Formation DPO pour devenir DPO (Délégué à la protection des données)
Avec une fonction située au cœur de la conformité au règlement européen sur la protection des données (RGPD), le délégué à la protection des données (DPO) conseille et accompagne les organismes qui le désignent dans leur conformité.
Le DPO - Délégué à la protection des données
Le délégué est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.
"Le délégué à la protection des données est le successeur naturel du CIL."
Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (article 37.5 du règlement européen).
Obligation de nommer un DPO dans un organisme
D'après le RGDP
La désignation d’un délégué est obligatoire pour :
- Les autorités ou les organismes publics,
- Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
- Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Il suffit de cocher seulement un de ces critères pour avoir l'obligation de nommer un DPO.
L’European Data Protection Board a ajouté des précisions à certaines définitions très vagues afin de savoir qui est réellement concerné par la nomination d'un DPO.
Les "activités de base"
Les “activités de base” doivent être entendues comme étant l’ensemble des activités essentielles qui vont permettre à une entité d’exercer son activité principale ; son cœur de métier. A contrario, ne constituent pas des “activités de base” d’une entité, toutes ses activités supports, qui sont traditionnellement communes à l’ensemble des entités (la gestion de la rémunération des salariés par exemple) hormis, bien entendu, si de telles activités constituent bien le cœur d’activité de l’entité concernée (comme pour un cabinet de gestion de la paie).
La "grande échelle"
L’organe européen indique au sein de ses lignes directrices (WP 243 rev.01) qu’il convient notamment de prendre en compte le nombre de personnes impactées (en valeur absolue ou en pourcentage par rapport à la population concernée), la durée ou permanence des activités de traitement, l’étendue géographique du traitement de données ou encore le volume de données traitées.
Il convient donc de faire du cas par cas car ces précisions sont toutefois toujours très vagues.
Des "données dites sensibles ou relatives à des condamnations pénales et infractions"
Il s'agit de l’ensemble des données listées au sein de l’article 9 du Règlement général sur la protection des données (RGPD) :
- Données révélant l’original raciale ou ethnique ;
- Données révélant les opinions politiques ;
- Données révélant les convictions religieuses ou philosophiques ;
- Données révélant l’appartenance syndicale ;
- Données génétiques ;
- Données biométriques ;
- Données de santé ;
- Données concernant la vie sexuelle ou l’orientation sexuelle.
Le “suivi régulier et systématique” d’individus
L’European Data Protection Board vient préciser que doivent être entendus comme des suivis du comportement des personnes toutes les formes de suivi et de profilage sur internet, incluant de ce fait toutes formes de suivi en ligne (par exemple à des fins publicitaires via l’utilisation de traceurs).
L’organe européen précise par ailleurs qu’il convient d’interpréter le terme “régulier” comme étant un traitement continu ou se reproduisant à intervalles réguliers, et/ou comme étant un traitement récurrent ou se répétant à des moments fixes, et/ou comme étant un traitement ayant lieu de manière constante ou périodique. Et le terme “systématique“, comme étant un mécanisme se produisant conformément à un système, et/ou préétabli, organisé ou méthodique, et/ou ayant lieu dans le cadre d’un programme général de collecte de données, et/ou effectué dans le cadre d’une stratégie.
Eu égard à ces différentes interprétations, voici quelques exemples d’activités qui constituent un suivi régulier et systématique d’individus :
- traitement domotique d’une maison connectée ;
- bracelet de suivi d’activité d’une personne ;
- traitement d’une voiture connectée intelligente ;
- compteur d’électricité connecté intelligent ;
- géolocalisation ;
- activités de marketing fondées sur du profilage et suivi des activités d’un individu (achats en ligne, navigation web, etc.).
Mon organisme est-il concerné ?
De part la nature de vos activités de bases (ou la nature de votre organisme), vous pouvez donc savoir si vous êtes concerné par l'obligation d'un DPO. On comprendra aussi que toutes les grandes entreprises et PME importantes sont concernées, car nous pouvons considérer que leurs grands nombres de données constituent la "grande échelle".
Pour les organismes de plus petites tailles dont l'activité de base n'est pas concerné, il s'agira donc principalement de la stratégie Marketing et Marketing Digital mis en place. Si celle-ci est basée sur du profilage et les données clients, vous devrez nommé un DPO - Délégué à la protection des données.
Comment choisir son DPO ?
Les critères de sélection
La personne qui a vocation à devenir délégué à la protection doit pouvoir réunir les qualités et compétences suivantes :
- l’aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance. Le délégué ne doit pas avoir de conflit d’intérêts avec ses autres missions.
- une expertise en matière de législations et pratiques en matière de protection des données, acquise notamment grâce à une formation continue.
- une bonne connaissance du secteur d’activité et de l’organisation de l’organisme et en particulier des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données.
- un positionnement efficace en interne pour être en capacité de faire directement rapport au niveau le plus élevé de l’organisme et également d’animer un réseau de relais au sein des filiales d’un groupe par exemple et/ou une équipe d’experts en interne (expert informatique, juriste, expert en communication, traducteur, etc.).
Il n’existe donc pas de profil type du délégué qui peut être une personne issue du domaine technique, juridique ou autre.
Le délégué à la protection des données est le successeur naturel du CIL.
Les moyens du délégué
Le délégué doit bénéficier du soutien de l’organisme qui le désigne. L’organisme devra en particulier :
- s’assurer de son implication dans toutes les questions relatives à la protection des données (exemple : communication interne et externe sur sa désignation)
- lui fournir les ressources nécessaires à la réalisation de ses tâches (exemples : formation, temps nécessaire, ressources financières, équipe)
- lui permettre d’agir de manière indépendante (exemples : positionnement hiérarchique adéquat, absence de sanction pour l’exercice de ses missions)
- lui faciliter l’accès aux données et aux opérations de traitement (exemple : accès facilité aux autres services de l’organisme)
- veiller à l’absence de conflit d’intérêts.
Les lignes directrices fournissent des exemples concrets et opérationnels des ressources nécessaires à adapter selon la taille, la structure et l’activité de l’organisme.
Formation Expertise RGPD - Devenir Délégué à la Protection des Données (DPD / DPO)
Résumé de la formation
- Type de diplôme: Stage court
- Domaines de compétences: Informatique et Sciences du numérique
Présentation
Présentation
La formation Expertise du RGDP vous permettra de développer les connaissances et compétences requises pour mettre en œuvre et gérer efficacement un cadre de conformité en matière de protection des données personnelles.
Après cette formation pour DPO / DPD, vous pourrez prendre le rôle de Délégué à la Protection des Données (DPD ou Data Privacy Officer DPO). Vous serez à même de comprendre l'écart entre le règlement général sur la protection des données et les processus organisationnels actuels: politiques de confidentialité, procédures, instructions de travail, formulaires de consentement, l’analyse d'impact relative à la protection des données de manière à associer les processus à l’adoption du nouvel règlement.
Le formateur : Dr. Gilles Trouessin
Auditeur-Consultant-Expert-Formateur en sécurité et en sûreté et en souveraineté des systèmes d’information critiques et des informations & données sensibles (plus de 33 ans d'expériences en Sécurité-SECURITY, en Sécurité au service de la SAFETY et en Sécurité au service de la PRIVACY)
Il enseigne en SECURITY & PRIVACY à TLS-SEC (année commune INP-ENSEEIHT, INSA, ENAC) dispense des formations en SECURITY et SAFETY à l'ENAC.
Le déroulé de la formation peut varier et plusieurs possibilités de rythme sont proposées :
- Formation de 4j consécutifs
- Formation en 2 fois (2x 2jours consécutifs)
- Formation en 4 fois (4x 1jour hebdomadaire)
Rapprochez-vous de votre conseiller !
Objectifs
- Comprendre l'histoire de la protection des données personnelles en Europe
- Acquérir une compréhension globale des concepts et des approches nécessaires à l'alignement efficace avec le règlement général sur la protection des données
- Comprendre les nouvelles exigences que le règlement général sur la protection des données apporte aux organisations de l'UE et aux organisations non-UE et, lorsqu’il est nécessaire, de les mettre en œuvre
- Gérer une équipe implémentant le RGPD
- Savoir analyser et prendre des décisions dans le cadre de la protection des données personnelles
Méthodes pédagogiques
Travaux pratiques, cours, études de cas travaux dirigés
Contrôle des connaissances
QCM
Programme
Contenu de la formation
Jour 1 : Introduction aux principes de Protection des Données personnelles
Origine initiatique de la protection des Données à Caractère Personnel [D.C.P.]
Historique & genèse en France et en Europe de la P.D.P.
- La Convention n°108 de 1981
- La loi "Informatique & Libertés" originelle [I] de 1978
- La Directive Européenne de 1995
- La loi "Informatique & Libertés" transposée [II] de 2004
- Le Règlement Européen (R.G.P.D.) de 2016
- La loi "Informatique & Libertés" adaptée [III] de 2018
- L’ordonnance "Informatique & Libertés" de ré-écriture [IV] de 2018
Les fondements juridiques P.D.P. et imposés par le R.G.P.D.
- Les droits fondamentaux de la personne physique ou Personne Concernée [P.C.]
- Les principes généraux de P.D.P. et de Respect de la Vie Privée des Personnes Concernées
- Les principes génériques de "Privacy-by-Default / Design" versus "Security-by-Default / Design")
- Les notions de base au service de la P.D.P. (finalité, traitement, fichier, base légale)
- Les rôles et responsabilités des différents acteurs (R.T., S.T., D.P.D./D.P.O., A.P.D., etc.)
- Les droits des Personnes Concernées (droits originels L.I.L.-1 versus nouveaux droits issus du R.G.P.D.)
- L'exercice des droits par la Personne Concernée (vérification de l’identité, délai de réactivité, etc.)
- Les enjeux actuels du R.G.P.D. pour les Directions de T.P.E. / P.M.E. / M.G.E / T.G.E.
- Les enjeux financiers / marketing / juridiques / organiques / technologiques / techniques
- Les enjeux liés à la réputation-de-bonnes-pratiques et/ou à la sécurisation-des-actifs d’un organisme
Exercice d'application des devoirs & obligations liés à la P.D.P. et au R.G.P.D
Jour 2 : Exigences du Règlement Général sur la Protection des Données
Fondations basiques du Règlement Général sur la Protection des Données
Rôles et responsabilités des différents acteurs
- Les notions de "finalité des traitements" vis-à- des catégories de Personne Concernée [P.C.]
- Les rôle & responsabilités du "Responsable du Traitement" (R.T., co-R.T., délégation de pouvoirs)
- Les rôle & responsabilités du "Sous-Traitements" au sens du R.G.P.D. (S.T. et S.T. ultérieurs)
- Les rôle & responsabilités du "Délégué à la Protection des Données" et notion de lettre de mission
- L’obligation de tenue du Registre des Activités du Traitement et la notion de registre des violations
- Organisation en mode ‘projet’ versus structuration en mode ‘R.A.C.I.’ : avantages / inconvénients
Mise en œuvre des exigences liées à la P.D.P. et issues du R.G.P.D.
- Respect de l’exercice du droit de : information / accès / rectification / opposition / effacement [‘droit à l'oubli']
- Respect de l’exercice du droit de : portabilité / refus de décision toute automatisée / limitation du traitement
- Mise en œuvre des principes de : licéité-loyauté-transparence / limitation de finalités / minimisation de données
- Mise en œuvre des principes de : limitation des durées de conservation / exactitude / confidentialité-intégrité
- Responsabilisation vis-à-vis du respect de l’exercice des droits et en matière d’engagement de responsabilité
Travaux dirigés : mise en application des droits des P.C. et obligations des R.T.
Jour 3 : Déploiement d'un projet de mise en conformité au R.G.P.D.
Présentation organique des éléments de mise-en-conformité au R.G.P.D.
Préparation du projet de déploiement de la mise-en-conformité au R.G.P.D.
- Organisation du projet de mise en conformité et présentation du phasage préconisé par la C.N.I.L.
- Rôles et responsabilités au sein du projet de mise en conformité et traçabilité des décisions & orientations
- Phasage / activités / actions pour PLANIFIER le projet de mise en conformité vis-à-vis des exigences-R.G.P.D.
- Phasage / activités / actions pour DÉPLOYER le projet de mise en conformité vis-à-vis des exigences-R.G.P.D.
- Rôle implicite du(des) Responsable(s) du Traitement versus Rôle explicite du(des) Sous-Traitant(s)
- Rôle de coordinations / expertises / recommandations du Délégué à la Protection des Données [D.P.D./D.P.O.]
- Rôle du Resp. Sécurité des Systèmes d'Information (R.S.S.I.) / Resp. Plan de Continuité d’Activités (R.P.C.A.)
- Rôle[s] de Responsable[s] Sûreté-Innocuité / Qualité / Méthode / Organisation (exemple de normes associées)
Intégration du projet de déploiement de la mise-en-conformité au R.G.P.D.
- Définition et caractéristiques d'un système de management du risque au sein d’une organisation (sens large)
- Définition et caractéristiques d'une démarche d’appréciation des risques liés à la sécurisation de l’information
- Définition et caractéristiques d'une méthode d'appréciation des risques liés à la Protection des Données Pers.
- Définition et caractéristiques d'une étude / analyse d'impacts sur la Vie Privée / D.C.P. (E.I.V.P. ou A.I.P.D.)
Travaux pratiques : mise en application de projet de déploiement de conformité-R.G.P.D.
Jour 4 : Les activités de maintien de la conformité au R.G.P.D.
Présentation technique des éléments de maintien-en-conformité au R.G.P.D.
Préparation des activités de maintien-en-conformité au R.G.P.D.
- Définition générale d'une démarche générique d'amélioration continue Plan-Do-Check-Act
- Présentation succincte et appropriation basique de la norme ISO 9001 - S.M.Q.
- Définition appropriée d'une démarche spécifique d'amélioration continue appliquée à la S.S.I.
- Présentation succincte et appropriation basique de la norme ISO 27001 - S.M.S.I.
- Définition appropriée d'une démarche spécifique d'amélioration continue appliquée à la P.D.P.
- Présentation succincte et appropriation basique de la norme ISO 29100 - techniques sécurité et cadre privé
Intégration des activités de maintien-en-conformité au R.G.P.D.
- Rôle et responsabilités de la Direction Générale dans la démarche de mise en œuvre / maintien de la P.D.P.
- Rôle et responsabilités des Directions-métiers pour aider au déploiement / maintien fonctionnel de la P.D.P.
- Rôle et responsabilités des D.P.D. / R.S.S.I. / R.P.C.A. pour le déploiement / maintien opérationnel de la P.D.P.
- Phasage / activités / étapes pour la mise en place d'une démarche d'amélioration continue dédiée à la P.D.P.
- Mise en œuvre des phases de [re-] PLANIFICATION et [re-] DEPLOIEMENT de la P.D.P. déjà mise en place
- Mise en œuvre des phases de [re-] CONTROLE et de [re-] AJUSTEMENT de la P.D.P. déjà mise en œuvre
- Présentation succincte et appropriation basique de la norme ISO 27002 - guide de bonnes pratiques en S.S.I.
- Présentations détaillées des principes génériques de "Security-by-Default" et de "Security-by-Design"
Travaux pratiques : démarche d'amélioration continue et conformité R.G.P.D.
Admission
Condition d'accès
Personnes concernées :
- Responsables de projet ou consultants souhaitant préparer et soutenir un organisme dans la mise en œuvre des nouvelles procédures et l'adoption des nouvelles exigences présentées dans le RGPD, qui entreront en vigueur le 25 mai 2018
- CIL actuel chargés de la protection des données personnelles d'une entreprise et de la gestion de ses risques
- Conseillers en sécurité des données personnelles
- Personnels ou cadres techniques envisageant un poste de délégué de protection des données
- Des connaissances de base sur les exigences légales actuelles en matière de protection des données de la CNIL.
Prérequis :
Aucun
Si vous avez déjà suivi la formation "Bases d'application du RGPD", vous pourrez suivre uniquement les deux derniers jours de formation.
Contact(s)
Lieu(x) de la formation
- Toulouse
Contact(s) administratif(s)
Le centre de formation continue et professionnelle des Grandes Écoles d'Ingénieurs de Toulouse INP
