Formation DPO/RGPD CNIL 2018/2019

• Les fondamentaux juridiques
• Historique de la Loi Informatique et Libertés, jusqu’au RGPD
• Présentation du RGPD
• Les enjeux de la protection des données personnelles
• La responsabilité de la personne morale
• Le respect de la vie privée
• La collecte directe et indirecte des données personnelles
• Obtenir le consentement pour un traitement de données est-il obligatoire ?
• Un traitement pertinent et des données proportionnées à la finalité
• Critère de territorialité des lois applicables
• Le droit à l’oubli des données : archivage et durées de conservation
• La donnée à caractère personnel
• La donnée sensible (fichiers d’infractions, données de santé, religion…)
• Anonymisation VS pseudonymisation
• S’assurer de la licéité d’un traitement de données personnelles
• La cnil: missions, normes simplifiées, déroulement d’un contrôle
• Les parties prenantes: le Conseil Européen de Protection des Données (CEPD/EDBP), l’autorité chef de file, le Délégué à la Protection des Données (DPD/DPO)
• Les textes de lois applicables : RGPD*, LPDP*, LCEN*, Directive ePrivacy, Règlement eiDAS…

• Le RGPD : définition, grands principes, périmètre d’application, état de maturité des entreprises
• Les nouvelles obligations et responsabilités : principe d’accountability (registre, audits et procédures des traitements, labels de conformité, EIVP…)
• Obligation de sécurité et de confidentialité des données : sécurisation, notification de violations
• Les cadres légaux d’envoi de données en pays-tiers (hors UE): accords d’adéquation, BCR, clauses contractuelles types, Privacy Shield Framework, dérogations pour des situations particulières
• Les nouveaux droits de personnes : information, consentement, accès limitation et rectification des données, portabilité, opposition à l’effacement et au profilage
• Cas spécifiques de consultation préalable de l’autorité de contrôle
• Mise en œuvre du principe de Privacy by design et Privacy by default dans la gestion RH

• Le rôle et les missions du Délégué à la Protection des Données (DPD/DPO)
• La désignation du DPO est-elle obligatoire ?
• Les codes de conduites et certifications de conformité
• Les 6 étapes de conformité des traitements
• La check-list de conformité d’un traitement de données
• Mise en œuvre de l’Etude d’Impact sur la Vie Privée (EIVP/PIA)

Cas pratique Réaliser une Etude d’Impact sur la Vie Privée (EIVP/PIA) des données RH

• La gestion des risques en 4 étapes : cartographier les traitements et données, apprécier les risques associés, mettre en œuvre les mesures correctrices, auditer la conformité
• Le logiciel PIA de la cnil, analyse d’impact sur la vie privée des traitements
• Les sous-traitants : garanties, contrats, rôles, responsabilités, respect des obligations
• Le registre des traitements de données personnelles

Cas pratique Réalisation d’une fiche du registre des traitements de données personnelles lors des embauches

• Quelles informations collecter et pour quelles finalités dans une démarche de recrutement
• Quelles informations collecter et pour quelles finalités dans une démarche de gestion du personnel
• Les habilitations différenciées d’accès aux données (employeur, comité d’entreprise, délégué du personnel…)
• Comment collecter les informations personnelles obligatoires dans le respect de la réglementation
• La collecte et l’utilisation des données de santé (arrêts de travail, numéro de sécurité sociale…)
• Le respect du droit d’accès aux données des salariés et ex-salariés

Cas pratique La demande de droit d’accès d’un salarié

• Quelles durées de conservation des données respecter en fonction des typologies de données personnelles
• Les recours des candidats et salariés en cas de contentieux, divergences et refus de droit d’accès
• Les finalités de traitements autorisés (ex-norme simplifiée 046 de la CNIL)
• Les données collectables dans le cadre des finalités autorisées (ex-norme simplifiée 046 de la CNIL)
• Les destinataires des données collectées (ex-norme simplifiée 046 de la CNIL)
• La géolocalisation des salariés (définition, proportionnalité, information…)
• Les dispositifs de contrôle des salariés (cybersurveillance, secret des correspondances, contrôles d’accès biométrique, vidéosurveillance, jurisprudence…)
• Les dispositifs d’alertes professionnelles dits Whistleblowing
• La mesure de la diversité ethnique et des discriminations (principe d’interdiction, dérogations)
• Les dispositifs d’enregistrements des appels téléphoniques (numéros, enregistrements et écoutes téléphoniques)
• Les équipements personnels de communication dits BYOD (définition, surveillance, sécurité)

Cas pratique Le respect de la réglementation dans une procédure de recrutement

Cas pratique Le respect de la réglementation dans la gestion des ressources humaines au quotidien

• Approche holistique dans un continuum des droits fondamentaux
• Sanctions administratives, pénales, civiles et prud’homales
• Dispositifs d’alertes professionnelles
• Une conformité, véritable avantage concurrentiel et contrat de confiance

Cas pratique Mise en conformité au RGPD et à la LPDP, quelles diligences mettre en œuvre ?