Tout savoir sur le DPO : missions et formations

Depuis l’entrée en vigueur du règlement général pour la protection des données personnelles ou RGPD, les entreprises ou administrations doivent faire appel à un DPO ou Data Protection Officer. Dans cet article vous allez découvrir ses missions et les formations à suivre pour devenir un DPO.

Qu’est-ce qu’on entend réellement par DPO ?

Le délégué à la protection des données est par définition la personne en charge de la protection des données personnelles dans une structure privée ou publique. En effet, le DPO a un rôle très important dans l’application des mesures proposées par le RGPD. Son rôle principal étant d’assurer la conformité au règlement européen concernant la protection des données pour les traitements mis en œuvre dans une entreprise.

Pourquoi mettre en place un DPO ?

Le délégué à la protection des données a pour premier objectif de faire respecter le droit des données personnelles au sein d’une entreprise de toute forme. Il remplit plusieurs fonctions prévues par le RGPD comme celle d’informer les collaborateurs dans un organisme. Il va également contrôler le respect des règlements, du droit national et européen en matière de protection des données personnelles et répond aux questions des personnes concernées tout en assurant les communications avec la CNIL.

Comment s’exercent les fonctions du DPO ?

Le DPO doit garantir les droits et les libertés fondamentaux des personnes dont les données ont été collectées et traitées dans un organisme. Il doit tout faire pour que l’exercice des missions du Data Protection Officer se fasse dans les meilleures conditions. L’entreprise doit ainsi octroyer des moyens suffisants et assurer l’indépendance du DPO dans ses fonctions.

En quoi consistent les missions du DPO ?

Le DPO doit d’abord s’assurer de la mise en conformité de l’entreprise au RGPD. Il remplit également d’autres missions comme :

  • cartographier les traitements de données personnelles ;
  • participer à l’élaboration d’un règlement interne pour protéger les données ;
  • faire un recensement des activités en lien avec le traitement des données de l’organisme.

Dans quelle mesure la responsabilité du DPO est engagée ?

La responsabilité du DPO peut être engagée en cas de non-conformité au règlement général pour la protection des données personnelles. Il sera tenu co-responsable avec le responsable du traitement ou le sous-traitant le cas échéant. Cependant, il n’a pas de pouvoir de décision concernant les moyens de traitement des données. À noter qu’il est indépendant par rapport aux autres collaborateurs de l’entreprise. Dans ce cas, le responsable du traitement ne peut pas le suspendre de ses fonctions.

Dans quels cas le DPO est obligatoire ?

Le RGPD rend obligatoire la désignation du DPO dans des structures précises comme :

  • les autorités publiques sauf les juridictions dans leurs fonctions juridictionnelles ;
  • les organismes qui ont une activité de suivi régulier des personnes de grande ampleur ;
  • les organismes qui traitent des données sensibles concernant des condamnations pénales.

Quant aux entreprises qui traitent les données personnelles, la désignation du DPO est simplement recommandée, mais pas obligatoire.

Les conditions de désignation du DPO

Pour désigner un DPO, il faut qu’il ait les compétences demandées. Il doit également disposer de moyens suffisants pour accomplir ses missions et agir en toute indépendance.

Sa désignation se fera sur le site web de la CNIL avec des informations comme le numéro SIREN et ses coordonnées.

Formation pour devenir DPO

Avec l’entrée en vigueur du RGPD, le métier de DPO a connu un essor important. Comme de nombreuses offres d’emploi sont proposées sur le marché du travail, les professionnels doivent se former à cette fonction.

La formation est-elle obligatoire ?

Selon le RGPD, le DPO est désigné sur la base de certaines qualités professionnelles en particulier sur les connaissances spécialisées en matière de protection des données personnelles. Ainsi, il n’y a pas de formation obligatoire par rapport à ce métier puisqu’il n’est pas une profession réglementée comme celle d’avocat ou de notaire.

Les différents types de formation

La première formation en ligne est celle de type MOOC pour acquérir les fondamentaux et pratiques en lien au RGPD vous permettant de connaitre les bases de la mission du DPO.

Les formations webinaires donnent accès à des outils pédagogiques pour augmenter vos compétences tandis que les formations en présentiel proposées par des organismes spécialisés. La durée de ce type de formation varie de 2 à 15 jours. La seule condition est d’avoir une expérience professionnelle dans le domaine du droit ou l’informatique.

La certification est-elle obligatoire ?

Il a deux types de certification :

  • la certification de l’organisme de formation agréé par la CNIL comme Adaliance qui propose une formation RGPD et DOPO certifiantes ;
  • la certification de la formation.

Cependant, il existe des formations non certifiantes comme celles proposées par un MOOC. Vous pouvez quand même devenir un DPO avec ce type de formation sans certification. Dans tous les cas, il est recommandé de privilégier les formations DPO certifiantes dont la durée de validité d’une certification est de 3 ans.

La mise en conformité RGPD : un enjeu majeur pour les associations

Comme beaucoup de structures, l’association La Vie à Domicile a découvert le RGPD (Règlement Général sur la Protection des Données) en 2018. Elle a rapidement pris conscience de l’importance majeure de la mise en conformité RGPD tout en ne sachant pas véritablement les processus à mettre en place pour y parvenir.

Étant un organisme certifié, La Vie à Domicile avait déjà en son sein une Responsable/Chargée de qualité qui était habituée à faire de la documentation, rédaction et suivi de procédure. Toutefois, cette dernière ne connaissait pas spécialement au niveau juridique les outils et les démarches applicables relatifs au RGPD.

C’est ainsi que la Vie à Domicile a fait appel à ADALIANCE en 2019 pour un consulting RGPD et bénéficier de la mise à disposition d’un DPO externalisé afin de l’aider à mettre en œuvre la réglementation dans leur structure.

 

Accéder à l’étude de cas

Cyber protection & sécurité des données : un enjeu vital pour la FIDH

Travaillant sur de la documentation de violations des droits humains, la FIDH est pleinement consciente des réels dangers auxquels s’exposent les défenseurs de la fédération en détenant et en traitant dans l’exercice de leurs fonctions des données sensibles. Des données qui doivent être précieusement tenues à l’abri d’éventuelles intrusions, violations et cyberattaques.

 

Dans ce contexte, un « guide de survie en ligne » a été conçu pour permettre aux équipes de prendre connaissance des dangers et d’avoir un certain nombre d’outils concrets pour s’équiper et se former. Afin de promouvoir le contenu de ce guide de survie et aller plus loin dans la prévention, la direction a fait appel à ADALIANCE pour mener une formation conduite et animée par un expert en cybersécurité.

 

Accéder à l’étude de cas

ASQUA BTP : Mise à disposition d’un DPO

Faisant partie du groupe ASQUA, ASQUA BTP est un spécialiste des assurances du BTP. Il se positionne en tant que courtier qui accompagne les entreprises de construction, maîtres d’ouvrages, dans leurs démarches de gestion de risques, d’assurances et de sinistres du secteur du BTP.

Étant une profession réglementée avec un certain nombre d’obligations de conformité, ASQUA BTP, bien qu’ayant déjà en interne une expertise juridique, a eu le besoin de solliciter l’accompagnement d’un prestataire externe spécialisé pour les aider dans leur démarche de mise en conformité RGPD.

C’est ainsi qu’en 2018, l’entreprise a fait appel à ADALIANCE afin de se mettre en conformité avec le RGPD sur :
• La protection des données personnelles de ses employés et de ses quelques clients particuliers.
• La gestion et protection des données personnelles des professionnels et particuliers inscrites dans les contrats de garantie décennale dans le cadre de sinistres de construction.
ADALIANCE tient depuis 2018 le rôle de DPO « Data Protection Officer » ou Délégué à la protection des données
au sein du groupe ASQUA.

 

Accéder à l’étude de cas

Livre blanc : Conformité RGPD et cyber menaces

Comment se mettre en conformité avec le RGPD et protéger son entreprise contre les cyber menaces ?

Le 27 avril 2016, le Parlement européen et le Conseil ont adopté un Règlement Général sur la Protection des Données à caractère personnel (RGPD). Ce règlement est entré en application depuis le 25 mai 2018. Depuis cette date, tous les organismes (administration, entreprises, associations) doivent être en conformité avec les nouvelles règles.

Notre proposition pour vous accompagner dans votre mise en conformité RGPD :
• Audit et état des lieux
• Mise en conformité
• Formation des collaborateurs, des managers
• Formation du DPO
• Mise à disposition d’un DPO externalisé

Nous vous accompagnons également sur vos enjeux de cyber-sécurité à travers les
actions suivantes :
• Sensibilisation et formation à la cyber sécurité
• Diagnostic de cybersécurité, pen-test
• Benchmark Cybersécurité
• Evaluation et modélisation des cybermenaces
• Exécution de programme d’audit intrusif interne et externe
• Revue des politiques de sécurité
• Gestion des risques
• Stratégie cybersécurité
• Politiques de sécurité

Pour en savoir plus sur nos actions de mises en conformité, lisez notre livre blanc !

 

Téléchargez le livre blanc

Les modalités de mise en conformité RGPD

Si vous n’avez pas accompli les démarches pour la mise en conformité au règlement général sur la protection des données (RGPD), il faut savoir que la période de grâce accordée par la CNIL s’est terminée fin mars 2021. La mise en conformité en question doit donc être une priorité pour les entreprises pour éviter les sanctions. Cet article va vous aider à comprendre les différentes étapes à suivre pour la mise en conformité RGPD.

Recensement des traitements des données

Le RGP impose à votre entreprise d’avoir un responsable de traitement de données. Ce dernier doit avoir une vision globale de l’ensemble des données personnelles collecté et traité au sein de l’organisme privé ou public. Le registre est tenu, en principe, par le délégué à la protection des données ou DPO. Sa mise en place étant prévue par le RGPD. Il va ainsi recenser :

  • les informations concernant le responsable du traitement et le DPO ;
  • la finalité poursuivie pour chaque traitement de données ;
  • les catégories de personnes concernées par la collecte ;
  • les personnes habilitées à avoir droit à l’accès des données et à qui elles seront transférées ;
  • la durée de conservation des données en archive ;
  • les mesures de sécurité ;
  • les transferts de données personnelles en dehors de l’Union européenne.

Pour assurer la mise à jour des données, il faut être en contact permanent avec toutes personnes de la collectivité qui peuvent traiter les données.

Effectuer un tri des données

Avec le registre des fichiers, vous pouvez traiter la pertinence des données et l’objectif poursuivi. En effet, les données doivent nécessairement être liées à vos activités. Vous pouvez, pendant cette étape de tri, va améliorer vos pratiques notamment en minimisant la collecte de données en éliminant les informations inutiles. Le RGPD impose de redéfinir la personne qui pourra accéder aux données dans votre entreprise. Il est également important de définir les modalités d’effacement ou d’archivage automatique.

Le registre doit aussi vous permettre de vérifier la nature des données traitées pour prendre des mesures de sécurité adaptées aux risques spécifiques. De plus, vous devez prendre l’engagement de ne pas conserver les données au-delà de ce qui est nécessaire en fixant précisément cette durée de conservation.

Permettre aux administrés d’exercer leurs droits

Avec le nombre croissant de plaintes au niveau de la CNIL, il est indispensable dans la mise en conformité au RGP de prendre des mesures pour permettre aux administrés d’exercer leurs droits.

Informer les personnes lorsque vous traitez leurs données personnelles

Quand les données personnelles sont recueillies et traitées sur un formulaire ou un téléservice, vous avez l’obligation d’informer les personnes concernées des conditions d’utilisation de leurs données et de leurs droits. L’entreprise doit ainsi fournir des informations concernant :

  • les coordonnées du responsable du traitement ;
  • la finalité de la collecte des données, ce qui vous autorise à faire le traitement ;
  • le consentement des personnes propriétaires des données ;
  • la durée de conservation des données ;
  • l’existence d’un sous-traitant ;
  • le transfert des données dans un pays hors de l’UE ;
  • la protection des données.

A noter qu’il est recommandé de donner ces informations en fin du formulaire en ligne notamment dans la partie politique de confidentialité.

Faciliter l’exercice des droits par les administrés et agents

Les agents, administrés et prestataires, ont des droits sur leurs données personnelles. Le RGPD vous oblige à permettre à ces personnes d’exercer leurs droits :

  • le droit d’accès aux informations que vous détenez sur eux ;
  • le droit de rectification, c’est-à-dire la modification de leurs informations ;
  • le droit de faire opposition sur l’utilisation des informations détenues par votre entreprise ;
  • le droit à la portabilité avec la possibilité de récupérer leurs données sur un format ouvert et lisible par machine ;
  • le droit à la limitation sur leurs informations personnelles.

Il faut savoir que ces droits consacrés par le RGPD ont chacun leurs exceptions et leurs limitations en fonction de la base légale de traitement ou du contexte.

L’obligation de recueillir le consentement RGPD

C’est une obligation prévue par le règlement général sur la protection des données. En effet, ce consentement va autoriser le traitement des données personnelles. Il est défini par le RGPD comme une manifestation de volonté libre et éclairée non équivoque. En d’autres termes, la personne accepte par un acte positif le traitement de ses données. Le RGPD ajoute des garanties complémentaires concernant le consentement comme le droit au retrait, la preuve du consentement apportée par le responsable du traitement. Dans ce cas, la CNIL peut recommander la tenue d’un registre des consentements.

La sécurisation des données

Le risque zéro est impossible dans le domaine informatique, cependant, vous devez prendre les mesures nécessaires pour le limiter. La protection consiste à réduire les risques de perte ou de piratage. Il est donc impératif de prendre des mesures préventives comme la mise à jour des antivirus ou des logiciels de manière périodique. Les failles de sécurité peuvent donc avoir des conséquences sur les personnes propriétaires des données et votre entreprise.

Formation RGPD : en quoi ça consiste réellement ?

Depuis 2018, le RGPD ou Règlement Général sur la Protection des Données s’applique à l’ensemble des entreprises se trouvant sur le territoire de l’Union européenne qui collecte ou stocke des données personnelles. Dans ce cas, une formation en RGPD est une nécessité pour se conformer à la nouvelle réglementation. En effet, une simple déclaration à la CNIL n’est plus suffisante. Dans cet article, vous allez découvrir en quoi consiste cette formation.

Les raisons de suivre une formation RGPD

Que vous soyez un étudiant, un salarié, un demandeur d’emploi ou un chef d’entreprise, voici les principales raisons de suivre une formation RGPD.

Pour des raisons juridiques

La première raison est qu’il faut impérativement respecter la loi. Le RGPD s’applique aux PME, grandes entreprises, associations, organismes publics, e-commerçant. Ce sont des secteurs d’activités qui recueillent plusieurs millions de données personnelles à l’aide d’un site internet, par exemple. Ils ne doivent pas ignorer la loi et doivent s’y mettre en conformité. Ainsi, chaque programme de formation doit aussi s’adapter à chaque type de public.

Des sanctions en cas de non-respect du RGPD

Les sanctions prévues par la CNIL sont lourdes, car elles peuvent atteindre 20 millions d’euros et 4 % du chiffre d’affaires annuel de l’entreprise.

Plusieurs critères sont pris en compte pour déterminer le montant des amendes comme la gravité de l’infraction, le type de données collectées et l’intention fautive de l’organisme, négligence ou violation volontaire.

Les mesures prises pour atténuer les fautes et se mettre en conformité sont aussi des facteurs importants pour fixer les amendes.

Une formation RGPD à distance

Les formations à distance ou en ligne sont faites pour les personnes voulant apprendre à leur rythme. Elles peuvent ainsi se faire sous forme de vidéo, de visioconférences complétées par des supports pédagogiques sous forme électronique.

Vous devez ainsi avoir un support de navigation comme une tablette, un smartphone ou un ordinateur connecté à internet pour rejoindre une formation en ligne.

En quoi consiste la formation RGPD ?

La formation RGPD a plusieurs objectifs notamment une meilleure compréhension de cette réglementation. Pour y arriver, il est important de connaitre les personnes concernées et le contenu de celle-ci.

À qui s’adresse la formation RGPD ?

La formation RGPD s’adresse aux collaborateurs internes d’une entreprise concernée par le traitement de données personnelles comme les ressources humaines, marketing, comptabilité et informatique. Les dirigeants, les responsables juridiques et DPO entrent également dans la sensibilisation RGPD. Les sous-traitants de l’entreprise doivent aussi respecter le Règlement Général sur la Protection des Données. À noter qu’aucun prérequis n’est demandé pour pouvoir suivre la formation.

Les objectifs de la formation RGPD

Les objectifs pédagogiques de la formation sont de :

  • comprendre les enjeux du RGPD par rapport au fonctionnement des entreprises ;
  • maîtriser les formalités obligatoires du RGPD ;
  • mettre le RGPD en pratique ;
  • désigner un DPO : délégué à la protection des données ;
  • connaitre les caractères juridiques du RGPD ;
  • comprendre les sanctions encourues.

Le programme de formation RGPD

Le programme de formation RGPD se divise en plusieurs parties qui sont :

  • l’introduction au RGPD c’est-à-dire l’historique et la présentation ;
  • les notions essentielles sur la protection des données notamment le principe de la minimisation du traitement et transparence ;
  • les obligations en lien avec le RGPD dont la nomination DPO, la mise en place d’un registre d’activités ;
  • l’analyse de l’impact du traitement des données notamment les normes de sécurité et la gestion des droits des personnes ;
  • les exercices et les évaluations par rapport à la progression pédagogique du participant.

Les conditions pour obtenir une certification DPO

Pour passer l’examen de certification DPO, il faut justifier d’une expérience professionnelle de deux ans au moins ou d’avoir suivi une formation de 35 heures sur la protection des données.

Vous pouvez également faire certifier vos compétences de DPO auprès d’un organisme agréé par la CNIL comme ANFOR certification.

Quant à l’examen, il se fait sous forme de QCM pendant deux heures. Pour réussir cet examen en question, le candidat doit avoir un score de 75 %, avec un minimum de 50 % de bonnes réponses sur la réglementation, la responsabilité et la sécurité.

Recourir à des prestataires ayant une certification de la CNIL

Pour garantir la qualité de la formation RGPD les prestataires doivent respecter un référentiel de critères fixés par la CNIL. Ainsi, le respect de ces critères permet d’avoir :

  • des compétences définies par la CNIL ;
  • des contenus de formation mise à jour ;
  • des intervenants mobilisés selon leur capacité à répondre aux objectifs de la formation.

Il faut savoir que le référentiel comporte plusieurs critères divisés en thématiques. A titre d’exemple, l’identification des besoins des intervenants, les conditions de réalisation et de la conception de la formation.

Pour conclure, d’autres organismes ont une certification Bureau Veritas en raison de leur compétence approfondie concernant les techniques et la législation sur la protection des données personnelles. Dans tous les cas, pour votre formation certifiante rgpd, il est recommandé de faire appel à un prestataire reconnu comme Adaliance.

RGPD : de quoi s’agit-il ?

Le RGPD a pour but de protéger les données personnelles. En effet, avec le développement des technologies, les informations vont circuler plus facilement entre différents acteurs comme les organismes publics ou privés. Il est donc devenu indispensable à l’échelle européenne de mettre en place un règlement général sur la protection des données. Mais de quoi parle-t-on réellement ?

Que signifie RGPD ?

Le RGPD ou Règlement général sur la Protection des Données est un texte européen entré en vigueur en mai 2018. Son objectif principal est d’encadrer de la même manière tous les traitements de données à caractère personnel en Europe. Néanmoins, il reprend plusieurs dispositions de la loi CNIL ou informatiques et libertés de 1978. Une réglementation qui est déjà dans la législation européenne.

Quant à l’entrée en vigueur du RGPD sur le territoire européen, elle s’est faite en deux étapes. D’abord, le 14 avril 2016 avec l’adoption du texte par le parlement européen et sa promulgation au Journal Officiel quelques jours après. Cependant, son application au niveau de chaque pays a été décalée de deux ans pour 2018. C’est une période durant laquelle les organismes étatiques ou privés en charge du traitement des données personnelles se préparent et adaptent les dispositions du RGPD.

Ainsi, depuis le 25 mai 2018, le non-respect du Règlement général sur la Protection des Données va entrainer des sanctions.

Les sanctions en cas de non-respect du RGPD

Le non-respect des règles du RGPD expose les organismes contrevenants à des sanctions de différentes natures :

  • Des mesures correctrices pour compléter les sanctions administratives. Dans ce cas, la CNIL pourra délivrer un avertissement, une mise en demeure, ou une suspension temporaire.
  • Les sanctions administratives prononcées par la CNIL en fonction de la gravité et la durée de la violation. Des amendes sont fixées.
  • Les sanctions pénales sont prises par les États membres. En France, elles sont prévues par le Code Pénal pour détournement de finalité du traitement des données.
  • La condamnation au versement de dommages et intérêts pour l’organisme à l’origine de la violation du RGPD.
  • La publicité de la violation commise par l’entreprise ordonnée par la CNIL.

RGPD : qui est concerné ?

En principe, le Règlement général sur la Protection des Données s’applique à toutes les formes d’organisation qui effectue un traitement de données personnelles. Ainsi, cette organisation peut se trouver sur le territoire de l’Union européenne ou cible des résidents européens.

Le RGPD concerne également les entreprises installées dans l’UE qui stockent les données personnelles. Dans ce cas, il n’est pas obligatoire que la collecte des données soit leur activité principale ou qu’elle soit effectuée pour le compte d’une autre entreprise. À noter que cette réglementation s’applique, quelle que soit la taille de l’organisme, privé ou public. Son application ne dépend pas également du chiffre d’affaires.

Le RGPD s’applique aussi aux sous-traitants des entreprises se trouvant sur le sol européen ou en dehors. La réglementation a posé le principe de la coresponsabilité des deux entités : entreprise et sous-traitants à cause des données à caractère personnel remises aux prestataires. À noter que le règlement doit être respecté même si les données des citoyens européens sont stockées dans un pays hors Europe.

Qu’est-ce qu’on entend par sous-traitant RGPD ?

Selon la CNIL, le sous-traitant est défini comme une entité traitant des données personnelles pour le compte et sous les ordres d’un responsable de traitement. La RGPD le définit comme une personne physique ou morale qui détermine les méthodes de traitements des données à caractère personnel.

Les activités du sous-traitant en matière de traitement des données peuvent gérer des campagnes marketing, gérer la paie, servir d’hébergement web ou déployer une solution informatique. Néanmoins, il est important de savoir que les fabricants de matériels informatiques et les éditeurs de logiciels n’ont pas la qualité de sous-traitant.

Les objectifs du RGPD

Le RGPD a plusieurs objectifs dont en voici les plus importants.

Harmonisation de la réglementation sur les données personnelles

Avec le contrôle des données personnelles, notamment en harmonisant la juridiction européenne et en supprimant les différences de réglementation des pays. En d’autres termes, l’objectif est d’avoir un seul cadre juridique applicable à tous les pays membres de l’UE.

Renforcement du droit des citoyens

L’objectif du RGPD est de renforcer le droit des citoyens majeurs ou mineurs en matière de données personnelles en simplifiant la compréhension des règlements dans les entreprises. Ainsi, il est obligatoire d’informer les mineurs sur l’utilisation de leurs données et les raisons du stockage. Le RGPD a octroyé des droits au citoyen : le droit d’accès, de rectification, d’opposition et d’oubli par rapport à leurs informations personnelles traités par des entreprises ou organismes tiers.

Protection accrue des données personnelles

Le dernier objectif du RGPD est de favoriser la responsabilité des entités concernée pour mettre en place un climat de confiance. Pour cela, les entreprises doivent construire des sites internet conformes au Règlement général sur la Protection des Données. Elles doivent ainsi rendre compte à tout moment, garantir la transparence de l’utilisation des données en utilisant une cartographie des traitements.

Recourir à un consultant externe en sécurité informatique et en cyber sécurité

Malgré le fait que la numérisation du monde offre de nombreuses possibilités aux entreprises, cette situation a également contribué à l’augmentation des risques liés à la cybersécurité. Plusieurs facteurs peuvent contribuer à l’augmentation des cyberattaques notamment l’utilisation et le développement de l’e-commerce ou le transfert des données en ligne. Ainsi, ces différentes situations ont rendu la sécurité informatique de l’entreprise au centre de nombreux enjeux qu’il est important de comprendre. L’une des solutions est de faire appel à un consultant externe à l’entreprise spécialisée en cybersécurité.

Cybersécurité en entreprise : un sujet d’une brûlante actualité

La cybersécurité couvre un large domaine qu’il est important de maîtriser avant de pouvoir se protéger efficacement.

Qu’est-ce qu’on entend par cybersécurité ?

La cybersécurité peut se définir comme une stratégie qui a pour objectif de réduire les risques d’une cyberattaque et ses effets sur une entreprise et de se faire une protection des réseaux et les systèmes que vous utilisez. En d’autres termes, elle vise à protéger les ressources numériques des entreprises contre le piratage informatique des données ou les cyberattaques. La cybersécurité va donc utiliser des technologies, des modes de contrôles divers de vos informations sensibles. En plus, elle vise à empêcher l’accès non autorisé aux stockages des données dans des supports physiques, disques dur ou en ligne dans un cloud.

À noter que la cybersécurité diffère de la sécurité de l’information qui couvre un domaine plus vaste comme les versions papier des fichiers.

Les différents types de cyberattaques

Il existe deux principaux types de cyberattaques : externes et internes.

Les attaques externes causées par des tiers malveillants se font par l’usage des logiciels qui vont percer votre défense et installer des programmes indésirables dans votre réseau. Les pirates informatiques ont également recours au phishing qui consiste à envoyer des mails avec des liens nuisibles qui peuvent donner accès à des informations sensibles de votre entreprise.

Quant aux attaques internes, elles sont dues en majorité à des erreurs de manipulation intentionnelle d’un salarié. La divulgation par mégarde des informations sensibles voire leur suppression est également possibles. Dans certains cas, des employés vont abuser de leur droit d’accès pour détruire des fichiers importants de l’entreprise.

Cyberattaque : les risques pour l’entreprise

Les conséquences des risques numériques sont nombreuses sur l’activité de l’entreprise et sa situation financière. Les cyberattaques peuvent ainsi entraîner :

–          un ralentissement ou l’arrêt total des activités de l’entreprise à l’origine d’un chômage technique et de perte financière ;

–          une atteinte à l’image et la réputation de votre entreprise en cas de vol de données sensible au sein de votre société. Les clients vont donc perdre leur confiance et ne vont plus faire appel à vos services ;

–          des frais supplémentaires pour faire face à la crise et reconstituer les données volées ou détruites ;

–          Des sanctions sont aussi à prévoir dans le cadre du RGPD ou Règlement Général sur la Protection des Données en cas de non-respect des règles de sécurisation.

Les responsabilités au niveau de l’entreprise

L’entreprise est responsable civilement de son patrimoine informatique. Elle a l’obligation de veiller à la sécurité.de ses données et doit ainsi prendre toutes les précautions utiles pour assurer la sécurité des fichiers. Un contrôle est effectué par la CNIL pour faire respecter le RGPD.

Pour le chef d’entreprise, la défaillance de son système d’information va engager sa responsabilité au niveau pénal et civil. Il doit ainsi prendre des mesures techniques et d’organisation appropriée contre les risques internes ou externes. Sa responsabilité est engagée en raison de sa faute ou mauvais usage de son système informatique.

Pour le salarié, sa responsabilité est engagée dès qu’il commet une faute lourde dans l’exécution de ses missions. Une faute caractérisée par l’intention de nuire à l’employeur ou à l’entreprise. Il est responsable envers les tiers s’il agit en dehors de ses fonctions. À noter qu’en cas de délégation de pouvoir à un responsable de sécurité informatique, sa responsabilité ne peut être mise en cause que s’il est prouvé qu’il a commis une faute dans l’exercice de ses taches.

Les avantages de faire appel à un consultant externe en cybersécurité 

Pour faire face à la complexité de la mise en place du processus de gouvernance des risques et de la sécurité des données, des entreprises ont choisi d’externaliser cette fonction. En effet, faire appel à des spécialistes en cybersécurité offre de nombreux avantages et le coût reste raisonnable face aux risques immenses que ce type d’attaque fait courir à l’entreprise.

Ce type de consultant va s’adapter aux besoins et au budget de votre entreprise. C’est une solution de confort qui va également répondre aux attentes en termes de sécurité informatique. Le consultant en cybersécurité peut notamment vous accompagner dans le recrutement d’un nouvel employé dans le domaine de l’informatique.

D’autres services peuvent aussi être externalisés comme l’expertise de vulnérabilité, la surveillance des menaces et la gestion des équipements de sécurité. Un audit est effectué pour accompagner votre entreprise afin de mieux faire face aux problématiques liées à la sécurité informatique. L’expert va proposer une formation en sécurité informatique à vos collaborateurs pour vous aider dans la mise en place de votre projet.

En dernier lieu, il y a le service de conseil qui disponible pour vous aider à mettre en place une charte informatique sur mesure pour votre entreprise. Elle vise à définir les conditions dans lesquelles les salariés doivent utiliser leur matériel personnel et professionnel à l’extérieur de l’entreprise. Elle fixe également les modalités de connexion au système d’information de la société. Ainsi, il est interdit de faire certains usages comme le téléchargement de logiciel ou l’utilisation d’une adresse mail personnelle. L’usage d’internet est également précisé dans la charte en interdisant l’accès à des sites à risques.

Enfin, le consultant externe en sécurité informatique a bénéficié d’une formation dans le domaine de la confidentialité des données personnelles utilisées par l’entreprise conformément aux dispositions du RGPD en Europe et surtout en France.

Quelle formation suivre pour devenir DPO ?

La mise en conformité au RGPD ou Règlement Général sur la Protection des Données passe nécessairement par la mise en place d’un délégué à la protection des données ou DPO dans une entreprise. Depuis l’entrée en vigueur du RGPD, le rôle de DPO connaît un essor important avec l’augmentation du nombre d’offres dans ce domaine. Mais comment se former afin de devenir DPO ?

L’objection de la formation DPO : se préparer à la certification

Depuis la mise en place du RGPD en 2018, la désignation d’un DPO ou Data Protection Officier est devenue obligatoire dans les organismes, entreprises privées ou publique lorsqu’elles sont amenées à traiter des données sensibles. Le DPO est donc considéré comme un acteur majeur de la mise en conformité RGPD et doit ainsi disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données.

L’AFNOR est le premier organisme agréé par la CNIL pour certifier les compétences du délégué à la protection des données. La certification représente un vecteur important de confiance pour les clients, fournisseurs, partenaires et collaborateurs.

La formation de DPO a pour finalité de préparer l’homologation en mettant en condition réelle le candidat avant de passer l’examen de certification. La formation sur les aspects du RGPD lui permet de faire face aux différents types de questions et de s’organiser avec un programme de révision afin d’avoir toutes les chances de réussir l’examen certifiant.

Label et référentiel CNIL

Avec l’entrée en application du Règlement Européen à la Protection des Données, la CNIL a dû mettre de nouveaux outils de conformité pour assurer sa mission de labellisation.

Le label CNIL désigne la reconnaissance d’un produit ou d’un service comme conforme à la Loi Informatique et Libertés. Il est délivré en fonction de référentiel adopté par l’organisme ou publié au Journal Officiel. Son intérêt est, pour les entreprises ou administration, de disposer d’un cadre éthique mais surtout juridique. Ainsi, il s’agit d’un avantage certain par rapport à la concurrence et un indicateur de confiance pour les entreprises vis-à-vis de leurs clients.

Le référentiel de la CNIL, quant à lui, est une liste d’exigences ou de conditions pour obtenir un label. Ces critères ont pour but d’évaluer la conformité de la sécurité, de la procédure de collecte ou de traitement des données personnelles par rapport à la réglementation en vigueur en France ou dans l’Union européenne.

Objectifs pédagogiques et compétences à acquérir pour la formation RGPD

Pour devenir un DPO vous devez, d’abord, comprendre les enjeux de la protection des données et le cadre de la réglementation à un haut niveau de compétences pour présenter la certification opérée par les organismes accrédités par la CNIL. La mise en conformité RGPD est un bon moyen d’insérer les outils de conformité dans les entreprises. Le DPO doit  alors savoir construire et maintenir les preuves de cette conformité.

Les objectifs pédagogiques du programme formation RGPD vont également permettre de conseiller les responsables de traitements sur la conduite et la gestion des études d’impacts sur la vie privée (Privacy Impact Assessment, ou PIA) ou les moyens de sécurisations et de contrôle des données.

Enfin, le DPO aura des compétences pour mettre en place un plan d’action afin d’accompagner l’entreprise dans sa conformité RGPD. L’acquisition d’un comportement respectueux par rapport aux droits liés aux données personnelles est aussi un objectif prioritaire de cette formation.

Déroulement et formations RGPD

Il est important de savoir qu’aucune formation précise n’a été définie par la CNIL ou le RGPD. Ainsi, il existe plusieurs dispositifs de formations pour acquérir des compétences de DPO.

Formations à distance ou en ligne

Les formations en ligne (MOOC) ou webinaires, ont pour rôle d’aider à l’acquisition de savoirs fondamentaux et pratiques sur le RGPD ainsi que des notions de droits à la protection des données personnelles. Il s’agit de la solution la plus pratique pour les personnes qui découvrent le fonctionnement du rôle de DPO. Cette formation permet d’avancer à votre rythme bien qu’elle soit très intéressante pour les PME ou associations en raison de leur caractère synthétique et de leur format pratique. La formation en ligne permet d’aller à l’essentiel pour se familiariser avec les missions du DPO.

À noter que ce type de formation est généralement accessible en replay pour permettre aux personnes qui les suivent, une piqûre de rappel une fois la formation terminée.

Formations en présentiel

Sur ce format, on trouvera principalement des formations courtes, permettant de connaître toutes les informations à savoir sur le RGPD et les missions du DPO. La durée des formations est en moyenne de 3 à 15 jours. Cependant, l’accès à ce type de formations est souvent conditionné à un niveau d’études ou expérience professionnelle en lien avec le droit et/ou l’informatique.

Des formations peuvent aussi être sectorielles, dédiées à la santé ou aux collectivités territoriales. Dans tous les cas, on choisira un organisme de formation au regard de son agrément CNIL.

Formations longues

Les formations longues sont proposées par les grandes écoles comme le CNAM ou certaines universités. Elles sont dédiées au terme en référence au délégué à la protection des données personnelles. Sciences Po va, à titre d’exemple, offrir un certificat DPO en collaboration avec un cabinet d’avocat. À noter que c’est la CNIL qui délivre le label CNlL formation.

En quoi consiste le rôle de DPO ?

Pour comprendre le fonctionnement du rôle de DPO, il est important de comprendre ses missions. Sa première mission consiste à informer et conseiller le responsable du traitement, les sous-traitants et collaborateurs de l’entreprise en charge de la collecte des données.

Il doit également contrôler le respect du RGPD en mettant en œuvre des mesures techniques et d’organisation appropriées pour assurer la conformité des traitements d’informations et dispenser des conseils sur demande après l’analyse de l’efficacité de la protection des données.

Pour garantir l’exercice de sa fonction de DPO, il doit jouir d’une certaine autonomie. En effet, il ne reçoit aucune instruction de la part du responsable de traitement sur la façon de traiter une affaire par exemple.

Le DPO a aussi un rôle de conseiller au niveau de l’entreprise. Il n’est pas responsable de la conformité de la société au RGPD. Cette responsabilité ne peut non plus lui être transmise par délégation de pouvoir. Il est presque impossible d’engager sa responsabilité civile dans l’exercice de ses missions encadré par la loi en vigueur.

Pour conclure, le DPO est obligatoire dès lors qu’une entreprise a pour principale activité de traiter des données. Il joue un rôle central de coordinateur entre les différents services de la société. Disposer d’une personne formée à ses problématiques en interne n’est pas toujours une évidence. Adaliance vous propose d’être mis en relation avec un DPO externe qui se chargera des missions propres à la protection des données.

télécharger l'étude de cas La Vie à Domicile mise en conformité RGPD