Du 29 mars 2021 au 02 avril 2021, Olivier FAVA, DPO certifié AFNOR Certification, a animé une formation inter-entreprise sur le RGPD en distanciel sous forme de classe virtuelle.
La réglementation RGPD/GDPR impose aux organisations de repenser le traitement des données à caractère personnel. Le Délégué à la protection des données a pour mission de piloter la mise en conformité en informant le responsable de traitement mais aussi ses employés sur le contenu des nouvelles obligations, en coopérant avec l'autorité de contrôle (CNIL), en contrôlant les respect du RGPD et du droit national en matière de protection des données, et en conseillant l'organisme.
6 stagiaires ont suivi cette formation. Plusieurs profils étaient représentés provenant du secteur privé (bancaire, énergétique, santé, digital) ou du secteur public avec des niveaux de compétences différents (du débutant au praticien confirmé depuis des années) et des fonctions dans leur organisme respectif bien différents aussi (juriste, chef d'entreprise, consultant en sécurité de l'information, chef de projet de conformité). Les stagiaires ont tout particulièrement apprécié la bonne répartition entres les aspects théoriques et pratiques, l'équilibre entre les différents sujets (technique, juridique, pratique), les différents échanges, la possibilité de faire un examen blanc avec son corrigé en le découpant en 5 QCM de 20 questions chacun.
Le programme de la formation sur 5 jours (35 heures) :
1 - Où sont vos données personnelles ?
- Historique et enjeux du RGPD (champs d'application, obligations réglementaires)
- Les données à caractère personnel (information, données sensibles, données personnelles)
2 - Sensibilisation aux fondamentaux
- Réforme RGPD (points clés, objectifs et enjeux, périmètre du règlement)
- Acteurs relatifs aux données à caractère personnel (au sein d'un organisme, sur le plan international et au niveau de l'autorité de contrôle)
- Traitements relatifs aux données à caractère personnel (définition, registre et bases juridiques d'un traitement)
- Obligation vis-à-vis des principes fondateurs (conservation, intégrité, confidentialité, responsabilité, minimisation, limitation,...)
- Droit des personnes (nature des droits et informations à fournir)
- Le RGPD, article par article (contenu, matrice de conformité, doctrine et jurisprudence)
3 - Les étapes de la mise en œuvre du RGPD
- Pilote, chargé de mission, Délégué à la Protection des Données (mission, désignation, cadre de travail, profil, conditions de certification, rôle d'audit, relation avec les tiers)
- Cartographier les informations, les données à caractère personnel, leurs traitements et la priorisation (démarche, principes "éviter, réduire, traiter, Privacy by Design")
- Apprécier les risques (méthode, utilité et analyse d'impact
- Mettre en œuvre les dispositions de maîtrise et organiser les processus internes
- Vérifier, revoir, documenter la conformité
- Démarche pour se mettre en conformité (intégrer la démarche RGPD dans son management d'entreprise, audit de conformité)
4 - Focus sur les leviers de la mise en œuvre Examiner les exigences du référentiel ISO 27001
- Responsabiliser les sous-traitants (clauses type, focus transfert hors UE)
- Sensibiliser le capital humain (principes, programme de formation et de sensibilisation par acteur)
- Respecter les droit des personnes concernées (droits, focus sur chaque droit, transparence, notification / violation..., focus consentement)
- Encadrer les solutions technologiques
- Intégrer les clauses juridiques requises (clauses types, focus code de conduite et certification)
- Mesures de protection les plus courantes
- Gestion de crise (violation...)
- Relation avec les autorités, condamnations, infractions, mesures de régulation (contrôles de la CNIL, droits des contrôlés)
- Transfert de données hors UE (adéquation, garanties appropriées, règles d'entreprise contraignantes, dérogations, autorisation de l'autorité de contrôle, suspension temporaire, clauses contractuelles...)