Formation - Conformité RGPD : comprendre, structurer, initier.
Définitions, concepts et impacts pour initier une démarche de conformité RGPD.
Comment identifier les données personnelles ? Quels sont les risques et les opportunités ? Comment s’assurer d’être en conformité avec le RGPD ?
Une journée de formation qui permettra de répondre à toutes ces questions, de comprendre, structurer et initier une démarche de conformité RGPD.
Le Règlement Général sur la Protection des Données vous paraîtra beaucoup plus clair après cette formation RGPD animée par un DPO certifié.
INTER
Formation dans nos centres
par stagiaire690 € HT
- Amiens ou La Rochelle
- 1 jour (7 heures)
INTRA
Formation dans vos locaux
à partir de1190 € HT
- Jusqu'à 12 stagiaires
- 1 jour (7 heures)
Public cible
Toute personne chargée de la mise en place d’une démarche de conformité professionnelle en entreprise, collectivité ou association.
Prérequis
Aucun
Objectifs
Comprendre les concepts du RGPD.
Expliquer les enjeux du RGPD dans son contexte professionnel.
Réaliser un état des lieux de la conformité de sa structure.
Initier une démarche adaptée.
Estimons votre besoin
Programme de la formation
Matin
Historique, grands principes et définitions clés, droits des citoyens et autorités de contrôle
Notion de risque, sanctions, et opportunités de la conformité.
Finalité et licéité d’un traitement, apports méthodologiques d’audit.
Après-midi
Accountability et documentation, transfert de données, destinataires, tiers autorisés, Introduction aux AIPD et au Privacy by design.
Rôle du registre, durées de conservation, cycle de vie de la donnée, la sous-traitance, les mesures de protection.
Évaluation des sous-traitants, sensibilisation et formation interne.
Méthodes mobilisées
Moyens Techniques
Présentation animée
Un support du cours au format diaporama diffuse les connaissances en rythme.
Supports physiques
Des documents cadres disponibles sur papier pour rendre le contenu concret.
Bases de connaissances
Un dossier de ressources pédagogiques partagé post-formation en toute sécurité.
Moyens Pédagogiques
Animateur expert
Un formateur pédagogue disposant d'une réelle expérience de consultant RGPD.
Méthodes adaptées
Des modules qui alternent entre méthode magistrale, active et interrogative.
Feedbacks réguliers
Un déroulé ponctué de quiz et questionnements des stagiaires par le formateur.
Financer votre projet de formation RGPD
OPT-ON est un organisme de formation certifié QUALIOPI. À ce titre, nos prestations sont éligibles aux financements des OPCO.
Évaluation et suivi de nos formations RGPD
Test de positionnement
Les stagiaires sont invités à répondre à un questionnaire visant à évaluer leurs connaissances en matière de protection de données, et recueillir les informations utiles pour le formateur.
Quand ?
En amont lors de la convocation, ou au lancement de la session.
Feedbacks
Le formateur questionne les apprenants au fil de la formation afin de s'assurer de leur compréhension des concepts issus du RGPD, et identifier les freins ou points de blocage.
Quand ?
Tout au long de la formation et quand un apprenant sollicite un complément.
Evaluation finale
Les apprenants répondent à un questionnaire visant à valider l'acquisition des connaissances et compétences diffusées en matière de conformité RGPD.
Quand ?
À la fin de la session.
Apports mesurés
Les stagiaires sont invités à s'exprimer sur la mise en pratique sur le terrain, afin de confirmer que la formation a permis d'initier la mise en conformité RGPD de leur organisation.
Quand ?
Dans les 45 jours.
Amélioration continue
La satisfaction des parties prenantes est recueillie, nos prestations comme nos processus sont analysés et mis à jour si nécessaire.
Quand ?
En permanence
FAQs Conformité RGPD
Il y a deux obligations liées à la formation interne :
- la ou les personnes en charge de la conformité doivent être formées. En cas de sanction de la CNIL, la compétence de la personne en charge de la conformité RGPD peut être considérée. Il est de la responsabilité de l'employeur de s'assurer des compétences.
- l'ensemble des employés manipulant des données personnelles doivent être "sensibiliser", c'est-à-dire que la relation employeur-employé doit être encadrée, et que les explications sur ce cadre ont été apportées. Par ailleurs, sensibiliser au RGPD est un outils au service de la cybersécurité.
La majorité des structures traitent des données à caractère personnel. Il y a de forte chance que vous soyez concernés par le RGPD :
- les activités de ressources humaines (ex : gestion de la paye),
- par la relation avec vos fournisseurs (ex : nom et prénom de vos contacts commerciaux),
- par la gestion des adhérents (ex : adhérents d’association, destinataires de newsletter),
- par les missions exercées en tant que sous-traitants, etc…
Le régime de déclaration, les formalités à réaliser auprès de la CNIL, n’existe plus.
Vous devez pouvoir prouver votre conformité avec le RGPD par une création de documents divers et variés :
- registres de traitements,
- contrats de sous-traitance à jour,
- politique de sécurité,
- politique de confidentialité.
Il faut a minima pouvoir attester d’une démarche dynamique, le chantier de mise en conformité pouvant durer plus ou moins longtemps.
Il s’agit du nouveau métier découlant de la nécessité d’organiser la mise en conformité avec le RGPD. L'acronyme reconnu par la CNIL est DPO (Data Protection Officer).
Le DPO est la personne ou l'organisme désigné auprès de la CNIL. Le simple fait nommer une personne à ce poste, sans réaliser la désignation officielle, ne permet pas à un organisme de prétendre "avoir un DPO".
La conformité RGPD prend du temps par l’approche de création documentaire et de contrôle périodique : selon la taille de la structure cela peut représenter un temps plein.
On dit de lui qu'il est le chef d’orchestre de la conformité RGPD, mais attention ce n’est pas un exécutant, c’est un pilote disponible pour conseiller les responsables et aider les employés à créer les preuves de la conformité. Ce n’est pas non plus le sous-traitant des risques liés à la non-conformité, le seul responsable reste le responsable de traitement.
Si vous avez plus de 250 employés, ou si vous êtes un établissement public ou un organisme investi d’une mission de service public, le DPO est obligatoire.
Si vous traitez des données dites « sensibles » (ex : sur la santé, l’appartenance syndicale), ou réalisez des traitements à grande échelle (ex : marketing digital), le DPO est probablement obligatoire également.
Indépendamment du caractère obligatoire, la désignation d'un DPO est de plus en plus recommandée par les autorités.
A priori non, car la conformité RGPD se construit au travers d’une démarche dynamique, et d’une création de documents. Tout cela peut être réalisé par une personne connaissant le sujet, les techniques de la gestion de projet, et avec des outils classiques de bureautique (traitement de texte, tableur). Mais il faut avouer que cela peut rapidement devenir chronophage.
Un logiciel devient pertinent selon la taille de la structure, lorsque la conformité concerne plusieurs responsables de services ou un groupe d’entreprises par exemple. Il favorise le travail collaboratif, l’analyse et le contrôle du chantier RGPD.
Un logiciel dédié peut également être pertinent selon la sensibilité des données traitées, la complexité des traitement de données à caractère personnel, et le nombre de tiers et de sous-traitants recensés.
Attention à ne pas confondre une solution de sécurité (antivirus ou sauvegarde) et un outil de travail collaboratif dédié au RGPD. Certaines solutions tentent de proposer un mix qui n'apporte qu'une vision partielle et peut créer un risque important (voir la notion de "conflit d'intérêts" ci-dessous).
Cela est même recommandé pour les plus petites structures.
Bien sûr, vous pouvez assumer la charge de travail, mais au détriment de votre cœur de métier.
Vous pouvez également confier cette tâche à l’un de vos employés qui dispose du temps et de la volonté d’apprendre à maîtriser le sujet, vous pourriez même désigner cette personne DPO auprès de la CNIL, mais en prenant soin d'assurer sa formation permanente, et qu’il n’y ait pas de conflit d’intérêt avec ses fonctions courantes.
Opter pour l’externalisation offre souplesse et objectivité.
Pour les organisations publiques, ou les grandes entreprises, le DPO interne est recommandé par Opt-on.
Elle concerne le DPO désigné auprès de la CNIL. Ce poste doit être libre d’agir en toute indépendance : ce ne peut donc pas être le dirigeant, ou tout autre personne occupant certaines fonctions. En effet, le DPO doit être capable de remettre en question certaines orientations afin de conseiller de manière neutre la direction.
Par exemple, le responsable du marketing pourrait être partagé entre son intérêt de développement commercial et les droits des citoyens.
Autre exemple, la sécurité informatique doit être questionnée par le DPO : un prestataire assurant la cybersécurité peut difficilement remettre en question la performance de ses produits de sécurité informatique, il ne devrait donc pas être désigné DPO.
Cette logique devrait s’appliquer également à la personne, ou au prestataire, en charge de la conformité, même s’il n’est pas nécessairement désigné Délégué à la Protection des Données auprès de la CNIL.
Les lignes directrices WP 243 du CEPD, la CNIL européenne, précisent même qu'un avocat offrant des prestations de DPO à un client, ne devrait pas être la même personne en charge de la défense de ce client, devant un tribunal, en cas de litige autour de ces questions. Ce sujet mérite donc toute l'attention des responsables.
Nous avons pu constater que certains prestataires en RGPD annoncent des DPO "validés par CNIL".
Cela nous paraît être un abus de langage. Un DPO peut être certifié par un organisme indépendant, qui a lui-même obtenu l'agrément de la CNIL pour faire passer des examens aux personnes. Le DPO n'est pas directement reconnu compétent par la CNIL.
Par ailleurs, une certification est valable trois ans, et peut être vérifiée facilement auprès de l'organisme certificateur.
Engagements qualité
