Du 08 au 12 juin 2020, Olivier FAVA a animé une formation inter-entreprise sur le RGPD en distanciel sous forme de classe virtuelle.
La réglementation RGPD/GDPR impose aux organisations de repenser le traitement des données à caractère personnel. Le Délégué à la protection des données a pour mission de piloter la mise en conformité en informant le responsable de traitement mais aussi ses employés sur le contenu des nouvelles obligations, en coopérant avec l'autorité de contrôle (CNIL), en contrôlant les respect du RGPD et du droit national en matière de protection des données, et en conseillant l'organisme.
Les stagiaires ont tout particulièrement apprécié la bonne répartition entres les aspects théoriques et pratiques, l'équilibre entre les différents sujets (technique, juridique, pratique), la possibilité de faire un examen blanc avec son corrigé.
Les atouts de notre approche ont été confirmés et appréciés :
Systémique et opérationnelle (plus que juridico-juridique).
Démarche RGPD immergée au management quotidien de l'organisme (plus qu'une démarche à part entière).
Pratico-pratique du RGPD (compréhension et appropriation de la mise en œuvre).
Les principaux enseignements qu'ils en ont retirés sont "les aspects pratiques et concrets", "une meilleure connaissance du RGPD aussi bien sur le plan théorique que pratique", "la compréhension des différentes étapes de mise en conformité".
Le programme de la formation sur 5 jours (35 heures) :
1 - Où sont vos données personnelles ?
- Historique et enjeux du RGPD (champs d'application, obligations réglementaires)
- Les données à caractère personnel (information, données sensibles, données personnelles)
2 - Sensibilisation aux fondamentaux
- Réforme RGPD (points clés, objectifs et enjeux, périmètre du règlement)
- Acteurs relatifs aux données à caractère personnel (au sein d'un organisme, sur le plan international et au niveau de l'autorité de contrôle)
- Traitements relatifs aux données à caractère personnel (définition, registre et bases juridiques d'un traitement)
- Obligation vis-à-vis des principes fondateurs (conservation, intégrité, confidentialité, responsabilité, minimisation, limitation,...)
- Droit des personnes (nature des droits et informations à fournir)
- Le RGPD, article par article (contenu, matrice de conformité, doctrine et jurisprudence
3 - Les étapes de la mise en œuvre du RGPD
- Pilote, chargé de mission, Délégué à la Protection des Données (mission, désignation, cadre de travail, profil, conditions de certification, rôle d'audit, relation avec les tiers)
- Cartographier les informations, les données à caractère personnel, leurs traitements et la priorisation (démarche, principes "éviter, réduire, traiter, Privacy by Design")
- Apprécier les risques (méthode, utilité et analyse d'impact
- Mettre en œuvre les dispositions de maîtrise et organiser les processus internes
- Vérifier, revoir, documenter la conformité
- Démarche pour se mettre en conformité (intégrer la démarche RGPD dans son management d'entreprise, audit de conformité)
4 - Focus sur les leviers de la mise en œuvre Examiner les exigences du référentiel ISO 27001
- Responsabiliser les sous-traitants (clauses type, focus transfert hors UE)
- Sensibiliser le capital humain (principes, programme de formation et de sensibilisation par acteur)
- Respecter les droit des personnes concernées (droits, focus sur chaque droit, transparence, notification / violation..., focus consentement)
- Encadrer les solutions technologiques
- Intégrer les clauses juridiques requises (clauses types, focus code de conduite et certification)
- Mesures de protection les plus courantes
- Gestion de crise (violation...)
- Relation avec les autorités, condamnations, infractions, mesures de régulation (contrôles de la CNIL, droits des contrôlés)
- Transfert de données hors UE (adéquation, garanties appropriées, règles d'entreprise contraignantes, dérogations, autorisation de l'autorité de contrôle, suspension temporaire, clauses contractuelles...)