Cycle certifiant - Passeport Data Protection Officer (DPO)

Module 1 : Protection des données PERSONNELLES : objectif conformité

Durée : 3 jours

Objectifs du module

• Règlement européen sur les données personnelles (GDPR/RGPD), Loi pour une République numérique : quels sont les changements au regard de la Loi Informatique et Libertés ?
• Maîtriser les enjeux des dernières réformes
• Intégrer les nouvelles obligations et prévenir les risques
• Préparer au mieux un contrôle de la CNIL

Les principaux changements issus de la réforme

Maîtriser les impacts de la réforme : les fondamentaux

• Traitement automatisé de données personnelles : champ d’application
• Nouvelles définitions et nouveaux rôles des acteurs : responsables de traitement, sous-traitants
• Mesurer les risques : anticiper les conséquences directes de la réforme afin de sécuriser votre activité
• Nouveaux principes, nouveaux concepts : Accountability, Privacy by design, Notification des failles de sécurité, Minimisation des données... : les nouveaux outils de la conformité
• Etudes d’impact sur la vie privée : dans quels cas sont-elles obligatoires ?
• Anticiper une nouvelle Loi Informatique & Libertés en plus du GDPR
• L'évolution du rôle de la CNIL et ses nouveaux pouvoirs : l’étendue des sanctions encourues

Registre des traitements, déclarations et demandes d’autorisation : savoir les gérer dans le cadre de la réforme

• Quels sont les changements?
• Distinguer les traitements soumis à inscription au Registre de ceux qui restent soumis à autorisation de la CNIL
• Savoir éviter les pièges de la déclaration simplifiée
• Comment gérer la période transitoire

Les enjeux de la nomination d'un Data Protection Officer (DPO)

• Dans quels cas faut-il nommer un DPO ?
• Statut, missions et désignation 
• Quelle gouvernance mettre en place

Cas Pratique : savoir établir le Registre des traitements

Savoir éviter le délit de détournement de finalité
Comment remplir le Registre
Tenir compte de la jurisprudence

Comment collecter et utiliser les données personnelles

Nouveaux droits, nouvelles obligations

• Définir la base légale du traitement et en informer les personnes
• Information ou consentement ? Comment modifier les clauses et mentions existantes ?
• Les cas d'utilisation des données dites « sensibles »
• Le cas particulier des données biométriques
• Les nouveaux droits des personnes : droit à la portabilité, à la limitation du traitement, droit à l’oubli, droit d’opposition au marketing, au profilage, droit d’accès, à la rectification et à l’effacement, directives sur le sort des données après la mort… Comment les mettre en œuvre ?
• Confidentialité et sécurité, notification des failles de sécurité : en tenir compte dans les nouveaux contrats avec les prestataires
• En fonction de quels critères déterminer une durée de conservation des données et comment en informer les personnes?
• Connaître vos obligations en cas de modification et/ou d'enrichissement des données et traitements / de mise à disposition des données personnelles
• Les conditions de mise en oeuvre d'une exploitation conforme

Prospection, recouvrement, information du client / prospect : les obligations à respecter

• Cookies, tracking, marketing, CRM, scoring, Big Data... : quelles sont les règles ?
• Phoning, enregistrements téléphoniques avec la clientèle, fichier Bloctel
• E-mail, SMS… Maîtriser les règles de prospection électronique
• Dans quels cas faut-il un consentement / Dans quels cas un droit d’opposition est-il suffisant : savoir distinguer l'opt-in de l'opt-out
• Quels changements attendre du nouveau règlement européen e-privacy ?

Impacts sur les traitements de recrutement et de gestion du personnel

Recrutement, évaluation du personnel : quel cadre juridique mettre en place

• Recrutement et évaluation du personnel : quels objectifs ?
• Information du salarié et du candidat au recrutement

Comment concilier protection des données personnelles et gestion des RH

• Emails des salariés dans l'entreprise : correspondance professionnelle ou correspondance privée
• Maîtriser les cas de consultation du CE
• Charte Intranet/Internet, règlement intérieur : quelle valeur juridique

Tout savoir sur le fonctionnement de la CNIL

Missions, pouvoirs et contrôle de la CNIL

• Les nouvelles règles, les nouvelles sanctions
• Comment se passe un contrôle de la CNIL ?
• Quels sont les pouvoirs d'investigation de ses agents?
• Quels sont les recours ?

Comment répondre aux plaintes des personnes

• Eviter l’escalade de sanctions, répondre aux courriers
• Mettre en place une politique de prévention

Les enjeux des transferts internationaux de données personnelles

• Qu’est-ce qu’un transfert international de données personnelles ?
• Quelles limites, interdictions, garanties obligatoires à mettre en œuvre ?
• Safe Harbor, Privacy shield : où en est-on ?
• Les principaux outils : BCR, contrats internationaux de transferts, clauses-types européennes
• Les nouvelles certifications prévues par le GDPR

Module 2 : LE DPO ACTEUR CLÉ DE LA PROTECTION DES DONNEES PERSONNELLES

Durée : 1 jour

Objectifs du module

• Le DPO selon le GDPR
• Quelles sont les missions du DPO en pratique

Dans quels cas doit-on nommer un DPO ? Quelles sont les questions à se poser ?

• Etude des cas de désignation obligatoire prévus dans le GDPR 
• Appréhender ces cas à la lumière des critères précisés par le G29 (groupe des « CNIL » européennes) : « activité de base », « grande échelle », « suivi régulier et suivi systématique » 
• Faut-il nommer un DPO même en l’absence d’obligation ?
• Où le DPO doit-il être désigné dans le cas de groupe ou de multinationale ? 
• Faut-il un ou plusieurs DPO ?

Quelles sont les missions du DPO ? Intégrer les enjeux de la fonction

• Informer, conseiller, contrôler, coopérer : étude des missions obligatoires du DPO fixées par le GDPR
• Le cas particulier des registres de traitement 
• Quelles sont les conditions prévues par le GDPR en termes de : ressources, compétences et positionnement ?
• Obligation d’assurer la confidentialité des communications entre DPO et salariés 
• La construction de relations durables, le réseau du DPO, la sensibilisation des équipes
• Que se passe-t-il en cas de désaccord ?
• Quelle responsabilité ?

Les actions prioritaires à mettre en œuvre

• Se faire connaître, être le point de contact
• Audit/Recensement des traitements
• La création et l’actualisation des procédures opérationnelles au sein de l’organisation
• La gestion des plaintes et demandes de droits : comment répondre aux demandes d’exercice des droits des personnes ? quel dispositif mettre en place ? quels contrôles ?

Module 3 : MARKETING, INTERNET ET PROTECTION DES DONNEES PERSONNELLES

Durée : 1 jour

Objectifs du module

• Prospection, e-marchandising, profilage... : sécuriser vos pratiques
• Données bancaires : quelles règles spécifiques?

Comment gérer la GRC dans le respect du GDPR?

• Les échanges de données personnelles au sein d’un groupe et les partenariats
• Gestion des prospects, acquisition/location de fichiers de prospects
• Le cas spécifique et à risques des zones de bloc-notes et de commentaires libres : comment les contrôler ?

Les communications électroniques

• Maîtriser les règles en matière de prospection électronique : spams, les emails, SMS, dans un contexte BtoB et BtoC

Dans quels cas faut-il un consentement / Dans quels cas une information est-elle suffisante : savoir distinguer entre l'opt-in et l'opt-out

Marketing et Internet

• Droits des internautes et obligations des emarchands
• Collecte de données personnelles via un site web, parrainages, 
• Utilisation des données des réseaux sociaux
• Obligations des éditeurs d’applications mobiles
• Webcrawling, aspirateurs 
• Prospection commerciale de mineurs

Ciblage publicitaire et profilage : sous quelles conditions ?

• Maîtriser les nouvelles règles sur le profilage dans le GDPR 
• Segmentation des clients/prospects
• Data mining, scoring, mégabase de données clients/prospects 
• Les cookies, mesure d’audience et marketing comportemental : quelle démarche de conformité ? 
• La géolocalisation appliquée au marketing relationnel

Savoir gérer le droit d’opposition

• La prise en compte des listes d’opposition – les obligations liées à la mise en place de Bloctel 
• Identifier les cas dans lesquels le droit d’opposition requiert ou non un motif légitime 
• Les outils à mettre en place

Conservation des données bancaires dans le cadre de la vente à distance par internet

• Ce qu’il est possible de faire 
• Les recommandations de la CNIL
• Le standard PCI DSS

Cas pratique

Rédaction de mentions d’information/clauses de recueil du consentement
Etude d’une politique de protection de la vie privée d’un site marchand à partir d’un exemple anonymis

Module 4 : OBLIGATIONS DE SECURITÉ, NOUVELLE OBLIGATION DE NOTIFICATION DES VIOLATIONS DE DONNÉES PERSONNELLES 

Durée : 1 jour

Objectifs du module

• Comprendre les enjeux de la sécurité des traitements de données personnelles
• Disposer des connaissances de base pour évaluer les risques d’un traitement de données personnelles
• Identifier le rôle du DPO dans le cadre de la conduite d’un projet informatique
• Appréhender les nouvelles responsabilités/obligations pour le responsable de traitement et le sous-traitant

La portée de l’obligation de sécurité

• Evolution des définitions légales en matière de sécurité et intégration des apports du GDPR en matière de sécurité
• Les nouvelles recommandations de la CNIL sur la gestion des mots de passe 
• Les incidences en termes de responsabilité / d’obligations pour les acteurs 
• Les technologies soumises à autorisation ou à un PIA

La politique de sécurité informatique

• Les acteurs de la sécurité au sein de l’organisme
• Notions de base en matière de sécurité des systèmes d’information
• L’analyse des risques, la classification de la sensibilité de l’information
• L’anonymisation et le chiffrement
• Les questions liées à l’intelligence économique
• Comment documenter les obligations de sécurité, les apports des travaux de normalisation

Les exigences particulières et sectorielles

• Traitement et l’hébergement des données de santé
• PCI DSS
• Externalisation/Cloud computing
• Données sensibles, données protégées par le secret professionnel

L’obligation de notifier les violations de données personnelles : comment se préparer ?

• Violation de données personnelles : responsabilité, délais pour alerter
• Gérer les cas dans lesquels la violation de données personnelles doit être notifiée aux personnes concernées

Cas pratique : Savoir lire un schéma du SI

Module 5 : SOUS TRAITRANCE, TRANSFERTS INTERNATIONAUX DE DONNÉES ET CLOUD COMPUTING

Durée : 1 jour

Objectifs du module

• Comment gérer les transferts internationaux : les contraintes et les exigences
• Les nouvelles obligations des sous-traitants

Contrats de sous-traitance de données personnelles : confrontation entre droit général et droit des données personnelles

• Qualification des parties : notion de responsable de traitement et de sous-traitant 
• Répartition des responsabilités entre responsable de traitement et sous-traitant 
• Prise en compte des nouvelles obligations du sous-traitant - ce qui change avec le GDPR – vers une bilatéralisation des obligations

Les principales obligations de protection des données personnelles devant figurer dans un contrat de sous-traitance

• Comparaison entre les obligations à prévoir avant et après l’entrée en application du GDPR 
• Obligation de mise à jour de l’ensemble des contrats de sous-traitance d’ici le 25 mai 2018

Les transferts internationaux

• Qu’est-ce qu’un transfert de données personnelles 
• La notion de protection adéquate 
• Du Safe Harbor au Privacy Shield : portée et limites 
• Dans quels cas peut-on transférer les données hors de l’UE et quelles sont les précautions à prendre 
• Etude de différents cas prévus par le GDPR : clauses types, contrats de transferts, BCR, codes de conduite, mécanismes de certification … 
• Dans quels cas faudra-t-il toujours obtenir une autorisation de la CNIL ? 
• Que deviennent les autorisations de transfert déjà obtenues auprès de la CNIL ? 
• Les autres dérogations spécifiques prévues par le GDPR dans les cas particuliers : faudra-t-il prévoir un consentement ? 
• Rappel des sanctions en matière de transfert : rôle et pouvoir de l’autorité de contrôle

Module 6 : Les contrôles et sanctions de la CNIL 

Durée: 1 jour

Objectifs du module

• Connaître l'étendue des nouveaux pouvoirs de la CNIL et ses moyens de contrôle
• Maîtriser vos droits et les différentes étapes de la procédure 
• Anticiper les risques encourus et savoir se préparer à un contrôle

Les enjeux : l’augmentation du risque de sanction

• Qu’est-ce qui déclenche un contrôle de la CNIL ?
• Les principaux motifs de plaintes
• Le programme de contrôle de la CNIL
• Les différentes formes de contrôles : contrôle sur place, contrôle en ligne, instruction des plaintes… et leurs conséquences
• Panorama des sanctions les plus fréquentes et les secteurs les plus contrôlés

Quels nouveaux pouvoirs pour la CNIL avec le GDPR ?

• Comparaison entre les pouvoirs de la CNIL avant et après le GDPR
• Jusqu’où la CNIL peut-elle aller ? Quelles sont les limites 
• Les cas de coopération internationale entre les autorités de contrôle de l’UE

Délai, forme, contenu : comment répondre aux contrôles sur pièces suite à une plainte ou à un contrôle en ligne ?

• Quels documents et procédures sont vérifiés
• A qui confier la réponse à la constitution du dossier
• Comment sécuriser les délais de réponse pour éviter les sanctions

Les contrôles sur place : quel comportement adopter face aux contrôleurs le jour J

• Quels sont les droits des personnes contrôlées selon la loi et les décisions du Conseil d’Etat ? 
• Quels documents et informations la CNIL est-elle en droit d'obtenir
• Comment préparer les opérationnels à un contrôle de la CNIL

Anticiper et prévenir les contrôles de la CNIL : comment organiser la cellule de crise

Zoom : comment éviter le délit d'entrave à tous les stades du contrôle

• Quels sont les éléments constitutifs du délit d'entrave 
• Que dire, comment le dire : comment trouver le juste niveau d'information 
• Risques et sanctions liés au délit d'entrave 
• Dans quels cas pouvez-vous opposer le secret professionnel à la CNIL

Comment gérer les suites du contrôle de la CNIL : les points de vigilance pour éviter une sanction

• Quelles sont les suites d’un contrôle : connaître les différentes étapes de la procédure 
• PV de contrôle : comment réagir ?
• Que faire en cas d'erreur sur le PV de la CNIL 
• Organiser les actions à mettre en œuvre suite au contrôle
• Comment répondre à la lettre de mise en demeure de la CNIL 
• Les sanctions prononcées par la CNIL en formation restreinte 
• Quels sont les recours possibles