Cycle certifiant - Passeport Data Protection Officer (DPO)

Méthodologies, outils juridiques : les clefs pour réussir votre mission de DPO

  • 8 Jours - 56 Heures
  • Formation
  • à distance
  • Réf GO70
  • Best
  • Éligible CPF

Le parcours en un clin d'oeil

Module 1 : Protection des données PERSONNELLES : objectif conformité3 Jours

Module 2 : LE DPO ACTEUR CLÉ DE LA PROTECTION DES DONNEES PERSONNELLES1 Jour

Module 3 : MARKETING, INTERNET ET PROTECTION DES DONNEES PERSONNELLES1 Jour

Module 4 : OBLIGATIONS DE SECURITÉ, NOUVELLE OBLIGATION DE NOTIFICATION DES VIOLATIONS DE DONNÉES PERSONNELLES1 Jour

Module 5 : SOUS TRAITRANCE, TRANSFERTS INTERNATIONAUX DE DONNÉES ET CLOUD COMPUTING1 Jour

Module 6 : Les contrôles et sanctions de la CNIL1 Jour

Le nouveau Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018.

Il révolutionne la protection des données personnelles et créé notamment la fonction de Data Protection Officer (DPO ou Délégué à la Protection des Données) comme clef de voûte de la protection des données. Depuis son entrée en vigueur, environ 13 000 DPO sont entrés en fonction. Ce chiffre est voué à évoluer dans les prochains mois.

Assurez votre prise de fonction de DPO en toute confiance. Profitez d'un passeport complet pour relever tous vos nouveaux défis !

Objectifs

  • Acquérir des connaissances indispensables à l’exercice de la mission du DPO
  • Bénéficier d'un accompagnement complet pour mettre en pratique les nouvelles obligations liées au RGPD
  • Apprendre à gérer les relations avec la CNIL

Certification

Le Certificat de formation DPO

Les participants devront réaliser un mémoire pratique à l'issue du cycle.

Ce mémoire synthétique permet l'utilisation des éléments étudiés pendant les 8 jours. Les participants devront mettre en place une démarche de DPO en justifiant leurs choix.

Les mémoires sont ensuite relus par les intervenants. Ils permettent la délivrance d'un Certificat DPO qui atteste l'acquisition de vos compétences de DPO.

Code CPF = 284032

Pré-requis

  • Notions juridiques

Cibles

  • Ce cycle certifiant s’adresse à toute personne qui souhaite devenir DPO ou qui est déjà DPO en activité mais qui souhaite perfectionner ses connaissances afin de mener à bien ses missions
  • Data Protection Officer (DPO)
  • Data Privacy Officer
  • Avocat
  • Directeur juridique
  • Responsable juridique
  • Juriste
  • Directeur informatique
  • Directeur des Services Informatiques (DSI)
  • Informaticien
  • Chief Data Officer (CDO)

Les plus

  • Un cycle adapté aux DPO
  • Un certificat à la fin du cycle pour attester la compréhension et l'acquisition des compétences d'un DPO

Suivi et évaluation des acquis

  • E-quizz des compétences visées en amont et en aval de la formation
  • Evaluation de la formation par les participants
  • Remise d’une attestation en fin de formation

Module 1 : Protection des données PERSONNELLES : objectif conformité - 3 Jours

Objectifs du module

  • Règlement européen sur les données personnelles (GDPR/RGPD), Loi pour une République numérique : quels sont les changements au regard de la Loi Informatique et Libertés ?
  • Maîtriser les enjeux des dernières réformes
  • Intégrer les nouvelles obligations et prévenir les risques
  • Préparer au mieux un contrôle de la CNIL

Les principaux changements issus de la réforme

Maîtriser les impacts de la réforme : les fondamentaux

  • Traitement automatisé de données personnelles : champ d’application
  • Nouvelles définitions et nouveaux rôles des acteurs : responsables de traitement, sous-traitants
  • Mesurer les risques : anticiper les conséquences directes de la réforme afin de sécuriser votre activité
  • Nouveaux principes, nouveaux concepts : Accountability, Privacy by design, Notification des failles de sécurité, Minimisation des données... : les nouveaux outils de la conformité
  • Etudes d’impact sur la vie privée : dans quels cas sont-elles obligatoires ?
  • Anticiper une nouvelle Loi Informatique & Libertés en plus du GDPR
  • L'évolution du rôle de la CNIL et ses nouveaux pouvoirs : l’étendue des sanctions encourues

Registre des traitements, déclarations et demandes d’autorisation : savoir les gérer dans le cadre de la réforme

  • Quels sont les changements?
  • Distinguer les traitements soumis à inscription au Registre de ceux qui restent
  • soumis à autorisation de la CNIL
  • Savoir éviter les pièges de la déclaration simplifiée
  • Comment gérer la période transitoire

Les enjeux de la nomination d'un Data Protection Officer (DPO)

  • Dans quels cas faut-il nommer un DPO ?
  • Statut, missions et désignation
  • Quelle gouvernance mettre en place

CAS PRATIQUE : SAVOIR ÉTABLIR LE REGISTRE DES TRAITEMENTS

Savoir éviter le délit de détournement de finalité
Comment remplir le Registre
Tenir compte de la jurisprudence

Comment collecter et utiliser les données personnelles

Nouveaux droits, nouvelles obligations

  • Définir la base légale du traitement et en informer les personnes
  • Information ou consentement ? Comment modifier les clauses et mentions existantes ?
  • Les cas d'utilisation des données dites « sensibles »
  • Le cas particulier des données biométriques
  • Les nouveaux droits des personnes : droit à la portabilité, à la limitation du traitement, droit à l’oubli, droit d’opposition au marketing, au profilage, droit d’accès, à la rectification et à l’effacement, directives sur le sort des données après la mort… Comment les mettre en œuvre ?
  • Confidentialité et sécurité, notification des failles de sécurité : en tenir compte dans les nouveaux contrats avec les prestataires
  • En fonction de quels critères déterminer une durée de conservation des données et comment en informer les personnes?
  • Connaître vos obligations en cas de modification et/ou d'enrichissement des données et traitements / de mise à disposition des données personnelles
  • Les conditions de mise en oeuvre d'une exploitation conforme

Prospection, recouvrement, information du client / prospect : les obligations à respecter

  • Cookies, tracking, marketing, CRM, scoring, Big Data... : quelles sont les règles ?
  • Phoning, enregistrements téléphoniques avec la clientèle, fichier Bloctel
  • E-mail, SMS… Maîtriser les règles de prospection électronique
  • Dans quels cas faut-il un consentement / Dans quels cas un droit d’opposition est-il suffisant : savoir distinguer l'opt-in de l'opt-out
  • Quels changements attendre du nouveau règlement européen e-privacy ?

Impacts sur les traitements de recrutement et de gestion du personnel

Recrutement, évaluation du personnel : quel cadre juridique mettre en place

  • Recrutement et évaluation du personnel : quels objectifs ?
  • Information du salarié et du candidat au recrutement

Comment concilier protection des données personnelles et gestion des RH

  • Emails des salariés dans l'entreprise : correspondance professionnelle ou correspondance privée
  • Maîtriser les cas de consultation du CE
  • Charte Intranet/Internet, règlement intérieur : quelle valeur juridique

Tout savoir sur le fonctionnement de la CNIL

Missions, pouvoirs et contrôle de la CNIL

  • Les nouvelles règles, les nouvelles sanctions
  • Comment se passe un contrôle de la CNIL ?
  • Quels sont les pouvoirs d'investigation de ses agents ?
  • Quels sont les recours ?

Comment répondre aux plaintes des personnes

Eviter l’escalade de sanctions, répondre aux courriers
Mettre en place une politique de prévention

Les enjeux des transferts internationaux de données personnelles

  • Qu’est-ce qu’un transfert international de données personnelles ?
  • Quelles limites, interdictions, garanties obligatoires à mettre en œuvre ?
  • Safe Harbor, Privacy shield : où en est-on ?
  • Les principaux outils : BCR, contrats internationaux de transferts, clauses-types européennes
  • Les nouvelles certifications prévues par le GDPR

Objectifs du module

  • Le DPO selon le GDPR
  • Quelles sont les missions du DPO en pratique

Dans quels cas doit-on nommer un DPO ? Quelles sont les questions à se poser ?

  • Etude des cas de désignation obligatoire prévus dans le GDPR
  • Appréhender ces cas à la lumière des critères précisés par le G29 (groupe des « CNIL » européennes) : « activité de base », « grande échelle », « suivi régulier et suivi systématique »
  • Faut-il nommer un DPO même en l’absence d’obligation ?
  • Où le DPO doit-il être désigné dans le cas de groupe ou de multinationale ?
  • Faut-il un ou plusieurs DPO ?

Quelles sont les missions du DPO ? Intégrer les enjeux de la fonction

  • Informer, conseiller, contrôler, coopérer : étude des missions obligatoires du DPO fixées par le GDPR
  • Le cas particulier des registres de traitement
  • Quelles sont les conditions prévues par le GDPR en termes de : ressources, compétences et positionnement ?
  • Obligation d’assurer la confidentialité des communications entre DPO et salariés
  • La construction de relations durables, le réseau du DPO, la sensibilisation des équipes
  • Que se passe-t-il en cas de désaccord ?
  • Quelle responsabilité ?

Les actions prioritaires à mettre en œuvre

  • Se faire connaître, être le point de contact
  • Audit/Recensement des traitements
  • La création et l’actualisation des procédures opérationnelles au sein de l’organisation
  • La gestion des plaintes et demandes de droits : comment répondre aux demandes d’exercice des droits des personnes ? quel dispositif mettre en place ? quels contrôles ?

Objectifs du module

  • Prospection, e-marchandising, profilage... : sécuriser vos pratiques
  • Données bancaires : quelles règles spécifiques ?

Comment gérer la GRC dans le respect du GDPR ?

  • Les échanges de données personnelles au sein d’un groupe et les partenariats
  • Gestion des prospects, acquisition/location de fichiers de prospects
  • Le cas spécifique et à risques des zones de bloc-notes et de commentaires libres : comment les contrôler ?

Les communications électroniques

  • Maîtriser les règles en matière de prospection électronique : spams, les emails, SMS, dans un contexte BtoB et BtoC

Dans quels cas faut-il un consentement / Dans quels cas une information est-elle suffisante : savoir distinguer entre l'opt-in et l'opt-out

Marketing et Internet

  • Droits des internautes et obligations des emarchands
  • Collecte de données personnelles via un site web, parrainages,
  • Utilisation des données des réseaux sociaux
  • Obligations des éditeurs d’applications mobiles
  • Webcrawling, aspirateurs
  • Prospection commerciale de mineurs

Ciblage publicitaire et profilage : sous quelles conditions ?

  • Maîtriser les nouvelles règles sur le profilage dans le GDPR
  • Segmentation des clients/prospects
  • Data mining, scoring, mégabase de données clients/prospects
  • Les cookies, mesure d’audience et marketing comportemental : quelle démarche de conformité ?
  • La géolocalisation appliquée au marketing relationnel

Savoir gérer le droit d’opposition

La prise en compte des listes d’opposition – les obligations liées à la mise en place de Bloctel
Identifier les cas dans lesquels le droit d’opposition requiert ou non un motif légitime
Les outils à mettre en place

Conservation des données bancaires dans le cadre de la vente à distance par internet

  • Ce qu’il est possible de faire
  • Les recommandations de la CNIL
  • Le standard PCI DSS

CAS PRATIQUE

Rédaction de mentions d’information/clauses de recueil du consentement
Etude d’une politique de protection de la vie privée d’un site marchand à partir d’un exemple anonymis

Objectifs du module

  • Comprendre les enjeux de la sécurité des traitements de données personnelles
  • Disposer des connaissances de base pour évaluer les risques d’un traitement de données personnelles
  • Identifier le rôle du DPO dans le cadre de la conduite d’un projet informatique
  • Appréhender les nouvelles responsabilités/obligations pour le responsable de traitement et le sous-traitant

La portée de l’obligation de sécurité

  • Evolution des définitions légales en matière de sécurité et intégration des apports du GDPR en matière de sécurité
  • Les nouvelles recommandations de la CNIL sur la gestion des mots de passe
  • Les incidences en termes de responsabilité / d’obligations pour les acteurs
  • Les technologies soumises à autorisation ou à un PIA

La politique de sécurité informatique

  • Les acteurs de la sécurité au sein de l’organisme
  • Notions de base en matière de sécurité des systèmes d’information
  • L’analyse des risques, la classification de la sensibilité de l’information
  • L’anonymisation et le chiffrement
  • Les questions liées à l’intelligence économique
  • Comment documenter les obligations de sécurité, les apports des travaux de normalisation

Les exigences particulières et sectorielles

  • Traitement et l’hébergement des données de santé
  • PCI DSS
  • Externalisation/Cloud computing
  • Données sensibles, données protégées par le secret professionnel

L’obligation de notifier les violations de données personnelles : comment se préparer ?

  • Violation de données personnelles : responsabilité, délais pour alerter
  • Gérer les cas dans lesquels la violation de données personnelles doit être notifiée aux personnes concernées

CAS PRATIQUE

SAVOIR LIRE UN SCHÉMA DU SI

Objectifs du module

  • Comment gérer les transferts internationaux : les contraintes et les exigences
  • Les nouvelles obligations des sous-traitants

Contrats de sous-traitance de données personnelles : confrontation entre droit général et droit des données personnelles

  • Qualification des parties : notion de responsable de traitement et de sous-traitant
  • Répartition des responsabilités entre responsable de traitement et sous-traitant
  • Prise en compte des nouvelles obligations du sous-traitant - ce qui change avec le GDPR – vers une bilatéralisation des obligations

Les principales obligations de protection des données personnelles devant figurer dans un contrat de sous-traitance

  • Comparaison entre les obligations à prévoir avant et après l’entrée en application du GDPR
  • Obligation de mise à jour de l’ensemble des contrats de sous-traitance d’ici le 25 mai 2018

Les transferts internationaux

  • Qu’est-ce qu’un transfert de données personnelles
  • La notion de protection adéquate
  • Du Safe Harbor au Privacy Shield : portée et limites
  • Dans quels cas peut-on transférer les données hors de l’UE et quelles sont les précautions à prendre
  • Etude de différents cas prévus par le GDPR : clauses types, contrats de transferts, BCR, codes de conduite, mécanismes de certification …
  • Dans quels cas faudra-t-il toujours obtenir une autorisation de la CNIL ?
  • Que deviennent les autorisations de transfert déjà obtenues auprès de la CNIL ?
  • Les autres dérogations spécifiques prévues par le GDPR dans les cas particuliers : faudra-t-il prévoir un consentement ?
  • Rappel des sanctions en matière de transfert : rôle et pouvoir de l’autorité de contrôle

Objectifs du module

  • Connaître l'étendue des nouveaux pouvoirs de la CNIL et ses moyens de contrôle
  • Maîtriser vos droits et les différentes étapes de la procédure
  • Anticiper les risques encourus et savoir se préparer à un contrôle

Les enjeux : l’augmentation du risque de sanction

  • Qu’est-ce qui déclenche un contrôle de la CNIL ?
  • Les principaux motifs de plaintes
  • Le programme de contrôle de la CNIL
  • Les différentes formes de contrôles : contrôle sur place, contrôle en ligne, instruction des plaintes… et leurs conséquences
  • Panorama des sanctions les plus fréquentes et les secteurs les plus contrôlés

Quels nouveaux pouvoirs pour la CNIL avec le GDPR ?

  • Comparaison entre les pouvoirs de la CNIL avant et après le GDPR
  • Jusqu’où la CNIL peut-elle aller ? Quelles sont les limites
  • Les cas de coopération internationale entre les autorités de contrôle de l’UE

Délai, forme, contenu : comment répondre aux contrôles sur pièces suite à une plainte ou à un contrôle en ligne ?

  • Quels documents et procédures sont vérifiés
  • A qui confier la réponse à la constitution du dossier
  • Comment sécuriser les délais de réponse pour éviter les sanctions

Les contrôles sur place : quel comportement adopter face aux contrôleurs le jour J

  • Quels sont les droits des personnes contrôlées selon la loi et les décisions du Conseil d’Etat ?
  • Quels documents et informations la CNIL est-elle en droit d'obtenir
  • Comment préparer les opérationnels à un contrôle de la CNIL

Anticiper et prévenir les contrôles de la CNIL : comment organiser la cellule de crise

Zoom : comment éviter le délit d'entrave à tous les stades du contrôle

  • Quels sont les éléments constitutifs du délit d'entrave
  • Que dire, comment le dire : comment trouver le juste niveau d'information
  • Risques et sanctions liés au délit d'entrave
  • Dans quels cas pouvez-vous opposer le secret professionnel à la CNIL

Comment gérer les suites du contrôle de la CNIL : les points de vigilance pour éviter une sanction

  • Quelles sont les suites d’un contrôle : connaître les différentes étapes de la procédure
  • PV de contrôle : comment réagir ?
  • Que faire en cas d'erreur sur le PV de la CNIL
  • Organiser les actions à mettre en œuvre suite au contrôle
  • Comment répondre à la lettre de mise en demeure de la CNIL
  • Les sanctions prononcées par la CNIL en formation restreinte
  • Quels sont les recours possibles

Promo de mars 2022 à novembre 2022

A distance

  • Module 1 : Du 14 au 16 mars 2022
  • Module 2 : Le 14 juin 2022
  • Module 3 : Le 05 juillet 2022
  • Module 4 : Le 15 septembre 2022
  • Module 5 : Le 18 octobre 2022
  • Module 6 : Le 22 novembre 2022
Ariane MOLE

Ariane M. - Avocate associée et Co-head de la pratique internationale de protection des données au sein du cabinet Bird&Bird

Ariane Mole est spécialiste reconnue de la protection des données personnelles auprès d’une clientèle française et internationale. Avocate au Barreau de Paris depuis 1995, Ariane Mole a tout d’abord été Chargée de Mission à la Direction...

En savoir plus

Ces formations peuvent aussi vous intéresser :

5 495 € HT

Affinez pour voir les tarifs

Modalité

Sélectionner une modalité

S'inscrire Demander un devis S'inscrire en utilisant son CPF

Inscription possible 48h avant la formation. En deçà, vous pouvez contacter notre Service Clients pour vous assurer de la disponibilité.

Télécharger le programme

Demander un devis ou déposer mon projet

Envoyer votre demande Télécharger le programme
  • Partager via facebook
  • Partager via Twitter
  • Partager via LinkedIn
    • Chargement

      Merci de patienter ...

Les avis