RGPD
  2. Devenir DPO
  3. DPO Data protection Officer
  4. Hébergement des données de santé et vie privée

Réf. : DNDA 210
Durée : 1 jour
Tarif : 890,00 

Nous contacter

Nouvelles formations

Dernières actualités

Services de cybersécurité

Nous suivre