Formation DPO pour devenir DPO (Délégué à la protection des données)
Avec une fonction située au cœur de la conformité au règlement européen sur la protection des données (RGPD), le délégué à la protection des données (DPO) conseille et accompagne les organismes qui le désignent dans leur conformité.
Le DPO - Délégué à la protection des données
Le délégué est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.
"Le délégué à la protection des données est le successeur naturel du CIL."
Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (article 37.5 du règlement européen).
Obligation de nommer un DPO dans un organisme
D'après le RGDP
La désignation d’un délégué est obligatoire pour :
- Les autorités ou les organismes publics,
- Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
- Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Il suffit de cocher seulement un de ces critères pour avoir l'obligation de nommer un DPO.
L’European Data Protection Board a ajouté des précisions à certaines définitions très vagues afin de savoir qui est réellement concerné par la nomination d'un DPO.
Les "activités de base"
Les “activités de base” doivent être entendues comme étant l’ensemble des activités essentielles qui vont permettre à une entité d’exercer son activité principale ; son cœur de métier. A contrario, ne constituent pas des “activités de base” d’une entité, toutes ses activités supports, qui sont traditionnellement communes à l’ensemble des entités (la gestion de la rémunération des salariés par exemple) hormis, bien entendu, si de telles activités constituent bien le cœur d’activité de l’entité concernée (comme pour un cabinet de gestion de la paie).
La "grande échelle"
L’organe européen indique au sein de ses lignes directrices (WP 243 rev.01) qu’il convient notamment de prendre en compte le nombre de personnes impactées (en valeur absolue ou en pourcentage par rapport à la population concernée), la durée ou permanence des activités de traitement, l’étendue géographique du traitement de données ou encore le volume de données traitées.
Il convient donc de faire du cas par cas car ces précisions sont toutefois toujours très vagues.
Des "données dites sensibles ou relatives à des condamnations pénales et infractions"
Il s'agit de l’ensemble des données listées au sein de l’article 9 du Règlement général sur la protection des données (RGPD) :
- Données révélant l’original raciale ou ethnique ;
- Données révélant les opinions politiques ;
- Données révélant les convictions religieuses ou philosophiques ;
- Données révélant l’appartenance syndicale ;
- Données génétiques ;
- Données biométriques ;
- Données de santé ;
- Données concernant la vie sexuelle ou l’orientation sexuelle.
Le “suivi régulier et systématique” d’individus
L’European Data Protection Board vient préciser que doivent être entendus comme des suivis du comportement des personnes toutes les formes de suivi et de profilage sur internet, incluant de ce fait toutes formes de suivi en ligne (par exemple à des fins publicitaires via l’utilisation de traceurs).
L’organe européen précise par ailleurs qu’il convient d’interpréter le terme “régulier” comme étant un traitement continu ou se reproduisant à intervalles réguliers, et/ou comme étant un traitement récurrent ou se répétant à des moments fixes, et/ou comme étant un traitement ayant lieu de manière constante ou périodique. Et le terme “systématique“, comme étant un mécanisme se produisant conformément à un système, et/ou préétabli, organisé ou méthodique, et/ou ayant lieu dans le cadre d’un programme général de collecte de données, et/ou effectué dans le cadre d’une stratégie.
Eu égard à ces différentes interprétations, voici quelques exemples d’activités qui constituent un suivi régulier et systématique d’individus :
- traitement domotique d’une maison connectée ;
- bracelet de suivi d’activité d’une personne ;
- traitement d’une voiture connectée intelligente ;
- compteur d’électricité connecté intelligent ;
- géolocalisation ;
- activités de marketing fondées sur du profilage et suivi des activités d’un individu (achats en ligne, navigation web, etc.).
Mon organisme est-il concerné ?
De part la nature de vos activités de bases (ou la nature de votre organisme), vous pouvez donc savoir si vous êtes concerné par l'obligation d'un DPO. On comprendra aussi que toutes les grandes entreprises et PME importantes sont concernées, car nous pouvons considérer que leurs grands nombres de données constituent la "grande échelle".
Pour les organismes de plus petites tailles dont l'activité de base n'est pas concerné, il s'agira donc principalement de la stratégie Marketing et Marketing Digital mis en place. Si celle-ci est basée sur du profilage et les données clients, vous devrez nommé un DPO - Délégué à la protection des données.
Comment choisir son DPO ?
Les critères de sélection
La personne qui a vocation à devenir délégué à la protection doit pouvoir réunir les qualités et compétences suivantes :
- l’aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance. Le délégué ne doit pas avoir de conflit d’intérêts avec ses autres missions.
- une expertise en matière de législations et pratiques en matière de protection des données, acquise notamment grâce à une formation continue.
- une bonne connaissance du secteur d’activité et de l’organisation de l’organisme et en particulier des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données.
- un positionnement efficace en interne pour être en capacité de faire directement rapport au niveau le plus élevé de l’organisme et également d’animer un réseau de relais au sein des filiales d’un groupe par exemple et/ou une équipe d’experts en interne (expert informatique, juriste, expert en communication, traducteur, etc.).
Il n’existe donc pas de profil type du délégué qui peut être une personne issue du domaine technique, juridique ou autre.
Le délégué à la protection des données est le successeur naturel du CIL.
Les moyens du délégué
Le délégué doit bénéficier du soutien de l’organisme qui le désigne. L’organisme devra en particulier :
- s’assurer de son implication dans toutes les questions relatives à la protection des données (exemple : communication interne et externe sur sa désignation)
- lui fournir les ressources nécessaires à la réalisation de ses tâches (exemples : formation, temps nécessaire, ressources financières, équipe)
- lui permettre d’agir de manière indépendante (exemples : positionnement hiérarchique adéquat, absence de sanction pour l’exercice de ses missions)
- lui faciliter l’accès aux données et aux opérations de traitement (exemple : accès facilité aux autres services de l’organisme)
- veiller à l’absence de conflit d’intérêts.
Les lignes directrices fournissent des exemples concrets et opérationnels des ressources nécessaires à adapter selon la taille, la structure et l’activité de l’organisme.
Formation Expertise RGPD - Devenir Délégué à la Protection des Données (DPD / DPO)
Résumé de la formation
- Type de diplôme: Stage court
- Domaines de compétences: Informatique et Sciences du numérique
Présentation
Présentation
La formation Expertise du RGDP vous permettra de développer les connaissances et compétences requises pour mettre en œuvre et gérer efficacement un cadre de conformité en matière de protection des données personnelles.
Après cette formation pour DPO / DPD, vous pourrez prendre le rôle de Délégué à la Protection des Données (DPD ou Data Privacy Officer DPO). Vous serez à même de comprendre l'écart entre le règlement général sur la protection des données et les processus organisationnels actuels : politiques de confidentialité, procédures, instructions de travail,
Auditeur-Consultant-Expert-Formateur en sécurité et en sûreté et en souveraineté des systèmes d’information critiques et des informations & données sensibles (plus de 33 ans d'expériences en Sécurité-SECURITY, en Sécurité au service de la SAFETY et en Sécurité au service de la PRIVACY)
Objectifs
- Comprendre l'histoire de la protection des données personnelles en Europe
- Acquérir une compréhension globale des concepts et des approches nécessaires à l'alignement efficace avec le règlement général sur la protection des données
- Comprendre les nouvelles exigences que le règlement général sur la protection des données apporte aux organisations de l'UE et aux organisations non-UE et, lorsqu’il est nécessaire, de les mettre en œuvre
- Gérer une équipe implémentant le RGPD
- Savoir analyser et prendre des décisions dans le cadre de la protection des données personnelles
Méthodes pédagogiques
Travaux pratiques, cours, études de cas travaux dirigés
Contrôle des connaissances
QCM et Mises en situation
Programme
Contenu de la formation
Jour 1 : Introduction Générale à la Protection des Données personnelles
- L’impacts de la digitalisation sur nos modes de vie et nos modèles économiques
- L’explosion des risques liés au numérique (+ focus cybermenace)
- Panorama de l’évolution des textes applicables en matière de protection des données
- de la Loi informatique et libertés (LIL) au RGPD
- les nouveaux textes (NIS2, IA Act, DSA, etc…)
- Le champ d’application du RGPD et de la LIL
- Principales définitions (Données à caractère personnel, Traitement, Fichier, Données sensibles, Responsable de traitement, sous-traitant, destinataire, personnes concernées, responsable conjoint)
- Panorama des droits des personnes concernées
- Panorama des obligations des professionnels en matière de protection des données (RGPD & LIL)
- Panorama des obligations des professionnels touchés par les nouveaux textes (NIS2, IA Act, DSA, etc…)
Jour 2 : Exigences du Règlement Général sur la Protection des Données
De la collecte à la suppression des données : Les Bonnes Pratiques
- Finalité de la collecte
- Base légale
- Minimisation
- Le traitement des données sensibles
- Durées de conservation et modalités d’archivage des données
- Sécurité informatique
- Encadrement des relations avec les Sous-traitants
- Information des personnes
- Respect des droits des personnes
Mise en œuvre de la documentation règlementaire
- Le Registre des activités de traitements
- L’Analyse d’impacts (AIPD, PIA)
- La notification des violations de données
- Les conséquences du principe d’Accountability
La gouvernance des projets IT/data
- L’impact du droit sur un projet informatique
- Aperçu des enjeux en termes de documentation d’un projet IT
- DSI, RSSI, DPO, Opérationnels : une coopération nécessaire
- Impact de la répartition des fonctions au sein d’une organisation
Jour 3 et 4 : Pratique Opérationnelle pour DPO
- La méthode globale : Application des méthodes de gestion de la qualité (roue de Deming - PDCA) aux enjeux de la protection des données.
- Réaliser un « audit RGPD »
- Rédiger le Registre des activités de traitements
- Mettre en place un plan d’action de mise en conformité RGPD
- Mettre en œuvre une gouvernance en matière de protection des données au sein de l’organisation
- Faire face aux incidents de sécurité et violations de données
- Faire face aux demandes de droit des personnes
- Faire face à un contrôle de la CNIL
Exercices pratiques :
- Préparer et simuler une interview d’audit RGPD
- Rédiger une fiche Registre
- Rédiger une ébauche de plan d’actions
- Réaliser une ébauche d’analyse d’impacts
- Rédiger une ébauche de notification de violation de données à la CNIL
Responsable Pédagogique
Jean-François ESCALA
Admission
Condition d'accès
Personnes concernées :
- Responsables de projet ou consultants souhaitant préparer et soutenir un organisme dans la mise en œuvre des nouvelles procédures et l'adoption des nouvelles exigences présentées dans le RGPD, qui entreront en vigueur le 25 mai 2018
- CIL actuel chargés de la protection des données personnelles d'une entreprise et de la gestion de ses risques
- Conseillers en sécurité des données personnelles
- Personnels ou cadres techniques envisageant un poste de délégué de protection des données
- Des connaissances de base sur les exigences légales actuelles en matière de protection des données de la CNIL.
Prérequis :
Aucun
Contact(s)
Lieu(x) de la formation
- Toulouse
Contact(s) administratif(s)
Le centre de formation continue et professionnelle des Grandes Écoles d'Ingénieurs de Toulouse INP
