Quelle formation suivre pour devenir DPO ?

Posted on by ADALIANCE

La mise en conformité au RGPD ou Règlement Général sur la Protection des Données passe nécessairement par la mise en place d’un délégué à la protection des données ou DPO dans une entreprise. Depuis l’entrée en vigueur du RGPD, le rôle de DPO connaît un essor important avec l’augmentation du nombre d’offres dans ce domaine. Mais comment se former afin d’acquérir les compétences d’un DPO ?

L’objection de la formation DPO : se préparer à la certification

Depuis la mise en place du RGPD en 2018, la désignation d’un DPO ou Data Protection Officier est devenue obligatoire dans les organismes, entreprises privées ou publique lorsqu’elles sont amenées à traiter des données sensibles. Le DPO est donc considéré comme un acteur majeur de la mise en conformité RGPD et doit ainsi disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données.

L’AFNOR est le premier organisme agréé par l’autorité de contrôle, la CNIL, pour certifier les compétences du délégué à la protection des données. La certification représente un vecteur important de confiance pour les clients, fournisseurs, partenaires et collaborateurs.

La formation de DPO a pour finalité de préparer l’homologation en mettant en condition réelle le candidat avant de passer l’examen de certification. La formation sur les aspects du RGPD lui permet de faire face aux différents types de questions et de s’organiser avec un programme de révision afin d’avoir toutes les chances de réussir l’examen certifiant.

Label et référentiel CNIL

Avec l’entrée en application du Règlement Européen à la Protection des Données, la CNIL a dû mettre de nouveaux outils de conformité pour assurer sa mission de labellisation.

Le label CNIL désigne la reconnaissance d’un produit ou d’un service comme conforme à la Loi Informatique et Libertés. Il est délivré en fonction de référentiel adopté par l’organisme ou publié au Journal Officiel. Son intérêt est, pour les entreprises ou administration, de disposer d’un cadre éthique mais surtout juridique. Ainsi, il s’agit d’un avantage certain par rapport à la concurrence et un indicateur de confiance pour les entreprises vis-à-vis de leurs clients.

Le référentiel de la CNIL, quant à lui, est une liste d’exigences ou de conditions pour obtenir un label. Ces critères ont pour but d’évaluer la conformité de la sécurité, de la procédure de collecte ou de traitement des données personnelles par rapport à la réglementation en vigueur en France ou dans l’Union européenne.

Notions clés pour la formation RGPD

Une formation DPO certifiante vous permettra de comprendre les enjeux de la protection des données et le cadre de la réglementation à un haut niveau de compétences. La mise en conformité RGPD est un bon moyen d’insérer les outils de conformité dans les entreprises. Le DPO doit  alors savoir construire et maintenir les preuves de cette conformité.

Les objectifs pédagogiques du programme formation RGPD vont également permettre de conseiller les responsables de traitements sur la conduite et la gestion des études d’impacts sur la vie privée (Privacy Impact Assessment, ou PIA) ou les moyens de sécurisations et de contrôle des données.

Enfin, le DPO aura des compétences pour mettre en place un plan d’action afin d’accompagner l’entreprise dans sa conformité RGPD. L’acquisition d’un comportement respectueux par rapport aux droits liés aux données personnelles est aussi un objectif prioritaire de cette formation DPO.

Déroulement et formations RGPD

Il est important de savoir qu’aucune formation RGPD précise n’a été définie par la CNIL. Ainsi, il existe plusieurs dispositifs de formations RGPD pour acquérir des compétences de DPO.

Formations à distance ou en ligne

Les formations DPO en ligne (MOOC) ou webinaires, ont pour rôle d’aider à l’acquisition de savoirs fondamentaux et pratiques sur le RGPD ainsi que des notions de droits à la protection des données personnelles. Il s’agit de la solution la plus pratique pour les personnes qui découvrent le fonctionnement du rôle de DPO. Cette formation permet d’avancer à votre rythme bien qu’elle soit très intéressante pour les PME ou associations en raison de leur caractère synthétique et de leur format pratique. La formation en ligne permet d’aller à l’essentiel pour se familiariser avec les missions du DPO.

À noter que ce type de formation est généralement accessible en replay pour permettre aux personnes qui les suivent, une piqûre de rappel une fois la formation terminée.

Formations en présentiel

Sur ce format, on trouvera principalement des formations courtes, permettant de connaître toutes les informations à savoir sur le RGPD et les missions du DPO. La durée des formations est en moyenne de 3 à 15 jours. Cependant, l’accès à ce type de formations est souvent conditionné à un niveau d’études ou expérience professionnelle en lien avec le droit et/ou l’informatique.

Des formations peuvent aussi être sectorielles, dédiées à la santé ou aux collectivités territoriales. Dans tous les cas, on choisira un organisme de formation au regard de son agrément CNIL.

Formations longues

Les formations DPO longues sont proposées par les grandes écoles comme le CNAM ou certaines universités. Elles sont dédiées au terme en référence au délégué à la protection des données personnelles. Sciences Po va, à titre d’exemple, offrir un certificat DPO en collaboration avec un cabinet d’avocat. À noter que c’est la CNIL qui délivre le label CNlL formation.

En quoi consiste le rôle de DPO ?

Pour comprendre le fonctionnement du rôle de DPO, il est important de comprendre ses missions. Sa première mission consiste à informer et conseiller le responsable du traitement, les sous-traitants et collaborateurs de l’entreprise en charge de la collecte des données.

Il doit également contrôler le respect du RGPD en mettant en œuvre des mesures techniques et d’organisation appropriées pour assurer la conformité des traitements d’informations et dispenser des conseils sur demande après l’analyse de l’efficacité de la protection des données.

Pour garantir l’exercice de sa fonction de DPO, il doit jouir d’une certaine autonomie. En effet, il ne reçoit aucune instruction de la part du responsable de traitement sur la façon de traiter une affaire par exemple.

Le DPO a aussi un rôle de conseiller au niveau de l’entreprise. Il n’est pas responsable de la conformité de la société au RGPD. Cette responsabilité ne peut non plus lui être transmise par délégation de pouvoir. Il est presque impossible d’engager sa responsabilité civile dans l’exercice de ses missions encadré par la loi en vigueur.

Pour conclure, le DPO est obligatoire dès lors qu’une entreprise a pour principale activité de traiter des données. Il joue un rôle central de coordinateur entre les différents services de la société. Disposer d’une personne formée à ses problématiques en interne n’est pas toujours une évidence. Adaliance vous propose d’être mis en relation avec un DPO externe qui se chargera des missions propres à la protection des données.

télécharger l'étude de cas La Vie à Domicile mise en conformité RGPD

Comment se mettre en conformité RGPD ?

Posted on by ADALIANCE

La mise en conformité au Règlement Général sur la Protection des Données ou RGPD a pour objectif d’avoir un niveau de protection suffisant face aux risques de divulgation des données personnelles. Le RGPD est un enjeu majeur pour les organismes étatiques, les citoyens et les entreprises. Ainsi, en cas de plainte, ils pourront démontrer que toutes les mesures ont été prises pour parer les atteintes aux droits des internautes. La sécurisation des données personnelles porte à la fois sur le plan juridique et surtout technique. Dans cet article, vous allez découvrir les différentes étapes de la mise en conformité RGPD notamment au sein d’une entreprise.

La nomination d’un data protection officer ou DPO

Pour répondre à la question comment se mettre en conformité avec le rgpd, la première étape consiste à désigner un homme ou une femme qui va incarner le RGPD dans l’organisme ou l’entreprise. Le DPO doit ainsi avoir des compétences juridiques et techniques pour manipuler les données personnelles de votre structure.

En plus, le délégué à la protection des données ou data protection officier doit être un bon communiquant capable de résister aux pressions. C’est un poste rattaché à la direction générale, mais qui va délivrer en toute indépendance des recommandations pour être en conformité avec le règlement général sur la protection des données personnelles.

À noter que si nommer un DPO n’est pas obligatoire, il est conseillé de désigner un référent en charge du projet RGPD dans l’entreprise. Cependant, les PME pourront recourir à des prestataires spécialisés externes comme les avocats ou consultants (DPO externalisé ou mutualisé).

La constitution d’une cartographie ou registre du traitement des données

La seconde étape consiste à cartographier l’ensemble des données personnelles, informatisées ou sur papier, traité dans l’entreprise. Cette étape va identifier les processus concernés par le RGPD pour avoir une idée de leur niveau de conformité à ce dernier en les soumettant à une étude d’impacts. Les entreprises doivent disposer d’un registre des activités de traitement qui doit, par exemple, contenir les différents types de traitements effectués, les données recueillies ou utilisées, les acteurs traitant les données et les conditions d’exécution du traitement.

Dans cette étape, il est possible d’effectuer un audit des traitements qui peut se faire soit par l’analyse de licéité si les finalités respectent réellement la réglementation du RGPD. Quant à l’audit de l’organisme, il s’agit des droits des personnes concernées, la gestion des sous-traitants ou la sécurité informatique qui traite les informations dans la société. Dans la majorité des cas, il est préférable de confier la tenue du registre au délégué à la protection des données ou DPO. La mission de ce dernier consiste à le mettre à jour périodiquement. Ce travail préliminaire, par rapport au registre de traitement et leur utilisation, peut être demandé par la CNIL.

Le tri des données

Le tri des données est une étape qui entre dans la compliance rgpd. Il met en avant la collecte des données jugées uniquement nécessaires au traitement par l’entreprise. Les organismes privés ou publics doivent respecter le principe de minimisation des données en question. Des critères ont donc été mis en place pour chaque fiche de registre afin de répondre à des vérifications comme la pertinence des données, le traitement des données sensibles qui ne doivent pas faire apparaître les informations sur les origines raciales, opinions politiques ou religieuses voire l’orientation sexuelle.

La détermination de la finalité des traitements des données personnelles

Le RGPD pose une obligation par rapport aux traitements de données personnelles notamment pour déterminer leur finalité. L’exemple classique est la collecte d’information d’internautes ou de futurs prospects par l’intermédiaire d’un formulaire sur un site internet dont le but est la prospection commerciale pour vendre un produit ou un service. La finalité déclarée d’un traitement va donc fixer la limite. Il est, de ce fait, interdit de traiter les données avec une finalité incompatible.

En plus, les objectifs de traitements doivent être déclarés dans le registre des traitements pour être portés à la connaissance des personnes concernées.

Enfin, la durée de conservation des données va dépendre en grande partie de son utilisation bien qu’il soit interdit de les conserver pendant un laps de temps trop long.

La détection des risques majeurs sur les données

Les pratiques au sein de l’entreprise peuvent contribuer à favoriser les risques pour les droits et libertés des individus. Il est donc indispensable de mener une étude d’impact ou PIA sur les mesures qui menacent la vie privée des personnes concernées comme le contrôle des accès ou gestion des droits et habilitations.

La réussite d’un programme de conformité suppose l’identification des risques au regard de l’existant en référence aux travaux pour arriver à un niveau de protection adéquat. En ce sens, pour gérer correctement les risques, une étude d’impact sur la protection des données doit nécessairement passer par l’organisation des documents.

Établissement d’un plan d’action

Pour réaliser la conformité avec le rgpd, il est important après la phase cartographie d’établir un calendrier d’actions de contrôle ou de correction par rapport aux objectifs ou les contraintes en lien avec la gestion des risques. En effet, sur la base de l’état des lieux, un plan d’action doit être mis en œuvre. Pour cela, il faudra engager des travaux informatiques pour sécuriser les données comme une anonymisation ou un chiffrement. Ensuite, vous devez vous assurer de ne collecter que les données nécessaires à votre activité. Il faut aussi déterminer la base juridique pour collecter des données. En d’autres termes le titre juridique qui donne le droit à votre entreprise de traiter les données pouvant se matérialiser par un contrat nécessitant le consentement du client.

La mise en conformité rgpd concerne aussi les sous-traitants considérés comme coresponsables au regard de la réglementation européenne. Dans ce cas, les contrats fournisseurs doivent avoir une clause précisant leurs nouvelles obligations et responsabilités. Cette obligationen question concerne également les prestataires en dehors de l’Union européenne lorsqu’ils gèrent les données des citoyens européens.

Enfin, la planification des actions doit comprendre la sécurisation des systèmes de récupération et de stockage des données.

Organisation des processus de gestion internes

Pour augmenter le niveau de protection des données personnelles en permanence, il convient de mettre en place une gouvernance spécifique pour garantir l’intégrité de ces données, de la collecte à leur suppression. Pour y parvenir, vous devez créer des procédures internes qui assurent la prise en compte de la protection des données à tout moment en ne négligeant aucune situation lors du traitement comme les failles de sécurité, la gestion des demandes de modification d’accès ou le changement de prestataire externe.

Durant ce processus, le personnel avec les personnes concernées par la collecte des données doit être tenu informé. Ensuite, des procédures obligatoires doivent être mises en place comme celui de la gestion des exercices des droits de la personne ainsi que la protection des données. Ils doivent connaître les procédures à suivre en cas de violation de données personnelles ou de contrôle par la CNIL.

La conformité rgpd n’est pas une image fixe, mais il convient de le maintenir durant un temps déterminé en faisant, par exemple, des audits réguliers et obligatoires.

L’obligation d’informer les clients et collaborateurs de l’entreprise

Avec le RGPD, les entreprises doivent renforcer leur obligation d’information et de transparence envers les utilisateurs. C’est dans cette optique que des supports ou mentions d’information doivent préciser les raisons de la collecte, les entités ou personnes qui autorisent le traitement et la durée de conservation des données.

Le transfert des données en dehors de l’Union européenne par des entreprises comme Google est légal si elles informent les utilisateurs de leurs services. Il faut aussi informer les clients que le RGPD consiste à renforcer leurs droits comme le droit d’accès, le droit d’opposition, le droit d’effacement, et le droit à la limitation du traitement.

Au niveau des relations de travail, l’employeur est le premier responsable du traitement des données par ses employés. Une situation prévue dans le contrat ou code du travail va obliger l’employeur à traiter des données concernant son personnel : le salaire, les évaluations, les congés. À noter que l’entreprise doit sensibiliser ses collaborateurs à respecter la vie privée des clients.

Ils doivent aussi être informés par rapport aux nouvelles obligations introduites par le Règlement Général sur la Protection des Données. À titre d’exemple, la société doit rappeler aux salariés qu’un fichier Excel contenant des informations sur les clients peut être considéré comme un traitement de données personnelles. Dans tous les cas, dans le cadre des relations avec les clients, elle est responsable de leurs données.

La sécurisation des données personnelles

La sécurisation des données personnelles est un principe posé par le RGPD. Ce sont des dispositions obligeant les responsables du traitement à tout mettre en œuvre pour garantir la sécurité de ces informations. Les principes de sécurisation se base sur :

  • la confidentialité des données qui ne seront accessibles qu’aux personnes autorisées ;
  • l’intégrité des données qui ne doit ni être altérée ou modifiée ;
  • la disponibilité des données en permanence pour les personnes autorisées.

Quant aux mesures de sécurité proprement dites, plusieurs techniques sont mises à la disposition des entreprises comme le chiffrement des données pour assurer la confidentialité ou la pseudonymisation des données.

Les modalités pour conserver les données

Il faut rappeler qu’en principe, la conservation des données personnelles est limitée dans le temps en fonction de l’objectif de traitement.

Il existe plusieurs méthodes pour conserver les données. En premier, il y a l’archivage courant qui est à la charge du responsable du traitement de données. La durée de cet archivage doit être prévue par un contrat. En second lieu, il y a l’archivage intermédiaire qui permet aux données d’être conservées un peu plus longtemps que la durée prévue par le contrat à condition que la loi fixe une durée supérieure. Enfin, l’archivage défini qui ne fait l’objet d’aucun effacement des données dites d’intérêt public comme les statistiques ou recherche scientifique.

Il est important de savoir que si aucune loi ne fixe une durée maximum de conservation, le responsable de traitement devra maintenir une durée proportionnée en fonction du but poursuivi par la récolte.

L’importance du recueil du consentement RGPD

Le recueil du consentement pendant le traitement des données personnelles est une obligation posée par le RGPD. Ce dernier a une définition précise du consentement comme étant la manifestation d’une volonté d’une personne à accepter le traitement de ses données personnelles. C’est le responsable du traitement qui doit demander ce consentement aux clients lorsqu’il s’agit de données sensibles constituées par les opinions politiques ou religieuses, les questions raciales, de santé ou orientation sexuelle.

Des dispositions préalables ont été imposées pour que le consentement soit valide. Les particuliers doivent avoir les informations importantes nécessaires à l’identité du responsable du traitement, son objectif et les catégories des données collectées. Ils doivent aussi être informés de l’existence du droit de retrait du consentement.

Pour les conditions de recueil du consentement, elles ont été mises en place pour protéger les particuliers. Ainsi, leur accord doit se matérialiser par un acte positif et clair. Il doit être univoque et que la personne ait conscience de donner sa permission. Une fois recueillie, cette dernière doit être libre sans contrainte, spécifique, et n’est valable que pour la finalité du traitement.

Le RGPD a aussi conféré des droits aux particuliers comme celui du retrait du consentement donné à tout moment. De même, le responsable du traitement doit être capable de prouver que la personne concernée a réellement donné son accord.

Concernant les personnes mineures, le RGPD a mis en place une réglementation qui pose l’âge du consentement à 16 ans. En France, il a été fixé à 15 ans. Mais en dessous de cet âge, le recueil de l’enfant doit être effectué auprès de l’enfant et des parents ou de la personne en charge de l’autorité parentale.

Pour conclure, l’étape ultime de mise en conformité au RGPD consiste à regrouper et constituer une documentation. Il est nécessaire que les actions réalisées soient réexaminées et mises à jour de façon régulière pour assurer la protection des données en permanence.

Qu’est-ce que le RGPD : règlement général sur la protection des données ?

Posted on by ADALIANCE

Face à l’évolution de la technologie, des lois et règlements ont vu le jour pour protéger les données personnelles sur la toile. Le RGPD ou règlement général sur la protection des données personnelles a ainsi, été conçu pour harmoniser les règles en Europe sur l’utilisation de ces données. L’objectif est de mettre en place un cadre juridique pour sanctionner les abus et redonner la confiance aux internautes des outils numériques. Dans cet article vous allez voir l’origine, les enjeux et les sanctions du non-respect de la RGPD.

Qu’est-ce qu’on entend réellement par RGPD ?

Avant de voir ses enjeux, il est important de voir qu’est-ce que le rgpd? Par définition, il s’agit d’un texte majeur au niveau européen qui a pour objectif principal de protéger les données personnelles des personnes physiques. Le règlement général sur la protection des données se pose comme une mise à jour des principes existants afin de s’adapter au mieux à l’ère du numérique. En effet, le RGPD se présente pareillement à une suite logique de la loi de 1978 sur l’informatique et la liberté.

Le RGPD a donc introduit plusieurs changements importants, à savoir le renforcement de la création de nouveaux droits pour rééquilibrer les relations entre les consommateurs et les entreprises. Afin d’y parvenir, les responsabilités des acteurs en charge des données personnelles ont été renforcées notamment au niveau de la CNIL en charge du contrôle de la conformité rgpd en France.

Le règlement général sur la protection des données a aussi l’objectif d’harmoniser la législation en vigueur en Europe pour faire face aux géants du numérique comme Google ou Amazon.

Histoire du RGPD

Le RGPD trouve son origine dans la crainte des citoyens par rapport à l’usage des données personnelles par l’État. À cette époque, seul ce dernier avait les moyens de collecter et traiter une grande quantité de données pour la surveillance.

Depuis 1978, c’est la CNIL qui joue le rôle de surveillant pour l’utilisation par l’État de ces informations. Actuellement, le progrès des capacités de stockage a permis aux entreprises du numérique de détenir les données des individus dans divers domaines comme les réseaux sociaux ou l’e-commerce. La prise de conscience de cette situation et les révélations du lanceur d’alerte Edward Snowden en 2013 ont montré que l’usage des données par les services de surveillance américaine a conduit à la création de mécanismes comme le RGPD.

Qui a créé le RGPD ?

L’initiative de la création du RGPD vient du constat des états membres de la Commission européenne en 1995 face à l’évolution des nouvelles technologies de l’information. C’est en 2012 que Bruxelles a proposé un nouveau règlement au niveau de l’Europe.

Un accord entre le conseil, le parlement et la commission a été trouvé en 2015. Cependant, la mise en place de ce nouveau règlement n’a débuté qu’en 2016 avec l’adoption du texte par le parlement européen et sa publication au journal officiel français. Son application n’a été effective que le 25 mai 2018. Ce laps de temps de deux ans a permis aux législations nationales et aux entités étatiques en charge de la collecte et du traitement des données personnelles de s’y préparer en transposant le droit de chaque État membre de l’Union européenne par les règlements prévus par le RGPD.

Ainsi, les États doivent adapter leur législation pour être en conforme avec le texte.

Les enjeux du RGPD pour les entreprises

Les principaux enjeux du RGPD pour les entreprises sont nombreux.

D’abord, il favorise le renforcement de la protection des données. En effet, le RGPD oblige la mise en place de mesures de protection et de sécurité des données pour répondre aux enjeux d’internet. L’objectif principal est de responsabiliser les entreprises par rapport à l’utilisation des données pour prévenir d’éventuelles dérives en renforçant par exemple la protection de la vie privée des internautes.

Ensuite, la réglementation rgpd va améliorer la gestion des données au niveau des entreprises pour mieux connaître les clients. Dans ce cas, la gouvernance des données utilise plusieurs outils comme la cartographie ou la rationalisation des pratiques au niveau marketing.

Le RGPD permet aussi de consolider la confiance des clients, car cette nouvelle réglementation va leur permettre de bénéficier des droits sur leurs données. Sans oublier le respect des mesures de sécurité qui va améliorer davantage l’image de l’entreprise aux yeux du public.

Le RGPD est également un enjeu majeur pour les entreprises pour faire face aux différentes cyberattaques. Cette réglementation est donc l’occasion pour eux de se renforcer.

Évolution des droits pour les internautes

Le RGPD connaît une évolution majeure par rapport aux nouveaux droits des internautes pour assurer la protection de leurs données. Pour récolter ces données, les plateformes d’entreprise doivent, à titre d’exemple, obtenir un consentement écrit et explicite. De même, pour les enfants, l’aval des parents est obligatoire pour leur inscription sur les réseaux sociaux.

La réglementation rgpd va reconnaître le droit à l’oubli qui permet à chaque internaute d’obtenir l’effacement des données pouvant porter atteinte à sa dignité ou à sa vie privée. Il a aussi le droit d’être informé en cas de vol ou de piratage de ses données.

Les internautes peuvent agir en justice personnellement ou par l’intermédiaire d’une association dans le cadre d’une action de groupe pour faire arrêter l’exploitation illicite de leurs données.

Quel rôle joue la CNIL ?

Pour répondre à la question quelle autorité assure la protection des données personnelles en France ? Il faudra s’intéresser à la CNIL ou la Commission nationale de l’informatique et des libertés.

Son rôle principal est de protéger le consommateur contre les usages abusifs de ses données informatiques. Elle doit ainsi veiller au respect de la loi informatique et à la liberté.

La CNIL va recenser les fichiers et donner des avis pour les traitements automatisés d’informations dans le secteur privé ou public. Elle va aussi vérifier la sécurité des systèmes pour éviter que les données soient transmises à des personnes malveillantes. La CNIL a également un pouvoir réglementaire pour élaborer de nouvelles normes.

Enfin, elle peut développer les réclamations d’internautes concernant un usage anormal des données.

Les sanctions en cas de non-respect du RGPD

Depuis son entrée en vigueur, le RGPD ne prévoit que deux types de sanctions.

Il y a les amendes administratives énumérées à l’article 83 du RGPD. Des sanctions qui sont à la fois proportionnées et dissuasives qui doivent prendre en compte la gravité et la durée de la violation, le degré de coopération ou le dommage subi par les personnes. Quant au montant de l’amende prévue, il sera proportionnel à la violation constatée. Des sanctions pénales ont été mises en place pour faire face aux infractions qui ne font pas l’objet d’amendes administratives. En France, ils sont insérés dans le Code pénal pour sanctionner par exemple, le détournement de la finalité lors du traitement de données à caractère personnel. Des amendes qui peuvent être accompagnées d’emprisonnement d’une ou plusieurs années.

La violation du RGPD peut aussi entraîner une demande en dommages et intérêts des victimes ou un déficit d’image pour les entreprises concernées.