Introduction à l’obligation légale de conformité RGPD
- Exemples de plaintes RGPD émises par des clients, des usagers ou des employés
- Exemples d’entreprise ou collectivité sanctionnée par l’autorité de contrôle du RGPD
- Les mises en demeure et les amendes pour absence de conformité RGPD
- L’élargissement du périmètre des données personnelles à protéger
- L’impact transversal du RGPD sur la cybersécurité, le juridique, les ressources humaines et la relation-clients ou usagers
L’obligation légale éventuelle de désignation officielle d’un DPO
- Les 5 critères qui obligent à désigner un DPO référent auprès de l’autorité de contrôle
- L’externalisation ou la mutualisation du DPO pour réduire les dépenses
- La procédure de désignation du DPO auprès de l’autorité de contrôle
- Les formations obligatoires et les certifications pour devenir DPO
- Le rôle du DPO interne, externalisé ou mutualisé
Les documents légaux du RGPD à rédiger pour le secteur privé ou public
- Les mentions légales à rédiger pour informer les clients, les usagers et les employés sur l’utilisation de leurs données personnelles
- Les preuves de consentement éventuel à recueillir
- La tenue des registres de traitement
- Les 9 critères légaux qui obligent à rédiger une étude d’impact PIA
- La charte de politique de protection des données personnelles des outils
Collecter, traiter et stocker des données personnelles en conformité RGPD
- Respecter et gérer les différents droits des clients, des usagers et des employés : opposition, accès, rectification, effacement, limitation, portabilité…
- Comprendre les concepts de « Security by defaut » et « Security by design »
- Comprendre le concept de « Gouvernance des données »
- Les durées minimales et maximales de conservation des données personnelles
- Supprimer les données personnelles dont la durée de conservation est à échéance
- Minimiser les formulaires de collecte d’informations personnelles
La cybersécurité RGPD à mettre en place dans les entreprises et collectivités
- La sécurisation obligatoire des échanges de données
- La politique obligatoire d’habilitation et de gestion des droits-utilisateurs
- La tenue obligatoire d’un journal des accès pour détecter les violations éventuelles
- La sécurisation des postes de travail et de l’informatique mobile
- L’adaptation obligatoire des serveurs, sites internet, logiciels et applications mobiles aux normes RGPD
- L’archivage et la politique de sauvegarde des données personnelles sensibles
- La sensibilisation des employés via la charte informatique et des réunions
- Les autres bonnes pratiques informatiques du RGPD à respecter
- Les certifications possibles RGPD et ISO27001
La nécessité de choisir des outils et des sous-traitants conformes RGPD
- L’adaptation obligatoire des appels d’offre et des contrats de sous-traitance
- Les garanties à prendre pour les transferts de données hors UE
- Les actions à faire en cas de sous-traitant non conforme
- Fournir des données personnelles anonymisées aux sous-traitants
Travaux pratiques de consolidation des acquis