Data Protection Officer : préparation à la certification DPO de VERITAS

En avril 2016, le règlement général sur la protection des données (RGPD), est venu renforcer la réglementation en vigueur en matière de données à caractère personnel : obligation de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer la conformité au RGPD, privacy by design ou by default, analyse d’impacts, droit à l’oubli, … avec au cœur du nouveau règlement européen : le DPO (Data Protection Officer.
La création d’un poste de DPO est obligatoire au sein des organismes publics et des entreprises qui traitent des données sensibles à grande échelle telles que les données de santé, ou celles qui exigent un suivi régulier et systématique de personnes. Les enseignes de la grande distribution ayant des cartes de fidélité, les banques, les assurances, les entreprises de transport, les opérateurs de télécoms ou encore les entreprises utilisant le marketing comportemental grâce à l’analyse de la navigation sur le web sont notamment concernées.
Véritable « chef d’orchestre », sa mission principale est de démontrer votre conformité au RGPD. Concrètement, il lui appartient de s’informer sur vos nouvelles obligations, d’assister les décideurs sur les conséquences des traitements, d’en réaliser l’inventaire, de concevoir des actions de sensibilisation et de piloter en continu la conformité. Il doit être impliqué correctement et en temps utile dans toutes les problématiques liées à la protection des données à caractère personnel.
Le DPO est également un élément clé de la construction d’une relation de confiance avec vos fournisseurs, clients ou usagers.
Comprendre vos nouvelles obligations, définir des actions adaptées à vos process métier, acquérir les compétences nécessaires à la mise en conformité de votre organisme, … Cette formation répond aux besoins des décideurs et est liée à l’affirmation du rôle du futur DPO en tant que métier à part entière.
Notre partenaire My Data Solution est qualifié par le Bureau Véritas pour dispenser la formation DPO sur la base du référentiel CNIL, préparant à la certification des compétences.

Objectifs de la formation

A l’issue de cette formation, vous aurez appris à :

• Analyser les principes fondamentaux du RGPD afin d’en obtenir une vue d’ensemble claire.
• Maîtriser les éléments pratiques du RGPD, notamment :
  • Expliquer le statut et les missions du DPO.
  • Mettre en œuvre les pratiques de sécurisation des données à caractère personnel.
  • Réaliser des analyses de risques et d’impact sur la protection des données.
• Concevoir une méthodologie de pilotage de la conformité au RGPD.

Public

Cette formation Data Protection Officer : préparation à la certification DPO de VERITAS s’adresse aux CIL ou DPO désigné ou en cours de désignation, aux personnes souhaitant approfondir ses connaissances sur le RGPD : Data manager, Risk manager, responsable de service, responsable qualité, responsable juridique ou collaborateurs.

Prérequis

Bonne maitrise de la loi « Informatique et Libertés » (LIL modifiée Juin 2018) recommandée et expérience professionnelle de deux ans idéalement dans les démarches de mise en conformité

Programme de la formation

Jour 1 : comprendre le RGPD
Interpréter concrètement les textes :

• Analyse et explication des principales notions : données personnelles, les différentes catégories de données, les traitements de donnée, le responsable de traitement, le sous-traitant, les coresponsables de traitement, tiers autorisé…

Travaux collaboratifs : identifier vos données et vos traitements

• Atelier : identifier les données à caractère personnel
• Atelier : identifier les données d’infraction
• Atelier : identifier vos traitements

Jour 2 : les droits des personnes
Exercice de reformulation :

• Atelier : récapitulation des connaissances par un exercice ludique

Les droits des personnes :

• Ce qui change avec le RGPD
• Nouveaux droits prévus par le RGPD

Travaux collaboratifs : consentement préalable

• Atelier : cas pratique

Travaux collaboratifs : intérêt légitime

• Atelier : cas pratique

Travaux collaboratifs : information des personnes

• Atelier : réaliser un modèle de mentions d’information

Jour 3 : piloter la conformité (partie 1)
Exercice de reformulation :

• Atelier : appréciation des connaissances par un exercice ludique

Les obligations du responsable de traitement :

• Les principes relatifs à un traitement (licéité, minimisation des données, …)

Les transferts hors Union Européenne :

• Identifier l’existence de transferts de données hors UE
• Déterminer les instruments juridiques à utiliser pour sécuriser les transferts hors UE

Travaux collaboratifs : établir son registre de traitement

• Atelier : registre des activités de traitement
• Atelier : registre des catégories d’activités de traitement

Travaux collaboratifs : rédaction de livrables

• Atelier : la révision des contrats / convention avec les sous-traitants
• Atelier : méthodologie à la rédaction d’un accord entre coresponsables

Jour 4 : piloter la conformité (partie 2)
Exercice de reformulation :

• Mesure des connaissances par un exercice ludique

Travaux collaboratifs : créer sa politique « Informatique et Libertés »

• Les bonnes pratiques
• Rédaction d’un plan détaillé

Travaux collaboratifs : réaliser un audit RGPD

• Atelier : maîtriser la technique d’audit et rédiger un plan d’audit

Travaux collaboratifs : tracer ses activités

• Atelier : réaliser son outil de suivi
• Atelier : réaliser son bilan annuel

Travaux collaboratifs : Privacy By Design/By Default

• Atelier : réaliser un cahier des charges Privacy by Design/by Default

Travaux collaboratifs : procédures pour recevoir et gérer les demandes d’exercice des droits

• Les étapes à respecter
• Rédaction d’une procédure

Travaux collaboratifs : procédures pour recevoir et gérer les violations de données

• Les étapes à respecter
• Rédaction d’une procédure

Jour 5 : sécurité et coopération avec l’autorité de contrôle
Exercice de reformulation :

• Récapitulation des connaissances par un exercice ludique

RGPD, Sécurité des données et du SI :

• Base de connaissance : typologie des manquements les plus fréquents
• Base de connaissance : typologie des menaces

Travaux collaboratifs : La gestion des risques

• Atelier : Apprécier les risques et identifier les mesures de sécurité adaptées

Travaux collaboratifs : L’analyse d’impact

• Atelier : Comprendre l’analyse d’impact, conseiller et superviser

Travaux collaboratifs : Gérer les relations avec les autorités de contrôle

• Atelier : Gérer les sollicitations et faciliter leur action

Consolidation des acquis :

• Réponse aux questions sur les points abordés en formation
• Proposition de solutions aux difficultés rencontrées quant à l’application du RGPD
• Échanges de bonnes pratiques et retours d’expérience entre le formateur et les stagiaires

Certification préparée

Certification DPO de VERITAS. Un voucher vous est inclus et vous est remis pour la passage de la certification DPO de VERITAS.

Méthodes pédagogiques

• Hormis une introduction théorique, le transfert et l’appropriation des connaissances se feront en pédagogie active. La pédagogie active est une technique d’apprentissage par la mise en œuvre d’exercices ludiques et la mise en situation. L’objectif étant de faire du temps de formation un moment productif et efficace, facilitant la compréhension d’une matière complexe et l’acquisition d’une méthodologie de pilotage pouvant ensuite être adaptée à tout organisme.
• Le formateur tient compte de la situation de chaque apprenant et se base sur les expériences, les connaissances et les questions particulières des participants pour nourrir le groupe de cas concrets et de retours d’expériences ciblées

Les supports de formation seront les suivants :

• Présentation théorique au format PowerPoint
• Livrets de travaux pratiques au format PDF
• Autres documents aux formats Excel, PDF ou lien html (correction online de travaux pratiques, études de cas…)
• Ces supports seront fournis aux participants au cours de la formation au format PDF.

Méthodes d’évaluation des acquis

Avant la formation :

• Le questionnaire de positionnement et d’auto-évaluation des compétences adapté à la formation :
  • Complété individuellement par chaque stagiaire avant la formation
  • Permet de recueillir et de mettre à disposition du formateur avant la formation

En cours de formation :

• Points d’étapes réguliers par le formateur sur la compréhension des stagiaires, de la réponse de la formation à leurs attentes et à leurs besoins
• QCM en fin de chapitres permettant d’évaluer le niveau d’acquisition des concepts clés par chaque stagiaire et, si besoin, d’apporter des précisions.
• Vérification des résultats obtenus par les stagiaires lors des travaux pratiques.
• Retour d’expérience en fin de journée de formation pour ajustements éventuels de la suite de la formation.

Après la formation « à chaud » :

• Le questionnaire d’auto-évaluation des compétences complété individuellement par chaque stagiaire après la formation et ajusté (si besoin) puis validé par le formateur en fonction des évaluations réalisées en cours de formation.
• Le questionnaire de satisfaction « à chaud » complété individuellement par chaque stagiaire en fin de formation.
• Le compte rendu formateur complété par le formateur.

Après la formation « à froid » :

Le questionnaire de satisfaction « à froid » complété individuelle par chaque stagiaire 6 semaines après la session de formation.

Un certificat de réalisation de fin de formation est remis au stagiaire lui permettant de faire valoir le suivi de la formation.