-RGPD - Le registre des traitements de données : établissement, tenue et gestion -
5 octobre 2023 - Formation inter-entreprise -
Formation créée le 31/03/2023. Dernière mise à jour le 05/07/2023.
Version du programme : 1
Programme de la formation
Le registre des activités de traitement est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité. Au-delà de la réponse à une quasi-obligation, le registre est un outil de pilotage et de démonstration de la conformité au RGPD. Il permet de documenter les traitements de données et de se poser les bonnes questions : avons-nous vraiment besoin de cette donnée dans le cadre de notre traitement ? Est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ? Etc. Sa création et sa mise à jour sont ainsi l’occasion d’identifier et de hiérarchiser les risques au regard du RGPD. Cette étape essentielle permet au Délégué à la Protection des Données d’en déduire un plan d’action de mise en conformité des traitements aux règles de protection des données. Bruno RASLE donne systématiquement des applications concrètes, en s’appuyant sur des cas réels et son expérience fondée sur la gestion de plus d’une centaine de registres.
Objectifs de la formation
- Développer sa propre philosophie relative au registre des traitements : objectifs et intérêts, quoi (contenu), quand le faire, qui fait quoi (création / enrichissement/ consultation/modification), etc.
- Sur la base de cette doctrine, définir les critères de constitution et de tenue du registre des activités de traitement
- Détenir les clés qui facilitent l’établissement et la tenue du registre
- Au-delà de l’obligation légale, faire du registre un véritable outil de conduite de changement du DPD et un facteur d’efficience
Profil des bénéficiaires
- DPO et futurs DPO (internes, externes) ou équivalent.
- Personnes accompagnant le DPO sans ses missions (adjoint, collaborateurs, relais).
- Cette formation convient à tout secteur et à toute taille d'entreprise / organisation.
- Aucun prérequis n’est exigé.
Contenu de la formation
-
Ouverture de la formation par un tour de table
- Présentation de chacun des participants et de leurs entreprises
-
Module 1 : le registre, une exigence règlementaire
- Les exigences de l’article 30 du RGPD
- Les exceptions à la mise en œuvre du registre
- Le registre du responsable de traitement
- En cas de responsabilité conjointe
- Le registre du sous-traitant
- Mises en application : comparaison avec les exigences de l’article 13 du RGPD
-
Module 2 : le cycle de vie du registre des traitements
- L'inventaire des traitements
- Structure du registre, contenu d'une fiche de traitement
- La question de la « granularité » du registre
- Documents associés à la fiche registre
- Création des fiches de traitement
- Mise à jour des fiches de traitement
- Sort des fiches de traitement obsolètes
- Accès au registre ou communication
- Publication du registre
- Outil de gestion du registre
- Mises en application : application à plusieurs cas concrets (formalisation d’une fiche registre) ; identification des « enrichissements » possibles à une fiche de traitement (au-delà de l’article 30 du RGPD) ; détermination des critères de choix d’une solution de gestion de registre
-
Module 3 : spécificités du registre sous-traitant
- Retour sur le registre du sous-traitant
- Mises en application : conception d’une registre « enrichi » d’un sous-traitant
-
Module 4 : le registre, outil de conduite du changement
- Un outil de contrôle (audits et revues)
- Un outil de pilotage (indicateurs clés)
- Liens avec les analyses d’impacts, les violations de données, les demandes de droits, les saisines et contrôles de la CNIL, le bilan du DPD
- Mises en application : nouvelles réflexions concernant les éventuels « enrichissements » du registre
- Feuilles de présence.
- Questionnaires digitaux et études de cas concrets.
- Formulaires d'évaluation de la formation.
- Certificat de réalisation de l’action de formation.
- Délivrance d’une attestation de formation individuelle précisant les compétences acquises à l’issue de la formation
- Accueil des apprenants dans une salle dédiée à la formation.
- Documents supports de formation projetés.
- Exposés théoriques et étude de cas concrets et animation digital.
- Mise à disposition en ligne de documents supports à la suite de la formation.