CESI École de Formation des Managers

DPO : Data protection officer

Pour qui ?

Toute personne concernée par le traitement de données à caractère personnel dans le cadre de son activité, et en particulier, les :
Correspondants « Informatique et libertés » (CIL) et Data Protection Officer (DPO)
Responsables fonctionnels et/ou techniques de la sécurité des systèmes d’information (RSSI)
Personnels d’encadrement
Référents SSI
Chefs de projets informatiques et utilisateurs (CPI / CPU)
Auditeurs
Gestionnaires de risques
Directeurs des systèmes d’information
Responsables juridiques

Pré requis

Aucun prérequis exigé

Niveau d'entrée

BAC

Durée

3 jours (dont 3 jours en présentiel)

Enseignement

Formation continue
La formation est partagée entre temps présentiel et apports en distanciel. Les jours initialement prévus en présentiel peuvent également être assurés 100% à distance selon les dates et les campus.

E-learning

Aucune modalité à distance n'est mise en œuvre.

Codes

WEB : INF115

Frais de formation

Ce module est une composante du programme du bloc de compétences racine.

Campus

Arras Dijon Le Mans Nancy Paris (La Défense & Nanterre) Reims Rouen Strasbourg

Appréhender les missions du DPO, et maitriser la boite à outils associée à cette fonction

Présentation

- Étude de l’impact sur la protection des données à partir d’outil fourni par la CNIL

Atouts pédagogiques

Objectifs

Acquérir les compétences nécessaires à la réalisation des missions du DPO
Maîtriser la boite à outils associée à cette fonction

Programme de la formation

Ce module est capitalisable dans les blocs de compétences suivants :

Partie pédagogique

Présentation générale de l’économie et de la philosophie du règlement

  • La notion de données personnelles
  • Les diverses sortes de données personnelles
  • La notion de traitement
  • Les acteurs (responsable de traitement, sous-traitant, tiers, destinataire, personne concernée, DPO)
  • Les grands principes nouveaux du règlement : Privacy by default, Privacy by design, PIA, certification ce que c’est, comment ça marche, comment le mettre en œuvre et les conséquences pratiques ?
  • Les organismes de contrôle et de régulation, leurs rôles

Mise en œuvre de la gestion des données personnelles

  • Identification des divers types de données
  • La collecte
  • L’information des personnes concernées et les autres droits des personnes concernées
  • Identification des traitements, la notion de traitement licite et les conditions du traitement licite
  • Identification des acteurs en pratique
  • Identification pratique des flux de données dans l’entreprise, le groupe, vers les tiers
  • La consultation préalable de la CNIL, quand, pourquoi ?
  • La démarche de conformité
  • L’export de données dans l’UE et hors UE
  • Les données personnelles et les contrats avec les fournisseurs, les clients

Fondations et étapes pour mettre en place le poste

  • Bâtir la fiche de mission du DPO (profil, rôle, positionnement, moyens, ressources)
  • Les conseils pour réussir sa mission (mise en valeur de la fonction, sponsoring)
  • Déclaration d’existence du DPO (interne, externe)

Positionnement et construction d’une culture de protection des données

  • L’écosystème du DPO (parties prenantes, relation avec la sécurité, conflit d’intérêt)
  • Écrire une politique de protection des données
  • Insuffler la protection des données dans les étapes projet (de la conception à la production)
  • Pseudonymisation, anonymisation, chiffrement en pratique
  • Élaborer un programme de sensibilisation à la protection des données personnelles
  • - Diffuser la culture, générer la confiance, valoriser les données
  • - Code de bonne conduite et charte de sécurité

Feuille de route, actions et outils pour la vie des traitements

  • Se construire une checklist et un plan d’action et mettre en place la gouvernance
  • Organiser les contrôles interne
  • Méthodologies d’audit et analyse des écarts
  • Identifier la méthodologie de projet adaptée et la mettre en place
  • Assister le responsable de traitement pour l’étude d’impact sur la vie privée (PIA-EIVP)
  • Gérer des données sensibles
  • Conduire un audit technique et organisationnel et son plan de remédiation
  • Bâtir une information sur le traitement en toute transparence pour le consentement
  • Illustrer avec les mentions sur les sites web
  • Bâtir un contrat de sous-traitance des traitements (obligations respectives)
  • Mettre en place le registre et la documentation nécessaire en cas de contrôle
  • Mettre en œuvre les procédures pour l'exercice du droit d'accès (construction des formulaires, modèles, nouveaux droits dont la portabilité et l’oubli)
  • Gérer les réponses aux droits d’accès
  • Que faire en cas de manquement (conseil, remédiation, alerte)
Plus…

Amélioration continue, conformité permanente

  • Construire un bilan des activités du DPO (tableau de bord, analyse des statistiques, mesures techniques et organisationnelles, présentation à la direction générale et aux métiers, perspectives)
  • Gérer la relation avec l’autorité de contrôle (les plaintes en ligne)
  • Identifier et mettre en œuvre les labels de gouvernance
  • Se doter d’outils pour la veille juridique et technique
  • Identifier et construire la relation avec les ressources externes du DPO : AFCDP, G29, CNIL, avocats…
  • Gérer la fin de mission du DPO

L'évaluation

Diplôme

Modalités d'admission

Admission dans le cadre du bloc de compétences.
La décision d’admission est communiquée au candidat sous un mois par CESI.

Pour plus d’informations concernant l’admission, rendez-vous sur le site CESI École de Formation des Managers ou contactez le campus souhaité pour connaître les places disponibles.