Parcours RGPD

PARCOURS

Module 1 : Fondamentaux de la protection des Données Personnelles.

Durée

2 jours (14H00)

Programme détaillé Module 1

Télécharger

  • Historique, contexte et enjeux, champ d’application du règlement
  • Le RGPD et la loi informatique et libertés
  • Exclusions et sujets connexes
  • Pour l’organisation interne
  • Dans le cadre des activités à destination des clients et autres tiers
  • La démarche d’autocontrôle obligatoire des organisations
  • Une donnée à caractère personnel au sens du RGPD c’est quoi ?
  • Identification des données personnelles
  • Les données nécessitant une vigilance particulière
  • Caractéristiques du consentement, pourquoi et pour qui
  • Le caractère explicite (notion d’Opt’in) ou non du consentement
  • La preuve du consentement
  • Qu’est qu’un traitement ?
  • Conditions de validité d’un traitement
  • Caractéristiques d’un traitement
  • La démarche de mise en conformité
  • La documentation de la conformité
  • Les autorités de contrôle, le rôle de la CNIL, l’Europe
  • Mettre en place un plan de communication dans son entreprise
  • Communiquer sur l’importance : modalités et contenu de l’information
  • Systèmes d’alerte et questionnement
  • La formation des collaborateurs comme élément constitutif de la démarche de mise en conformité.

PARCOURS

Module 2 : Droits des personnes et obligations des professionnels

Durée

1 jour (7H00)

Programme détaillé

  • Les droits renforcés
  • Les nouveaux droits
  • Les cas prévus par la loi
  • La justification
  • les 6 principes encadrant le traitement des DCP
  • Bien définir sa base légale de traitement
  • Les différents statuts de responsabilité
  • Comment identifier ses responsabilités
  • Responsabilité et responsabilités en cascade
  • La révision des contrats
  • La documentation de la conformité et la démarche d’audit
  • L’information des personnes et la gouvernance des DCP
  • Le respect du Privacy By Design, la protection et la confidentialité des DCP
  • La nomination d’un Délégué à la protection des Données
  • Les déclarations de failles de sécurité
  • Les études d’impact et méthodologie d’analyse
  • Réclamation auprès ou contre une autorité de contrôle
  • Recours juridictionnel contre un responsable de traitement ou sous-traitant
  • Actions de représentation et mandats
  • Amendes administratives
  • Condamnations pénales
  • Autres dispositifs

PARCOURS

Module 3 : les étapes de la démarche de mise en conformité.

Durée

1 jour (7H00)

Programme détaillé

  • La connaissance préalable des activités
  • L’approche des flux par processus métiers
  • Lister ses traitements par finalités et regroupements
  • Auditer le fonctionnement des sous-systèmes techniques et humains du SI
  • Recommander et préconiser
  • Identifier les sous-traitants à interroger
  • L’arbre de décision et la définition des chaînes de responsabilité
  • les questions à poser
  • Registre de responsable de traitement
  • Registre d’activités de traitement (sous-traitant)
  • Le contenu détaillé des registres
  • Les exceptions à l’obligation de tenue des registres
  • Conformité initiale et écarts,
  • Conformité dynamique et mise à jour
  • La gestion et l’identification des risques,
  • Les études d’impact,
  • La consultation de la CNIL
  • Plans d’action et priorités de mise en œuvre des mesures
  • La notification des failles de sécurité
  • Les procédures à mettre en œuvre.
  • La sensibilisation des salariés et collaborateurs
  • L’information des tiers et la politique de confidentialité
  • La mise en place d’une gestion des demandes d’exercice des droits des personnes
  • La révision des différents contrats
  • Intégrer le changement
  • Contrôler la conformité
  • Rester en veille
  • Les cas d’obligation de nomination d’un DPO
  • Les missions et tâches du DO
  • Quels avantages à déclarer un DPO auprès de la CNIL
  • Recourir à un DPO internalisé, externalisé ou mutualisé ?

Module 4 : cartographier et auditer ses traitements

Durée

2 jours (14H00)

Programme détaillé

  • Les différents traitements de données personnelles,
  • Les catégories de données personnelles traitées,
  • Les objectifs poursuivis par les opérations de traitement de données,
  • Les acteurs (internes ou externes) qui traitent ces données (prestataires sous-traitants, origine et destination des flux données,
  • Les éventuels transferts de données hors de l’Union européenne.
  • Qui a accès aux données
  • Quoi : quelles sont les données collectées
  • Pourquoi collectez-vous ces données
  • Comment traitez-vous les données
  • Où sont stockées les données
  • Combien de temps sont conservées les données
  • Rencontrer les services et les entités qui traitent des données personnelles
  • Etablir la liste des traitements par finalité principale et les types de données traitées
  • Recenser les sous-traitants qui interviennent sur chaque traitement
  • Déterminer à qui et où les données sont transmises
  • Savoir ou sont stockées vos données
  • Identifier combien de temps doivent-être conservées ces données.

Module 5 : créer et alimenter ses registres

Durée

1 jour (7H00)

Programme détaillé

Comment valider la liste des traitements à retenir : quels critères de regroupement

  • Le Statut de responsabilité à retenir
  • L’importance de la base légale
  • Le raisonnement par objectifs, les finalités et sous-finalités de traitement
    • Le rôle des destinataires et intermédiaire
    • La place des outils et services liés
  • La Clarté des flux et processus liées au traitement

Décrire les Données Personnelles et sensibles

  • Les catégories
  • Les délais de conservation

sur les catégories de « Personnes concernées » 

  • Directes
  • Indirectes

savoir bien identifier les différents « Destinataires » des traitements

  • Les acteurs internes
  • Les acteurs externes actifs ou passifs

Décrire les mesures de sécurité techniques et organisationnelles

  • Les types mesures de sécurité technique
  • Les mesures de sécurité organisationnelles les plus courantes
  • Quelle place pour la cybersécurité

Focus : les transferts hors UE

  • Les transferts compatibles et justification des transferts,
  • Garanties apportées par les codes de conduite et les mécanismes de certification

Documenter et sourcer la conformité

  • Traiter les sources liées la base légale de traitement
  • Les sources liées au RGPD
  • Le RGPD et les autres sources de Droit national et international
  • Les sources internes

Module 6 : gérer ses clients et prospects avec le RGPD

Durée

1 jour (7H00)

Programme détaillé

Entre autres sources de droit sur la protection des données et la vie privée, il existe une forte complémentarité ente ces deux réglementations sur la protection des données personnelles et l’harmonisation de la gestion des cookies dans l’Union Européenne.

  • Le RGPD, la prospection commerciale et la notion de consentement
  • Informer et recueillir le consentement de vos clients et prospects, personnes
  • Les exceptions à la notion de consentement
  • Quel contenu et légitimité sont attachés à votre fichier clients et prospects au regard du RGPD
  • Focus : le fichier mauvais payeurs
  • Modalités de communication publicitaire selon les destinataires
  • Spécificités de la publicité commerciale à destination des particuliers (BtoC)
  • Spécificités de la publicité commerciale à des organisations (BtoB)
  • Principes à respecter pour la transmission des données à des partenaires commerciaux ou à des courtiers de données.
  • Le cas particulier de la prospection commerciale des enfants

Les particularités à retenir selon les formats de prospection utilisés lors de la démarche publicitaire

  • La publicité par voie électronique,
  • La publicité par voie postale
  • La publicité, prospection par téléphone,
  • La prospection commerciale par SMS et MMS
  • Autres approches

Précisions sur certains traitements touchant à la protection des données personnelles de vos clients et prospects 

  • Si vous avez un site vitrine
  • Si vous avez un site e-Commerce
  • Si vous avez mis en place une vidéo surveillance dans votre commerce ou établissement
  • Si vous communiquez et échangez des messages et/ou documents par email

Professionnels, les mentions inclure dans un message publicitaire

  • Envers un client ou prospect
  • Envers un particulier ou une entreprise

Gérer les demandes d’exercice des droits de vos clients et prospects

  • Comment répondre aux sollicitations de vos clients et prospects
  • Quelles procédures mettre en place pour l’exercice des droits