RGPD : comprendre les obligations et responsabilités, participer à la démarche de conformité (à destination des cadres de direction)

Résumé

Le Règlement Général sur la Protection des Données personnelles (dit RGPD) est entré en vigueur le 25 mai 2018. Avec la loi Informatique et Libertés de 1978 (révisée en 2019), il constitue l’ossature du droit positif en matière de protection des données personnelles. Ces textes structurent une nouvelle donne juridique, qui confère aux personnes des droits renforcés quant à leurs données, et symétriquement des obligations accrues aux organisations qui traitent ces données. Cette nouvelle donne se caractérise également par un changement de logique : le contrôle a priori que réalisait la CNIL avant l’entrée en vigueur du RGPD a cédé la place à une logique d’« accountability », c’est-à-dire de responsabilité/redevabilité.

L’enjeu est particulièrement fort pour le secteur social et médico-social, dans la mesure où ses missions supposent le traitement de données nombreuses sur les personnes accompagnées, au regard de la complexité des situations, et supposent le traitement de données de santé, qui appellent une protection renforcée.

Le RGPD réhausse également significativement le régime de sanction en cas de manquement aux obligations de la part du responsable des traitements : la CNIL peut ainsi infliger des amendes allant jusqu’à 4 % du chiffre d’affaire (ou budget) d’une organisation, et des dispositions pénales incluent de la prison ferme.

Devant cette nouvelle donne et son cortège de risques et responsabilités, les organisations disposent d’une opportunité pour construire une véritable gouvernance de la donnée, à même de susciter ou renforcer la confiance des personnes dont les données sont traitées (personnes accompagnées, salariés, partenaires…).

Cette formation propose aux participants de s’approprier la réglementation, les risques, les responsabilités, ainsi que de comprendre la démarche globale de conformité à l’échelle d’un organisme gestionnaire et d’un établissement ou service social ou médico-social (ESSMS).

Objectifs pédagogiques

• S’approprier la règlementation en matière de protection des données.
• Identifier les acteurs, leur rôle et responsabilités.
• Appréhender la notion de risque sur la vie privée, les droits et libertés.
• Connaître les droits des personnes concernées par des traitements de données.
• Comprendre comment sécuriser les traitements de données par des mesures techniques et organisationnelles appropriées.

Objectifs opérationnels

• Être en mesure d’identifier les acteurs clés de la protection des données au sein de l’organisme et à l’extérieur de celui-ci.
• Identifier les documents obligatoires en matière de conformité RGPD (registre des traitements, analyses d’impact).
• Être capable de repérer une violation de données à caractère personnel et d’y donner suite conformément à la réglementation.

Programme

S’approprier la réglementation :

• Notions de donnée, donnée à caractère personnel, donnée sensible.
• Notions de traitement de données à caractère personnel.
• Licéité d’un traitement : finalité, base légale, durée de conservation.
• Principes applicables à la protection des données : accountability, transparence, loyauté, minimisation, proportionnalité, protection dès la conception.
• Acteurs, rôles, responsabilités :
  • Responsable de traitement.
  • Délégué à la protection des données.
  • Sous-traitant de données à caractère personnel.
  • Destinataire.
  • Tiers.
  • Personne concernée.
  • Autorité de contrôle (CNIL).

Connaître les droits des personnes et favoriser leur exercice :

• Droit à l’information.
• Droit d’accès.
• Droit de rectification.
• Droit à l’effacement (droit à l’oubli).
• Droit d’opposition.
• Droit à la portabilité des données.
• Droit à définir des directives sur le sort de ses données après son décès.

Risques et sécurité :

• Notions de vie privée, droits et libertés.
• Critères d’évaluation du risque en matière de traitement de données à caractère personnel.
• Analyses d’impact relatives à la protection des données (AIPD).
• Sécurité des données et de leurs traitements : mesures techniques et organisationnelles.
• Repérer une violation de données et agir en conséquence :
  • Atteinte à la confidentialité.
  • Atteinte à la disponibilité.
  • Atteinte à l’intégrité.
  • Obligations du responsable de traitement, démarches à effectuer.

La démarche de conformité :

• Registre des activités de traitement.
• Organisation interne pour favoriser les droits des personnes.
• Revue de la documentation relative à la protection des données personnelles.

Méthodes pédagogiques

• Formation à distance par visioconférence (dispositif fourni par Ressourcial).
• Apport de contenus par le formateur.
• Exemples développés et cas pratiques issus du terrain médico-social.
• Support et outil utilisés transmis aux stagiaires à l’issue de la formation.
• Évaluation des connaissances acquises par un questionnaire terminal.
• Évaluation de la formation par les stagiaires.

Remis aux stagiaires

• Support (numérique) de formation.

Évaluation de la formation

La validation des acquis se fait tout au long de la formation à travers des exercices d’application et des études de cas. Un questionnaire d’évaluation de la formation est remis à chaque participant au terme de celle-ci.

Indicateurs de résultats

Les indicateurs de résultats présentés ci-dessous sont issus des réponses collectées via les questionnaires d’évaluation et de satisfaction soumis aux stagiaires à l’issue de chaque session de formation. Ces indicateurs évoluent donc continuellement et nous vous invitons à les consulter régulièrement.

Dernière mise à jour : 8 novembre 2022