Cycle certifiant - Passeport Data Protection Officer (DPO)

Objectifs du module

• Le DPO selon le GDPR
• Quelles sont les missions du DPO en pratique

Dans quels cas doit-on nommer un DPO ? Quelles sont les questions à se poser ?

• Etude des cas de désignation obligatoire prévus dans le GDPR
• Appréhender ces cas à la lumière des critères précisés par le G29 (groupe des « CNIL » européennes) : « activité de base », « grande échelle », « suivi régulier et suivi systématique »
• Faut-il nommer un DPO même en l’absence d’obligation ?
• Où le DPO doit-il être désigné dans le cas de groupe ou de multinationale ?
• Faut-il un ou plusieurs DPO ?

Quelles sont les missions du DPO ? Intégrer les enjeux de la fonction

• Informer, conseiller, contrôler, coopérer : étude des missions obligatoires du DPO fixées par le GDPR
• Le cas particulier des registres de traitement
• Quelles sont les conditions prévues par le GDPR en termes de : ressources, compétences et positionnement ?
• Obligation d’assurer la confidentialité des communications entre DPO et salariés
• La construction de relations durables, le réseau du DPO, la sensibilisation des équipes
• Que se passe-t-il en cas de désaccord ?
• Quelle responsabilité ?

Les actions prioritaires à mettre en œuvre

• Se faire connaître, être le point de contact
• Audit/Recensement des traitements
• La création et l’actualisation des procédures opérationnelles au sein de l’organisation
• La gestion des plaintes et demandes de droits : comment répondre aux demandes d’exercice des droits des personnes ? quel dispositif mettre en place ? quels contrôles ?

Objectifs du module

• Prospection, e-marchandising, profilage... : sécuriser vos pratiques
• Données bancaires : quelles règles spécifiques ?

Comment gérer la GRC dans le respect du GDPR ?

• Les échanges de données personnelles au sein d’un groupe et les partenariats
• Gestion des prospects, acquisition/location de fichiers de prospects
• Le cas spécifique et à risques des zones de bloc-notes et de commentaires libres : comment les contrôler ?

Les communications électroniques

• Maîtriser les règles en matière de prospection électronique : spams, les emails, SMS, dans un contexte BtoB et BtoC

Dans quels cas faut-il un consentement / Dans quels cas une information est-elle suffisante : savoir distinguer entre l'opt-in et l'opt-out

Marketing et Internet

• Droits des internautes et obligations des emarchands
• Collecte de données personnelles via un site web, parrainages,
• Utilisation des données des réseaux sociaux
• Obligations des éditeurs d’applications mobiles
• Webcrawling, aspirateurs
• Prospection commerciale de mineurs

Ciblage publicitaire et profilage : sous quelles conditions ?

• Maîtriser les nouvelles règles sur le profilage dans le GDPR
• Segmentation des clients/prospects
• Data mining, scoring, mégabase de données clients/prospects
• Les cookies, mesure d’audience et marketing comportemental : quelle démarche de conformité ?
• La géolocalisation appliquée au marketing relationnel

Savoir gérer le droit d’opposition

La prise en compte des listes d’opposition – les obligations liées à la mise en place de Bloctel
Identifier les cas dans lesquels le droit d’opposition requiert ou non un motif légitime
Les outils à mettre en place

Conservation des données bancaires dans le cadre de la vente à distance par internet

• Ce qu’il est possible de faire
• Les recommandations de la CNIL
• Le standard PCI DSS

CAS PRATIQUE

Rédaction de mentions d’information/clauses de recueil du consentement
Etude d’une politique de protection de la vie privée d’un site marchand à partir d’un exemple anonymis

Objectifs du module

• Comprendre les enjeux de la sécurité des traitements de données personnelles
• Disposer des connaissances de base pour évaluer les risques d’un traitement de données personnelles
• Identifier le rôle du DPO dans le cadre de la conduite d’un projet informatique
• Appréhender les nouvelles responsabilités/obligations pour le responsable de traitement et le sous-traitant

La portée de l’obligation de sécurité

• Evolution des définitions légales en matière de sécurité et intégration des apports du GDPR en matière de sécurité
• Les nouvelles recommandations de la CNIL sur la gestion des mots de passe
• Les incidences en termes de responsabilité / d’obligations pour les acteurs
• Les technologies soumises à autorisation ou à un PIA

La politique de sécurité informatique

• Les acteurs de la sécurité au sein de l’organisme
• Notions de base en matière de sécurité des systèmes d’information
• L’analyse des risques, la classification de la sensibilité de l’information
• L’anonymisation et le chiffrement
• Les questions liées à l’intelligence économique
• Comment documenter les obligations de sécurité, les apports des travaux de normalisation

Les exigences particulières et sectorielles

• Traitement et l’hébergement des données de santé
• PCI DSS
• Externalisation/Cloud computing
• Données sensibles, données protégées par le secret professionnel

L’obligation de notifier les violations de données personnelles : comment se préparer ?

• Violation de données personnelles : responsabilité, délais pour alerter
• Gérer les cas dans lesquels la violation de données personnelles doit être notifiée aux personnes concernées

CAS PRATIQUE

SAVOIR LIRE UN SCHÉMA DU SI

Objectifs du module

• Comment gérer les transferts internationaux : les contraintes et les exigences
• Les nouvelles obligations des sous-traitants

Contrats de sous-traitance de données personnelles : confrontation entre droit général et droit des données personnelles

• Qualification des parties : notion de responsable de traitement et de sous-traitant
• Répartition des responsabilités entre responsable de traitement et sous-traitant
• Prise en compte des nouvelles obligations du sous-traitant - ce qui change avec le GDPR – vers une bilatéralisation des obligations

Les principales obligations de protection des données personnelles devant figurer dans un contrat de sous-traitance

• Comparaison entre les obligations à prévoir avant et après l’entrée en application du GDPR
• Obligation de mise à jour de l’ensemble des contrats de sous-traitance d’ici le 25 mai 2018

Les transferts internationaux

• Qu’est-ce qu’un transfert de données personnelles
• La notion de protection adéquate
• Du Safe Harbor au Privacy Shield : portée et limites
• Dans quels cas peut-on transférer les données hors de l’UE et quelles sont les précautions à prendre
• Etude de différents cas prévus par le GDPR : clauses types, contrats de transferts, BCR, codes de conduite, mécanismes de certification …
• Dans quels cas faudra-t-il toujours obtenir une autorisation de la CNIL ?
• Que deviennent les autorisations de transfert déjà obtenues auprès de la CNIL ?
• Les autres dérogations spécifiques prévues par le GDPR dans les cas particuliers : faudra-t-il prévoir un consentement ?
• Rappel des sanctions en matière de transfert : rôle et pouvoir de l’autorité de contrôle

Objectifs du module

• Connaître l'étendue des nouveaux pouvoirs de la CNIL et ses moyens de contrôle
• Maîtriser vos droits et les différentes étapes de la procédure
• Anticiper les risques encourus et savoir se préparer à un contrôle

Les enjeux : l’augmentation du risque de sanction

• Qu’est-ce qui déclenche un contrôle de la CNIL ?
• Les principaux motifs de plaintes
• Le programme de contrôle de la CNIL
• Les différentes formes de contrôles : contrôle sur place, contrôle en ligne, instruction des plaintes… et leurs conséquences
• Panorama des sanctions les plus fréquentes et les secteurs les plus contrôlés

Quels nouveaux pouvoirs pour la CNIL avec le GDPR ?

• Comparaison entre les pouvoirs de la CNIL avant et après le GDPR
• Jusqu’où la CNIL peut-elle aller ? Quelles sont les limites
• Les cas de coopération internationale entre les autorités de contrôle de l’UE

Délai, forme, contenu : comment répondre aux contrôles sur pièces suite à une plainte ou à un contrôle en ligne ?

• Quels documents et procédures sont vérifiés
• A qui confier la réponse à la constitution du dossier
• Comment sécuriser les délais de réponse pour éviter les sanctions

Les contrôles sur place : quel comportement adopter face aux contrôleurs le jour J

• Quels sont les droits des personnes contrôlées selon la loi et les décisions du Conseil d’Etat ?
• Quels documents et informations la CNIL est-elle en droit d'obtenir
• Comment préparer les opérationnels à un contrôle de la CNIL

Anticiper et prévenir les contrôles de la CNIL : comment organiser la cellule de crise

Zoom : comment éviter le délit d'entrave à tous les stades du contrôle

• Quels sont les éléments constitutifs du délit d'entrave
• Que dire, comment le dire : comment trouver le juste niveau d'information
• Risques et sanctions liés au délit d'entrave
• Dans quels cas pouvez-vous opposer le secret professionnel à la CNIL

Comment gérer les suites du contrôle de la CNIL : les points de vigilance pour éviter une sanction

• Quelles sont les suites d’un contrôle : connaître les différentes étapes de la procédure
• PV de contrôle : comment réagir ?
• Que faire en cas d'erreur sur le PV de la CNIL
• Organiser les actions à mettre en œuvre suite au contrôle
• Comment répondre à la lettre de mise en demeure de la CNIL
• Les sanctions prononcées par la CNIL en formation restreinte
• Quels sont les recours possibles