Certification des DPO

DPO.png

La CNIL a initié en France la certification des DPO (Data Protection Officer ou Délégué à la Protection des Données). Cette certification est encadrée par deux délibérations publiées au journal officiel qui définissent les critères d’agrément des organises de certification, le contenu de l’examen, l’expérience requise et le référentiel des compétences. PROSICA qui propose déjà la formation de préparation à la certification CIPP/E ajoute à son catalogue la formation DPO coanimée par un ingénieur et un avocat. Cette certification, comme le CISSP en cybersécurité est soumise aux exigences de la norme ISO 17024 sur les certifications de personnes.

Contenu de la formation

1ère journée

  • Introduction
    • Origine de la protection des données personnelles.
    • Evolution du cadre juridique européen et français.
    • Institutions européennes et françaises.

Mots clés : Convention 108, Directive 95/46/EC, Directives e-Privacy et e-Commerce, Règlement Européen, OCDE, CNIL, autorités nationales de supervision, Commission Européenne, WP 29.

  • RGPD - Concepts clés.
    • Données à caractère personnel et traitement.
    • Définitions.
    • Licéité du traitement.
    • Catégories sensibles.
    • Responsable de traitement, sous-traitance, droits de la personne.
    • Champ territorial.
    • Cas d’exclusion.

Mots clés : finalité, données de santé, données biométriques, anonymisation, pseudo anonymisation, agrégation, collecte, stockage, responsabilité, consentement, contrat, obligations légales, intérêt légitime, proportionnalité, informations de la personne, droit à l’oubli, accès et rectification, portabilité.

  • Quizz : Résolution d’un QCM sur les principes du RGPD.

2ème journée

  • Le DPO :
    • Rôle et missions.
    • CIL et DPO.
    • Lignes directrices du WP29.
    • Outils du DPO.
    • Plan de travail du DPO.

Mots clés : registre interne, DPO externe, ressources, conflits d’intérêt, inventaire des traitements, traitements à risques, audits, notification des violations de données, gestion des réclamations et des plaintes, politique de protection des données personnelles, sensibilisation des opérationnels, audits.

  • La sécurité des informations :
    • Principes.
    • Types d’attaques.
    • Les risques : malveillance externes et internes, erreurs, la sous-traitance.
    • La sécurité du Cloud.

Mots clés : confidentialité, intégrité, disponibilité, ISO 27001, ISO 27002 et ISO 27018, chiffrement, technique d’anonymisation, mécanismes d’authentification, bonnes pratiques de l’ANSSI, audits de sécurité, accès privilégies, vulnérabilités publiques et correctifs de sécurité, mesures de sécurité.

  • Etude de cas – trouver les faiblesses potentielles d’une solution de gestion de ressources humaines en mode Software-as-a-service.
  • Cas concret (travail personnel à réaliser sur deux soirées et corrigé le jeudi matin) : à partir d’un scénario fourni, définir les grandes lignes de l'analyse d’impact relative à la protection des données (AIPD).

3ème journée

  • RGPD – Transfert des données en dehors de l’union européenne :
    • Dérogations.
    • Mécanismes.

Mots clés : BCR (Binding Corporate Rules), Privacy Shield, clauses contractuelles types, décisions d’adéquation.

  • RGPD – Responsable de traitement et sous-traitant
    • Responsabilités et obligations.
    • Contrats.

Mots clés : qualification des acteurs, responsables conjoints, clauses contractuelles, accords entre responsables conjoints.

  • RGPD – gestion des plaintes
    • Sanctions.
    • Notifications.
    • Contrôles des régulateurs.
    • Recours juridictionnels.
    • Contrats.

Mots clés : European Data Protection Supervisor (EDPS), catégories de sanction, autorités nationales et pouvoirs, codes de conduite et certifications, droit à réparation, doctrine et jurisprudence française et européenne.

  • Cas concret : identification des points importants devant figurer dans un contrat de sous-traitance.

4ème journée

  • RGPD – cas de mises en conformité :
    • Traitement de données médicales.
    • Traitement de données employeurs.
    • Activités de surveillance.
    • Direct marketing.

Mots clés : représentants du personnel, agréments, vidéosurveillance, sécurité physique, cookies, mentions légales, publicité par téléphone, emailing, réseaux sociaux.

  • Le DPO : mise en situation (jeux de rôles et corrections)
    • Réunion DPO / responsable sécurité : mise en place d’un système de vidéoprotection.
    • Réunion DPO / responsable marketing : mise en place d’un nouveau site WEB.
    • Réunion DPO / responsable clients : mise en place d’un système de gestion des plaintes clients.
    • Réunion DPO / directeur informatique : mise en place d’un centre d’appels.
    • Réunion DPO : responsable RH : mise en place d’un outil de gestion de carrière suivant le modèle Software-as-a-Service.

5ème journée

Révisions et examen de certification.

L’examen de certification

L’examen est organisé le vendredi après-midi sous la responsabilité de l’organisme de certification (indépendant de l’organisme de formation). Il s’agit d’un questionnaire à choix multiple (QCM) d’une durée de 2h15, sans documentation. Il faut avoir un minimum de 75% de bonnes réponses.

Pour être certifié il faut justifier d’un minimum de deux ans d’expérience professionnelle et suivre la formation de 5 jours (35h). Il est possible de passer uniquement l’examen sans la formation à condition de pouvoir justifier d’un minimum de deux ans d’expérience en protection des données à caractère personnel (correspondant informatique et libertés par exemple).

Il n'est pas nécessaire d'être DPO en titre pour être certifié.

Découvrez nos formations en cybersécurité et « data privacy » et téléchargez le catalogue de nos formations. Contactez-nous à formation at prosica.fr pour toute demande d’informations.

 

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Mots clés: RGPD GDPR DPO Certifications CNIL