Pour un exercice serein de la fonction de Délégué à la protection des Données
25,26,27 et 28 septembre 2023 - Formation inter-entreprise -
Formation créée le 31/03/2023. Dernière mise à jour le 14/08/2023.
Version du programme : 1
Programme de la formation
Le RGPD rend obligatoire la fonction de Délégué à la Protection de Données (ou DPO, pour Data Protection Officer) dans de nombreux cas. Chef d’orchestre de la conformité en matière de protection des données personnelles au sein de son organisme, le DPO est au cœur du RGPD. Pour garantir l’effectivité de ses missions, il doit disposer de connaissances spécifiques. Au-delà de la théorie, cette formation permet aux professionnels qui vont prendre (ou viennent de prendre) un poste de DPO de disposer de tous les éléments pour être efficient. Mais par quoi commencer ? Quels sont les chantiers à mettre en œuvre à court et moyen terme ? Que faire pour être identifié, entendu, écouté ? Que faire pour créer les bonnes synergies, changer les mentalités et les postures ? Quelles erreurs ne surtout pas commettre et quelles bonnes pratiques appliquer pour un exercice serein de la fonction de Délégué à la Protection des Données ? Autant de questions cruciales sur lesquelles l'intervenant partage ses expériences avec ses nouveaux confrères.
Objectifs de la formation
- • Maîtriser les concepts et connaissances indispensables à un exercice efficace et serein de la fonction de Délégué à la Protection des Données
- • Structurer et rythmer son action afin d'amener son organisme sur le chemin de la conformité
- • Eviter les principaux pièges et écueils auxquels un DPO peut être confronté
- • Mettre son organisme en situation de gérer des événements tels que des violations de données, des demandes de droits, des saisines de la CNIL
Profil des bénéficiaires
- DPO et futurs DPO (internes, externes) ou équivalent.
- Personnes accompagnant le DPO sans ses missions (adjoint, collaborateurs, relais).
- Personnes amenées à piloter ou participer à une AIPD.
- Cette formation convient à tout secteur et à toute taille d'entreprise / organisation.
- Aucun prérequis n’est exigé.
Contenu de la formation
-
Ouverture de la formation par un tour de table
- Présentation de chacun des participants et de leurs entreprises
-
Module 1 : les fondamentaux du RGPD
- Dans cette partie sont étudiés - entre autres - la genèse des textes qui encadrent actuellement le traitement des données personnelles, le référentiel juridique et la structure des principaux textes, les concepts de base, les règles d'or du RGPD et les risques pour les parties prenantes à ne pas les respecter.
- Mise en application : Détermination du rôle de chaque partie prenante (Responsable de traitement ? Responsable conjoint ? Sous-traitant ?) et de leurs responsabilités sur la base d'exemples concrets.
-
Module 2 : conformité d'un traitement au RGPD
- A l'issue de ce module, les participants sont en mesure d'objectiver les caractéristiques d'un traitement afin de les analyser et de prononcer un avis au regard de leur conformité vis-à-vis du RGPD afin d'aboutir à la création d'une fiche de traitement dans le registre prévu par l'article 30 du RGPD.
- Dans cette partie sont étudiés - entre autres - l'objectivation d'une finalité, la détermination de la base de licéité, la détermination et la justification des durées de conservation, le respect de la minimisation des données, la maîtrise des destinataires et des sous-traitants, le soin à apporter à l'information des personnes et à la bonne gestion de leurs droits RGPD, l'indispensable sécurisation des données traitées ou l'encadrement des éventuels flux transfrontières
- Mises en application : Rédaction d'une mention d'information RGPD ; Formalisation d'une fiche de traitement ; Optimisation de clauses RGPD de sous-traitance
-
Module 3 : le délégué à la protection des données (DPO)
- Le délégué à la protection des données (ou DPO) institué par le RGPD est le successeur du Correspondant Informatique et Libertés (CIL), avec toutefois, des missions renforcées.
- Dans cette partie sont étudiés - entre autres - les bonnes raisons d'avoir un DPO et les idées fausses le concernant, ses missions, ses interactions avec son écosystème et surtout les conditions d'exercice qui lui sont nécessaires pour accompagner sereinement et efficacement son organisme sur le chemin de la conformité.
-
Module 4 : Le plan d'action du DPO
- Devant l'ampleur de la tâche, le DPO doit établir un plan stratégique et se fixer des priorités. Par quoi doit-il commencer ? Quelles sont les erreurs qu'il ne doit surtout pas commettre ? Quelles synergies doit-il cultiver ? Que doit-il faire pour être identifié, entendu, écouté, pour changer les mentalités et les postures ? Dans cette partie sont étudiés - entre autres - la formalisation du plan stratégique du DPO, l'évaluation de la maturité de l'entité, le Privacy by Design, la création des premiers indicateurs ou le plan d'audit.
- Mise en application : Formalisation de points d'audit dans le cadre d'un Plan de Contrôle Interne ; Formalisation d'indicateurs
-
Module 5 : connaissances techniques de base
- Pour un DPO, la « naïveté technique » est un réel handicap. Or certains DPO ne maîtrisent pas les concepts mis en œuvre au sein des projets et manquent donc de pertinence dans leurs questions et pour mettre en doute – si besoin – les réponses qui leur sont apportées. Dans cette partie sont vulgarisés les concepts techniques de base dont la compréhension est indispensable à tout Délégué à la Protection des données (cookies, chiffrement, anonymisation, pseudonymisation, authentification par mot de passe, Cloud Computing, Big Data, etc.)
- Mise en application : Analyse de la conformité "Cookie" d'un site Web
-
Module 6 : le registre des traitements, pierre angulaire du travail du DPO
- Il convient de recenser, ou cartographier, de façon précise les traitements existants au sein de l’organisme (registre des activités de traitements), pour disposer d’une vue d’ensemble de ce que l’organisme effectue avec les données personnelles.
- Ce module permet aux participants de développer leur propre doctrine relative au registre, de maîtriser les méthodes les plus efficaces, de déterminer les critères de constitution et de tenue du registre des activités de traitement, et enfin de faire de leur registre un facteur d’efficience dans leur mission de DPO
-
Module 7 : analyse d'impact relative a la protection des données
- L’analyse d’Impact sur la Protection des Données (AIPD ou PIA) est l’une des avancées les plus marquantes du RGPD. Mais, au-delà de la théorie, comment la réaliser très concrètement ?
- Dans cette partie sont étudiés - entre autres - les principales étapes de réalisation d'un PIA
- Mise en application : rédiger une note de synthèse introductive à la réalisation d'un PIA
-
Module 8 : violation de données personnelles
- Un responsable de traitement ne peut plus détourner les yeux en cas d’incident de sécurité impactant les données personnelles qu’il traite et doit – dans certaines circonstances – notifier la violation de données à la CNIL, voire la communiquer aux « victimes ». Le rôle du DPO est ici crucial. Dans cette partie sont étudiés - entre autres - les éléments principaux d'une procédure de gestion des violations de données, le traitement d'une telle situation, sa notification à la CNIL, la communication aux personnes concernées, l'indispensable réalisation d'un retour d'expérience, les boucles de rétroaction avec le Privacy by Design et les PIA
-
Module 9 : établir un programme de sensibilisation au RGPD
- La sensibilisation du personnel est une mission fondamentale du DPO. Elle doit s'adresser à l'ensemble des collaborateurs de l'organisme. C’est le moyen pour le DPO de se faire connaître, et d’informer le personnel de l’organisme sur son rôle et ses missions. Ce module donne les clés pour bâtir un plan de sensibilisation afin de diffuser la culture RGPD, les principes fondamentaux de la réglementation en matière de protection des données, et les bonnes pratiques. Cette sensibilisation vise à permettre au DPO d’être associé aux projets de nouveaux traitements, ou évolutions de traitements existants, d’être consulté et de pouvoir émettre un avis sur leur conformité.
- Mise en application : Etablissement d'un plan de formation pour les nouveaux entrants
-
Module 10 : interagir avec l'autorité de contrôle
- Le DPO est l'interlocuteur naturel de l'autorité de contrôle. Il est donc crucial de connaître cette dernière (son organisation, ses missions, ses pouvoirs, etc.) afin d'interagir avec elle de façon efficace, que ce soit à l'occasion d'une demande de conseil, d'une consultation au titre de l'article 36 du RGPD, du traitement d'une saisine à la suite de la plainte d'une personne concernée, d'un contrôle, voire du passage devant la formation restreinte pouvant déboucher sur une sanction. Dans le cadre de sa veille, le Délégué à la Protection des Données doit également prendre connaissance de la doctrine du CEPD (Comité Européen de Protection des Données) et des autorités de contrôle européennes.
- Mise en application : faire une note de synthèse à partir d'une sanction de la CNIL
-
Module 11 : le bilan du DPO
- Autrefois exigée des Correspondants Informatique et Libertés, la rédaction d’un bilan d’activité n’est plus imposée par le RGPD, mais reste recommandée. Il est destiné au responsable de traitement et permet d'échanger sur les principaux événements de l'année écoulée, de négocier d'éventuels moyens supplémentaires, d'obtenir de l'aide en cas de difficultés rencontrées ou du soutien pour mener de nouvelles actions. Le bilan permet aussi de démontrer les actions entreprises visant la conformité au cadre réglementaire de la protection des données et participe en cela à l'Accountability. De plus, il assure la traçabilité des actions du DPO au fil des années, ou permet de comprendre ce qui fondait certaines décisions passées. Enfin, le bilan d’un DPO sera utile pour son successeur, en cas de départ. Ce module permet aux participants de se forger leur propre doctrine et de structurer leur rapport en fonction de leur contexte et objectifs.
- Mise en application : Rédaction d'une demande de conseil auprès de la CNIL
-
Le formateur
- Bruno Rasle, ancien DPO mutualisé (désigné pour une centaine d’organismes) de l’une des branches de la sécurité sociale, a également été Délégué général de l’AFCDP pendant douze ans. Il a pris une part active dans la promotion du métier de Correspondant Informatique et Libertés puis de Délégué à la Protection des Données : fondateur de l’Université AFCDP des DPO (et son organisateur jusque 2020), créateur de l’Index AFCDP du droit d’accès et du Job board des DPO, il est également le co-auteur de la Charte de déontologie du DPO. Il est chargé de cours et membre du Conseil scientifique du Mastère Spécialisé « Management et protection des données personnelles » de l’ISEP depuis 2007 (la formation la plus ancienne et du niveau le plus élevé au niveau européen). Bruno est enfin coauteur de Halte au Spam (Eyrolles, 2003), Correspondant Informatique et Libertés : bien plus qu’un métier (AFCDP, 2015), Droit à l’oubli (Larcier, 2015) et Se préparer au RGPD (Editions Législatives, 2017). Il se consacre désormais exclusivement à la formation des DPO
- Feuilles de présence.
- Questions orales ou écrites (QCM).
- Mises en situation.
- Formulaires d'évaluation de la formation.
- Certificat de réalisation de l’action de formation.
- Délivrance d’une attestation de formation individuelle précisant les compétences acquises à l’issue de la formation
- Accueil des apprenants dans une salle dédiée à la formation.
- Documents supports de formation projetés.
- Exposés théoriques
- Etude de cas concrets
- Quiz en salle
- Mise à disposition en ligne de documents supports à la suite de la formation.
- Les plus de cette formation
- Le formateur