Description du projet

Formation Comment concevoir son référentiel documentaire

Comment concevoir son référentiel d’accountability

Avis de l’expert

Le cadre légal en matière de protection des données à caractère personnel a considérablement évolué avec l’adoption par le parlement européen (le 24 mai 2016) du nouveau Règlement Général de Protection des Données à caractère personnel (RGPD).

Entré en vigueur le 25 mai 2018, le RGPD impose aux responsables de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que les traitements sont effectués conformément au règlement.

Cette formation vise à expliquer comment réaliser son référentiel d’accountability permettant de démontrer le respect des obligations qui incombent aux responsables de traitement.

Objectifs de la formation

  • Comprendre le principe d’accountability et les bonnes pratiques destinées à encadrer les traitements de données personnelles
  • Concevoir son propre référentiel documentaire adapté et personnalisé
  • Appliquer concrètement le principe d’accountability

Public concerné

DPO, Responsable de traitements, ou toute personne dont la mission est d’assurer le respect de la protection des données personnelles au sein de son organisation publique ou privée.

Pré-requis

Avoir une bonne connaissance du RGPD et la loi Informatique et Libertés modifiée (ex. : avoir suivi le MOOC de la CNIL)

Les plus de cette formation

  • Les échanges entre participants et l’expérience du formateur facilitent les retours d’expérience.
  • Cette formation ne fait pas l’objet d’une évaluation des acquis.
  • Support de cours remis sur clé USB ou lien de téléchargement.

Accessible en présentiel et en distanciel.

Ville Dates
sur demande
Tarif Inter : 890€ HT
Renseignements et inscriptions
au +33 (0)3 87 62 06 00 ou par courriel via le formulaire de contact.

Programme

Durée : 1 jour (7 Heures)

1. Responsabilités du responsable de traitement au titre de l’article 24 du RGPD

  • La preuve de la mise en œuvre des mesures organisationnelles et techniques au regard des risques pour les droits et les libertés des personnes concernées
  • La preuve de l’adéquation des mesures organisationnelles et techniques au regard des risques pour les droits et les libertés des personnes concernées

2. Eléments démontrant le respect des droits des personnes concernées

  • Les modèles des principales clauses d’information et de recueil du consentement
  • Liste des documents disposant de clauses légales d’information (formulaire papier, formulaire en ligne) à destination des clients et des personnels
  • Kit « mentions légales » à destination des chefs de projet afin d’une intégration de mention conformes dès la conception d’un projet (mise en œuvre d’un nouveau traitement)
  • Les traces de consentement ou de retrait de consentement
  • Les consentements explicites (signés) par les personnes concernées doivent être conservés dans une base de données centralisée
  • Un registre des renoncements au consentement doit être conservé
  • La documentation relative à la gestion des demandes des personnes concernées
  • Courriers des demandes provenant des clients ou des partenaires et des personnels
  • Traces permettant de justifier la recevabilité ou non de la demande
  • Traces des compléments d’information demandés par écrit (avec les réponses du demandeur) (ex. justificatifs d’identité, précision sur le périmètre de la demande)
  • Copie des dossiers de réponse
  • Traces des mises en demeure de la CNIL
  • Registre central de suivi des réclamations
  • Notification des destinataires des données à caractère personnel des demandes de rectification, d’effacement ou de limitation au traitement de données à caractère personnel
  • Registre des notifications aux destinataires
  • Les courriers justifiant les notifications aux destinataires
  • Les courriers attestant la prise en compte des demandes par les destinataires
  • Les courriers transmis aux personnes concernées les informant de la notification aux destinataires

 

3. Eléments démontrant le respect des obligations de cartographie des traitements (registre des traitements)

  • Registre des traitements en tant que RT
  • Fiches de déclaration d’un traitement
  • Fiches de suppression / modification d’un traitement
  • Justificatifs relatifs à la suppression ou modification d’un traitement
  • Registre des traitements contenant à minima les éléments imposés à l’art 30 §1 du RGPD
  • Registre des traitements en tant que sous-traitant (pour les entités considérées comme sous-traitant)
  • Fiches de déclaration d’un traitement
  • Fiches de suppression / modification d’un traitement
  • Justificatifs relatifs à la suppression ou modification d’un traitement (fin de contrat de sous-traitance, modification du périmètre de sous–traitance, …)
  • Registre des traitements contenant à minima les éléments imposés à l’art 30 §2 du RGPD

4. Eléments démontrant le respect des obligations en matière de désignation du DPO

  • Fiche de mission signée par le représentant légal
  • Fiche de poste/mission du DPO validée par le service RH
  • Récépissé de la CNIL attestant la désignation du DPO
  • Note de la Direction Générale informant les personnels de la désignation d’un DPO

5. Les éléments permettant d’établir que le DPO fait régulièrement rapport de ses missions au niveau le plus élevé de la direction

  • Bilan annuel du DPO remis au représentant légal du groupe
  • Traces des échanges (mail, CRR) avec le CODIR sur le sujet RGPD notamment concernant des alertes ou des conseils du DPO.
  • Planning des échanges avec le plus haut niveau de hiérarchie

6. Les qualifications professionnelles du DPO

  • Attestation de participation aux ateliers de la CNIL
  • Attestation de participation aux ateliers de l’AFDCP
  • Attestation de participation à des formations sur le sujet
  • Attestation de participation à des conférences

 

7. Eléments démontrant les échanges réguliers avec l’autorité de contrôle

 

8. Eléments démontrant le respect des obligations dans le cadre de relations avec des partenaires (responsables conjoints ou sous-traitants)

  • Les contrats avec les sous-traitants participant au traitement de DCP
  • Les accords avec les responsables conjoints

 

9. Eléments démontrant la mise en place de politiques de protection des données à caractère personnel

  • La politique interne de protection des données
  • La politique de conservation des DCP
  • Les PV d’effacement de DCP
  • Sensibilisation / formation des personnels
  • Procédures formalisées
  • La politique de sécurité des systèmes d’information (SI)
  • La politique de gestion des habilitations et des accès
  • Les plans de test visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles

10. Eléments démontrant la prise en compte du RGPD dans les projets

  • Relevé de décisions pour les traitements de DCP des projets
  • Les analyses d’impact réalisées, y compris leurs mises à jour
  • Les raisons ayant conduit à ne pas réaliser d’analyse d’impact
  • Les règles de revue des AIPD

11. Eléments démontrant la gestion des violations de données

  • Les notifications en cas de violation de DCP
  • Les éléments justifiant la non-communication aux personnes concernées en cas de violations de données personnelles

12. Eléments démontrant la prise en compte des exigences du RGPD en matière de transferts de données transfrontaliers

 

13. Eléments démontrant la mise en place d’un plan de contrôle de conformité au RGPD