La protection des données personnelles : garantir la sécurité et la transparence (à destination des cadres de direction) – 1 jour

Télécharger la fiche formations

Modalités

  • Référence de la formation : DP02A
  • Durée : 1 journée (7 heures)
  • Dates : Sur demande
  • Pré-requis : Aucun.
  • Public cible : Cadres des sièges sociaux, établissements, services et tout personnel chargé de la mise en œuvre de la réglementation relative à la protection des données personnelles.
  • Accessibilité : Cette formation est accessible aux personnes en situation de handicap.

En pratique

  • Nombre de places : 12.
  • Modalités de mise en œuvre : présentiel (dans les locaux du demandeur) ou distanciel (par visioconférence).
  • Tarifs : 950 € nets de taxe.
  • Délai d’accès : 4 semaines.

Résumé

Le Règlement Général sur la Protection des Données personnelles (dit RGPD) est entré en vigueur le 25 mai 2018. Avec la loi Informatique et Libertés de 1978 (révisée en 2019), il constitue l’ossature du droit positif en matière de protection des données personnelles. Ces textes structurent une nouvelle donne juridique, qui confère aux personnes des droits renforcés quant à leurs données, et symétriquement des obligations accrues aux organisations qui traitent ces données. Cette nouvelle donne se caractérise également par un changement de logique : le contrôle a priori que réalisait la CNIL avant l’entrée en vigueur du RGPD a cédé la place à une logique d’« accountability », c’est-à-dire de responsabilité/redevabilité.

L’enjeu est particulièrement fort pour le secteur social et médico-social, dans la mesure où ses missions supposent le traitement de données nombreuses sur les personnes accompagnées, au regard de la complexité des situations, et supposent le traitement de données de santé, qui appellent une protection renforcée.

Le RGPD réhausse également significativement le régime de sanction en cas de manquement aux obligations de la part du responsable des traitements : la CNIL peut ainsi infliger des amendes allant jusqu’à 4 % du chiffre d’affaire (ou budget) d’une organisation, et des dispositions pénales incluent de la prison ferme.

Devant cette nouvelle donne et son cortège de risques et responsabilités, les organisations disposent d’une opportunité pour construire une véritable gouvernance de la donnée, à même de susciter ou renforcer la confiance des personnes dont les données sont traitées (personnes accompagnées, salariés, partenaires…).

Cette formation propose aux participants de s’approprier la réglementation, les risques, les responsabilités, ainsi que de comprendre la démarche globale de conformité à l’échelle d’un organisme gestionnaire et d’un établissement ou service social ou médico-social (ESSMS).

Objectifs pédagogiques

  • S’approprier la règlementation en matière de protection des données.
  • Identifier les acteurs, leur rôle et responsabilités.
  • Appréhender la notion de risque sur la vie privée, les droits et libertés.
  • Connaître les droits des personnes concernées par des traitements de données.
  • Comprendre comment sécuriser les traitements de données par des mesures techniques et organisationnelles appropriées.
  • Découvrir la documentation dédiée à la protection des données.
  • Savoir repérer une violation de données à caractère personnel.

Programme

  • Comprendre la réglementation
    • Connaître les effets de droit et d’organisation induits par le RGPD décliné au sein d’un organisme gestionnaire du secteur social et médico-social.
    • Évaluer la portée de l’exception d’interdiction de traitement des données sensibles appliquée au secteur.
    • Mesurer le niveau de responsabilité de la personne morale et des personnes physiques.
    • Évaluer la responsabilité des sous-traitants et la nécessité de réviser les contrats. Le cas particulier des ESAT sous-traitants de données personnelles.
    • L’obligation de moyens renforcés et l’approche par le risque.
    • Les acteurs de la conformité :
      • La CNIL.
      • L’Autorité européenne : Contrôleur Européen de la Protection des Données.
      • Le responsable de traitement.
      • Le Délégué à la Protection des Données (DPD-DPO).
      • La répartition des rôles du Délégué à la Protection des Données (DPD-DPO) et du Responsable des Traitements.
  • Réaliser la convergence
    • Les préalables au lancement du projet de convergence.
    • Les acteurs de la convergence.
    • L’inventaire des traitements :
      • la notion de traitement ;
      • comment inventorier les traitements.
    • Planifier et conduire le projet de convergence.
    • Cartographier les traitements :
      • structurer les traitements ;
      • les regrouper ;
      • supprimer certains traitements.
  • Garantir la conformité dans le temps
    • Gérer l’accès aux droits.
    • La communication, réaliser un kit de communication (les éléments de langage autour du RGPD).
    • Gérer l’archivage (courant, intermédiaire, définitif).
    • Documenter la conformité
    • Le registre des traitements.
    • Les analyses d’impact relative à la protection des données (PIA).
    • Gérer la déclaration de violation de données.
    • Les procédures.
    • Les chartes.
    • Les clausiers.
    • Les audits.
    • La sécurité physique, logique et organisationnelle.
    • La formation et la sensibilisation du personnel.
    • Gérer un contrôle de la CNIL.
  • La conformité RGPD comme avantage concurrentiel
    • Obtenir une certification.
  • Référentiel
    • Le contenu et les modalités de formation proposés prennent en compte les éléments du référentiel mis en place par la CNIL adopté en juillet 2017 qui pose comme exigences essentielles les éléments suivants :
      • Connaître et comprendre les notions clés de la règlementation.
      • Connaître et comprendre le champ d’application matériel et géographique du RGPD.
      • Connaître les conditions de licéité du traitement (proportionnalité, sécurité, durée de conservation, etc.
      • Connaître les règles applicables en matière de transfert de données en dehors de l’Union Européenne.
      • Connaître les droits dont bénéficient les personnes fichées (information, consentement, accès, opposition, etc.).
      • Connaître les statuts et les missions de la CNIL.
      • Connaître le statut et les missions du délégué à la protection des données.
      • Connaître les régimes de formalités préalables applicables.
      • Connaître les sanctions applicables en cas de non-conformité.

Méthodes pédagogiques

  • Apport de contenus par le formateur.
  • Exemples développés et cas pratiques issus du terrain médico-social.
  • Support et outil utilisés transmis aux stagiaires à l’issue de la formation.
  • Évaluation des connaissances acquises par un questionnaire terminal.
  • Évaluation de la formation par les stagiaires.

Remis aux stagiaires

  • Support (numérique) de formation.

Évaluation de la formation

La validation des acquis se fait tout au long de la formation à travers des exercices d’application et des études de cas. Un questionnaire d’évaluation de la formation est remis à chaque participant au terme de celle-ci.