Formation DPO pour devenir DPO (Délégué à la protection des données)

  Avec une fonction située au cœur de la conformité au règlement européen sur la protection des données (RGPD), le délégué à la protection des données (DPO)  conseille et accompagne les organismes qui le désignent dans leur conformité.

Le DPO - Délégué à la protection des données

Le délégué est chargé de mettre en œuvre  la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.

 

"Le délégué à la protection des données est le successeur naturel du CIL."

  Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (article 37.5 du règlement européen).

Obligation de nommer un DPO dans un organisme

D'après le RGDP

La désignation d’un délégué est obligatoire pour :

  • Les autorités ou les organismes publics,
  • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
  • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Il suffit de cocher seulement un de ces critères pour avoir l'obligation de nommer un DPO.

 

L’European Data Protection Board a ajouté des précisions à certaines définitions très vagues afin de savoir qui est réellement concerné par la nomination d'un DPO.

Les "activités de base"

Les “activités de base” doivent être entendues comme étant l’ensemble des activités essentielles qui vont permettre à une entité d’exercer son activité principale ; son cœur de métier. A contrario, ne constituent pas des “activités de base” d’une entité, toutes ses activités supports, qui sont traditionnellement communes à l’ensemble des entités (la gestion de la rémunération des salariés par exemple) hormis, bien entendu, si de telles activités constituent bien le cœur d’activité de l’entité concernée (comme pour un cabinet de gestion de la paie).

La "grande échelle"

L’organe européen indique au sein de ses lignes directrices (WP 243 rev.01) qu’il convient notamment de prendre en compte le nombre de personnes impactées (en valeur absolue ou en pourcentage par rapport à la population concernée), la durée ou permanence des activités de traitement,  l’étendue géographique du traitement de données ou encore le volume de données traitées.

Il convient donc de faire du cas par cas car ces précisions sont toutefois toujours très vagues.

Des "données dites sensibles ou relatives à des condamnations pénales et infractions"

Il s'agit de l’ensemble des données listées au sein de l’article 9 du Règlement général sur la protection des données (RGPD) :

  • Données révélant l’original raciale ou ethnique ;
  • Données révélant les opinions politiques ;
  • Données révélant les convictions religieuses ou philosophiques ;
  • Données révélant l’appartenance syndicale ;
  • Données génétiques ;
  • Données biométriques ;
  • Données de santé ;
  • Données concernant la vie sexuelle ou l’orientation sexuelle.

 

Le “suivi régulier et systématique” d’individus

L’European Data Protection Board vient préciser que doivent être entendus comme des suivis du comportement des personnes toutes les formes de suivi et de profilage sur internet, incluant de ce fait toutes formes de suivi en ligne (par exemple à des fins publicitaires via l’utilisation de traceurs).

L’organe européen précise par ailleurs qu’il convient d’interpréter le terme “régulier” comme étant un traitement continu ou se reproduisant à intervalles réguliers, et/ou comme étant un traitement récurrent ou se répétant à des moments fixes, et/ou comme étant un traitement ayant lieu de manière constante ou périodique. Et le terme “systématique“, comme étant un mécanisme se produisant conformément à un système, et/ou préétabli, organisé ou méthodique, et/ou ayant lieu dans le cadre d’un programme général de collecte de données, et/ou effectué dans le cadre d’une stratégie.

Eu égard à ces différentes interprétations, voici quelques exemples d’activités qui constituent un suivi régulier et systématique d’individus :

  • traitement domotique d’une maison connectée ;
  • bracelet de suivi d’activité d’une personne ;
  • traitement d’une voiture connectée intelligente ;
  • compteur d’électricité connecté intelligent ;
  • géolocalisation ;
  • activités de marketing fondées sur du profilage et suivi des activités d’un individu (achats en ligne, navigation web, etc.).

Mon organisme est-il concerné ?

De part la nature de vos activités de bases (ou la nature de votre organisme), vous pouvez donc savoir si vous êtes concerné par l'obligation d'un DPO. On comprendra aussi que toutes les grandes entreprises et PME importantes sont concernées, car nous pouvons considérer que leurs grands nombres de données constituent la "grande échelle".

Pour les organismes de plus petites tailles dont l'activité de base n'est pas concerné, il s'agira donc principalement de la stratégie Marketing et Marketing Digital mis en place. Si celle-ci est basée sur du profilage et les données clients, vous devrez nommé un DPO - Délégué à la protection des données.

 

Comment choisir son DPO ?

Les critères de sélection

La personne qui a vocation à devenir délégué à la protection doit pouvoir réunir les qualités et compétences suivantes :

  • l’aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance. Le délégué ne doit pas avoir de conflit d’intérêts avec ses autres missions.
  • une expertise en matière de législations et pratiques en matière de protection des données, acquise notamment grâce à une formation continue.
  • une bonne connaissance du secteur d’activité et de l’organisation de l’organisme et en particulier des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données.
  • un positionnement efficace en interne pour être en capacité de faire directement rapport au niveau le plus élevé de l’organisme et également d’animer un réseau de relais au sein des filiales d’un groupe par exemple et/ou une équipe d’experts en interne (expert informatique, juriste, expert en communication, traducteur, etc.).

Il n’existe donc pas de profil type du délégué qui peut être une personne issue du domaine technique, juridique ou autre.

Le délégué à la protection des données est le successeur naturel du CIL.

Les moyens du délégué

Le délégué doit bénéficier du soutien de l’organisme qui le désigne. L’organisme devra en particulier :

  • s’assurer de son implication dans toutes les questions relatives à la protection des données (exemple : communication interne et externe sur sa désignation)
  • lui fournir les ressources nécessaires à la réalisation de ses tâches (exemples : formation, temps nécessaire, ressources financières, équipe)
  • lui permettre d’agir de manière indépendante (exemples : positionnement hiérarchique adéquat, absence de sanction pour l’exercice de ses missions)
  • lui faciliter l’accès aux données et aux opérations de traitement (exemple : accès facilité aux autres services de l’organisme)
  • veiller à l’absence de conflit d’intérêts.

Les lignes directrices fournissent des exemples concrets et opérationnels des ressources nécessaires à adapter selon la taille, la structure et l’activité de l’organisme.

Formation Expertise RGPD - Devenir Délégué à la Protection des Données (DPD / DPO)

Résumé de la formation

  • Type de diplôme: Stage court
  • Domaines de compétences: Informatique et Sciences du numérique

Présentation

Présentation

La formation Expertise du RGDP vous permettra de développer les connaissances et compétences requises pour mettre en œuvre et gérer efficacement un cadre de conformité en matière de protection des données personnelles.

 

Après cette formation pour DPO / DPD, vous pourrez prendre le rôle de Délégué à la Protection des Données (DPD ou Data Privacy Officer DPO). Vous serez à même de comprendre l'écart entre le règlement général sur la protection des données et les processus organisationnels actuels: politiques de confidentialité, procédures, instructions de travail, formulaires de consentement, l’analyse d'impact relative à la protection des données de manière à associer les processus à l’adoption du nouvel règlement.

Le formateur : Dr. Gilles Trouessin

Auditeur-Consultant-Expert-Formateur en sécurité et en sûreté et en souveraineté des systèmes d’information critiques et des informations & données sensibles (21 ans d'expérience dans la sécurité informatique).

 

Il enseigne sur le Mastère Spécialisé Sécurité Informatique de l’INP-ENSEEIHT et INSA Toulouse et sur les formations ingénieur Sciences du Numérique à l’INP-ENSEEIHT.

Objectifs

  • Comprendre l'histoire de la protection des données personnelles en Europe
  • Acquérir une compréhension globale des concepts et des approches nécessaires à l'alignement efficace avec le règlement général sur la protection des données
  • Comprendre les nouvelles exigences que le règlement général sur la protection des données apporte aux organisations de l'UE et aux organisations non-UE et, lorsqu’il est nécessaire, de les mettre en œuvre
  • Gérer une équipe implémentant le RGPD
  • Savoir analyser et prendre des décisions dans le cadre de la protection des données personnelles

Programme

Contenu de la formation

Jour 1 : Introduction aux principes de protection des données et du RGPD

Introduction générale à la Protection des données à Caractère Personnel (P.D.C.P.)
Historique & genèse en France de la P.D.C.P.
  • La Convention n°108 de 1981
  • La loi "Informatique & Libertés" originelle [I] de 1978
  • La Directive Européenne de 1995
  • La loi "Informatique & Libertés" révisée [II] de 2004
  • Le Règlement Européen (R.G.P.D.) de 2016
  • La loi "Informatique & Libertés" révisée [III] de 2018
Les fondements juridiques P.D.C.P.
  • Les droits fondamentaux de la personne physique
  • Les principes généraux de la P.D.C.P.
  • Les principes génériques de "Privacy-by-default" et de "Privacy-by-Design"
  • Les notions de base au service de la P.D.C.P.
  • Les rôles et responsabilités des différents acteurs
  • Les droits des personnes concernées
  • L'exercice des droits par la personne concernée
  • Les enjeux actuels du R.G.P.D. pour les Directions de P.M.E. / M.G.E
  • Les enjeux juridiques
  • Les enjeux financiers
  • Les enjeux liés à la réputation
  • Les enjeux liés à la sécurisation
Exercice d'application des droits & obligations liés au R.G.P.D

 

Jour 2 : Les exigences du règlement général sur la protection des données

Rôles et responsabilités des différents acteurs
  • La notion de "finalité des traitements"
  • Les rôle & responsabilités du "Responsable des Traitements" (R.T.)
  • Les rôle & responsabilités du "Sous-Traitements" (S.T.) au sens du R.G.P.D
  • Les rôle & responsabilités du "Délégué à la Protection des Données" (D.P.D.)
Mise en œuvre des exigences issues de la P.D.C.P.
  • Mise en œuvre du droit d'information
  • Mise en œuvre du droit d'accès
  • Mise en œuvre du droit de rectification
  • Mise en œuvre du droit d'opposition
  • Mise en œuvre du droit à l'effacement ("droit à l'oubli')
  • Mise en œuvre du droit de retrait de son consentement
  • Mise en œuvre des droits de licéité, loyauté et transparence
  • Mise en œuvre du droit de limitation des traitements
  • Mise en œuvre du droit de minimisation des des données
  • Mise en œuvre du droit d'exactitude
  • Mise en œuvre du droit proportionnalité
  • Mise en œuvre des droits de confidentialité et d'intégrité
  • Mise en œuvre du droit à la portabilité des D.C.P.
Travaux dirigés de mise en application des droits et obligations

 

Jour 3 : Déploiement d'un projet de mise en conformité au R.G.P.D.

  • Organisation du projet de mise en conformité
  • Rôles et responsabilités au sein du projet de mise en conformité
  • Phasage / activités / actions pour PLANIFIER le projet de mise en conformité
  • Phasage / activités / actions pour DÉPLOYER le projet de mise en conformité
  • Rôle implicite du(des) Responsable(s) des Traitements
  • Rôle explicite du(des) Sous-Traitant(s)
  • Rôle de coordinateur du Délégué à la Protection des Données (Personnelles)
  • Rôle coopératif du Responsable Sécurité des Systèmes d'Information (R.S.S.I.)
  • Rôle coopératif du Responsable du Plan de Continuité des Activité (R.P.C.A.)
  • Définition et caractéristiques d'un système de management des risques
  • Définition et caractéristiques d'une démarche de gestion des risques liés à la sécurité
  • Définition et caractéristiques d'une méthode d'appréciation des risques liés à la P.D.C.P.
  • Définition et caractéristiques d'une d'analyse d'impacts sur la vie privée (E.I.V.P. ou D.P.I.A.)
Travaux pratiques de mise en application d'un projet de déploiement de la conformité au R.G.P.D.

 

Jour 4 : Les activités de maintien de la conformité au R.G.P.D.

  • Définition générale d'une démarche générique d'amélioration continue P-D-C-A
  • Présentation succincte et appropriation basique de la norme ISO 9001 - S.M.Q.
  • Définition appropriée d'une démarche spécifique d'amélioration continue appliquée à la S.S.I.
  • Présentation succincte et appropriation basique de la norme ISO 27001 - S.M.S.I.
  • Définition appropriée d'une démarche spécifique d'amélioration continue appliquée à la P.D.C.P.
  • Présentation succincte et appropriation basique de la norme ISO 29100 - techniques sécurité et cadre privé
  • Rôle et responsabilités de la Direction Générale de la démarche de mise en œuvre et de maintien de la P.D.C.P.
  • Rôle et responsabilités des Directions-métiers pour faciliter les déploiements et maintien fonctionnels de la P.D.C.P.
  • Rôle et responsabilités des D.P.D. / R.S.S.I. / R.P.C.A. pour les déploiements et maintien opérationnels de la P.D.C.P.
  • Phasage / activités / étapes pour la mise en place d'une démarche d'amélioration continue appliquée à la P.D.C.P.
  • Mise en œuvre des phases de [re-] PLANIFICATION et [re-] DEPLOIEMENT de la P.D.C.P. déjà en place
  • Mise en œuvre des phases de [re-] CONTROLE et de [re-] AJUSTEMENT de la P.D.C.P. déjà en œuvre
  • Présentation succincte et appropriation basique de la norme ISO 27002 - guide de bonnes pratiques en S.S.I.
  • Présentations détaillées des principes génériques de "Privacy-by-Default" et de "Privacy-by-Design" 
Travaux pratiques de mise en application d'une démarche d'amélioration continue appliquée à la conformité au R.G.P.D.

Admission

Condition d'accès

À qui s'adresse la formation ?

  • Responsables de projet ou consultants souhaitant préparer et soutenir un organisme dans la mise en œuvre des nouvelles procédures et l'adoption des nouvelles exigences présentées dans le RGPD, qui entreront en vigueur le 25 mai 2018
  • CIL actuel chargés de la protection des données personnelles d'une entreprise et de la gestion de ses risques
  • Conseillers en sécurité des données personnelles
  • Personnels ou cadres techniques envisageant un poste de délégué de protection des données
  • Des connaissances de base sur les exigences légales actuelles en matière de protection des données de la CNIL.

 

Si vous avez déjà suivi la formation "Bases d'application du RGPD", vous pourrez suivre uniquement les deux derniers jours de formation.

Contact(s)

Lieu(x) de la formation

  • Toulouse

Contact(s) administratif(s)

Conseiller Formation Qualifiante

Tél : 05 34 32 31 03

Email : qualifiant.fc @ inp-toulouse.fr

Plus d'infos

Public concernéFormation professionnelle

Durée du stage 4 jours

Prix inter-entreprise 2150€

Date(s) de la formation 17, 18, 24 & 25 juin 2019

Nous contacter

Toulouse INP Formation Continue

6 allée Emile Monso - BP 34038
31029 Toulouse Cedex 4
Ouvert du lundi au vendredi

08h30-12h30 / 13h30-16h30

05 34 32 31 08

Contacts

Le centre de formation continue et professionnelle des Grandes Écoles d'Ingénieurs de Toulouse INP

Logo FCU

  • Logo MENESR
  • Logo Region
  • Logo UTFTMP
  • Logo INP
  • Logo INPT
  • Logo Ensat
  • Logo Enseeiht
  • Logo Ensiacet
  • Logo CTI
  • Logo CGE