Project Description

Avis de l’expert

Le nouveau règlement européen (GDPR) introduit l’obligation pour le responsable de traitement de démontrer le respect au règlement européen et au délégué à la protection des données (DPO) de réaliser une mission de contrôle. En outre, il confirme les autorités compétentes dans leur rôle de contrôle et l’application de sanctions administratives.

Cette formation vise à présenter la démarche à adopter dans le cadre d’un contrôle de conformité organisationnel au GDPR.

Objectifs de la formation

  • Décrire la démarche à entreprendre dans le cadre d’un contrôle de conformité organisationnel au GDPR
  • Dérouler un audit de contrôle organisationnel au GDPR
  • Se préparer à un contrôle de la CNIL

Public concerné

  • Auditeurs, DPO, Dirigeants, Responsables juridiques

Contrôle des acquis

Cette formation ne donne pas lieu à une évaluation formalisée des acquis. En fin de stage, une attestation de formation est remise au participant.

Pré-requis

Connaissance du nouveau règlement (GDPR).

Ville Dates
Paris 21 mars. 2019
Paris 8 juil. 2019
Paris 7 nov. 2019
Tarif Inter : 890€ HT
Renseignements et inscriptions
au +33 (0)3 87 62 06 00 ou par courriel via le formulaire de contact.

Programme

Durée : 1 jour (7 Heures)

Télécharger le programme

 

1. Rappel : Les nouveautés apportées par le GDPR

  • Les nouvelles obligations pour le responsable des traitements et pour les sous-traitants
  • Les nouveaux droits pour les personnes concernées

2. Contrôle de conformité au GDPR : organisation à prévoir

  • Rôle, missions et positionnement du DPO
  • Contrôle interne vs contrôle externe

3. Les points de contrôle de conformité

  • Rôles et responsabilités : les instances de décision, la séparation des tâches, les lettres de mission, traçabilité des décisions, ….
  • Politique de protection de la vie privée et des données à caractère personnel : structure documentaire, engagements du responsable de traitement et du sous-traitant, diffusion et communication de la politique, les chartes internes, sensibilisation, ….
  • Procédures internes : formalisation et communication des procédures, ….
  • Le respect des droits des personnes : consentement, mentions légales d’information, transparence lors de traitements de données à caractère personnel, délai de réponse aux demandes, traçabilité des demandes, …
  • Le respect des obligations du responsable de traitement : la tenue du registre, implication dans la politique de sécurité des données et du SI, les contrats avec les sous-traitants, la gestion des risques sur la vie privée (AIPD), la gestion des violations de donnée à caractère personnel, les relations avec l’autorité de contrôle, ….
  • Le contrôle de conformité des traitements : respect des principes de licéité, de durée de conservation des données, gestion du consentement, …..

 

4. Cas pratique

Présentation de la Checklist et des points de contrôle :

Chapitre II : Principes

Article 6 : Principes relatifs au traitement des données à caractère personnel

Article 7 : Conditions applicables au consentement

Article 9 : Traitement portant sur des catégories particulières de données à caractère personnel

Article 10 : Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions

Chapitre III : Droits des personnes

Article 12 : Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

Article 13 : Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

Article 15 : Droit d’accès de la personne concernée

Article 16 : Droit de rectification

Article 17 : Droit à l’effacement («droit à l’oubli»)

Article 18 : Droit à la limitation du traitement               

Article 19 : Obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement

Article 20 : Droit à la portabilité des données

Article 21 : Droit d’opposition

Article 22 : Décision individuelle automatisée, y compris le profilage

Chapitre IV : Obligations du responsable de traitement et sous-traitants

Article 24 : Responsabilité du responsable du traitement

Article 25 : Protection des données dès la conception et protection des données par défaut

Article 28 : Sous-traitant

Article 30 : Registre des activités de traitement

Article 32 : Sécurité du traitement

Article 33 : Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Article 34 : Communication à la personne concernée d’une violation de données à caractère personnel

Article 35 : Analyse d’impact relative à la protection des données

Article 36 : Consultation préalable

5. Synthèse et Conclusion

Déroulement du stage

La démarche d’audit proposée a été utilisée dans des cas réels d’entreprise. L’expérience du formateur lui permet de s’appuyer sur des exemples concrets facilitant les retours d’expérience.

Support de cours remis sur clé USB.