1 – Les principes de la protection des données à caractère personnel

• 1.1 Les sources
  • Évolution et mise en perspective des principes généraux applicables (loi informatique et Libertés, textes européens, genèse RGPD, droit comparé US)
  • Qu’est-ce que la CNIL ? Qu’est-ce que le CEPD ?

• 1.2 Les définitions essentielles
  • De quoi parle-t-on ? Notions de donnée à caractère personnel, traitement, responsable de traitement/sous-traitant, etc.

• 1.3 Le champ d’application
  • Champ d’application matériel du RGPD (la Directive 2016/680 dite Directive « Police », le secteur des télécom/commerce électronique)
  • Champ d’application territorial (l’autorité de contrôle « chef de file », les transferts de données hors UE/EEE, certifications/codes de conduite

• 1.4 Les grands principes
  • L’architecture complexe du RGPD
  • Les principes essentiels du RGPD (licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, etc.)
  • Conformité de l’écosystème (la qualification de responsable de traitement/sous-traitant ; accords contractuels)
  • Le registre de traitements

• 1.5 Les régimes spéciaux
  • Les données à caractère hautement personnel, les données relatives aux condamnations pénales ou infractions, catégories particulières de données, etc.
  • Le profilage
  • Les référentiels de la CNIL

• 1.6 Les droits des personnes
  • Droit à l’information, droit d’accès, droit de rectification, droit à l’effacement, droit d’opposition, etc.

2 – L’approche par les risques

• 2.1 Intégrer les principes de Privacy by design et by default
  • Les 7 piliers du Privacy by design
  • A quoi servent ces principes ?
  • Les outils de mise en oeuvre

• 2.2 Se donner les moyens d’assurer la sécurité
  • Les violations de données personnelles : notion d’intégrité, de disponibilité, de confidentialité… et d’accountability
  • Les sanctions en cas de manquement à la sécurité
  • Notions de mesures de sécurité et d’adéquation aux risques
  • Exemples de mesures de sécurité et de contre-mesures pour chaque type de violation
  • Les bonnes pratiques, etc.

• 2.3 Évaluer les risques et analyser l’impact de vos traitements sur les droits et libertés fondamentales (AIPD)
  • Qu’est-ce qu’une analyse d’impact ? Position de la CNIL
  • Contenu de l’AIPD
  • Appréciation du risque
  • Notion d’AIPD flash

• 2.4 Savoir notifier les violations de données personnelles
  • Genèse de l’obligation de notification
  • Modalités de la notification (qui, quand, comment ?)
  • Modalités de la communication aux personnes concernées

• 2.5 Anticiper les recours et préparer un contrôle par les autorités
  • Réclamations, recours, responsabilités
  • L’action collective, le droit à réparation
  • Se préparer à un contrôle de la CNIL (modalités, pouvoirs de la CNIL, sanctions)

3 – Mettre en œuvre la conformité

• 3.1 Nommer un DPO dans l’entreprise
  • Qualités, profil, statut

• 3.2 Mettre en place et/ou gérer la gouvernance de protection des données
  • DPO, contrôleur ou faiseur ?
  • Comité de pilotage, groupe de travail, etc.

• 3.4 Déployer une culture « Protection des données » dans l’entreprise
  • Notion, intérêt et structuration du Dossier de conformité
  • Sensibilisation des personnels

• 3.4 Recenser parallèlement les outils et livrables de gouvernance
  • Analyse de l’existant, veille globale
  • Accountability

• 3.5 Connaître son environnement et son écosystème
  • Cartographies

Examen de certification