CIPP/E™ : certification pour la protection des données personnelles

blog-07.jpg

La CIPP/E (Certification Information Privacy Professional / Europe) est une certification européenne proposé par l’IAPP. Cette certification permet de valider que les connaissances élémentaires du droit européen sur la protection des données à caractère personnel sont acquises et que le corpus légal et réglementaire est maitrisé. Les autres certifications proposées par l’IAPP se concentrent sur d’autres régions internationales (Asie, Canada, Etats-Unis). Cette certification est souvent requise pour les emplois de DPO (Data Protection Officer). Les autres certifications de l’IAPP sont orientées technologie (CIPT) et sur la mise en œuvre d’un programme de protection des données personnelles (CIPM). PROSICA propose une session de deux jours pour se préparer efficacement à l'examen CIPP/E.

Examen

L’examen se passe sur ordinateur dans un centre agréé. Il est composé d’un questionnaire à choix multiples de 90 questions et dure 2 heures 30 min. Les examens IAPP sont généralement en anglais mais des versions sont disponibles en français et allemand pour le CIPP/E. Il faut obtenir un score minimum de 300 points sur 500 possibles. Cela ne représente pas 60% de bonnes réponses puisque le seuil est défini par examen en fonction d’un certain nombre de critères comme la difficulté des questions. Un système de CPE (Continuing Privacy Education) permet de maintenir sa certification professionnelle. L’examen nécessite un travail personnel soutenu à moduler en fonction de ses compétences et de son expérience dans le domaine. Le "Determann" est un livre en anglais qui permet de compléter ses connaissances pour les révisions à l'examen.

Programme

Le programme, régulièrement mis à jour par l’IAPP figure ci-après.

Introduction à la protection des données personnelles en Europe

Origines et contexte historique du droit en matière de protection des données

  1. Fondement de la protection des données personnelles
  2. Législation relative aux Droits de l'Homme
  3. Premières lois et réglementations
  4. La nécessité d'une approche européenne harmonisée
  5. Le Traité de Lisbonne
  6. Un cadre modernisé

Institutions de l'Union européenne

  1. Conseil de l'Europe
  2. Cour européenne des Droits de l'Homme
  3. Parlement européen
  4. Commission européenne
  5. Conseil européen
  6. Cour de justice de l'Union européenne

Cadre législatif

  1. La convention de 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (Convention du Conseil de l'Europe)
  2. La directive européenne relative à la protection des données personnelles (95/46/CE)
  3. La directive européenne « vie privée et communications électroniques » (2002/58/CE)
  4. La directive européenne relative au commerce électronique (2000/31/CE)
  5. Les régimes de la rétention des données personnelles en Europe
  6. Le Règlement général sur la protection des données (RGPD) et la législation associée

 Droit et réglementations en matière de protection des données en Europe

Concepts de protection des données personnelles

  1. Données personnelles
  2. Données personnelles sensibles
  3. Données pseudonymisées et anonymisées
  4. Traitement
  5. Responsable de traitement
  6. Sous-traitant
  7. Personne concernée

Champs d'application matériel et territorial du Règlement général sur la protection des données

  1. Établissement dans l'UE
  2. Non-établissement dans l'UE

Principes relatifs au traitement des données personnelles

  1. Loyauté et licéité
  2. Limitation de la finalité
  3. Proportionnalité
  4. Exactitude
  5. Limitation de la conservation
  6. Intégrité et confidentialité

Critères de licéité du traitement

  1. Consentement
  2. Nécessité contractuelle
  3. Obligation légale, intérêts vitaux et intérêt public
  4. Intérêts légitimes
  5. Catégories particulières de traitement

Obligations relatives à la fourniture d'informations

  1. Principe de transparence
  2. Déclarations de confidentialité
  3. Avis hiérarchisés
  4. Droits des personnes concernées
  5. Accès
  6. Rectification
  7. Effacement et droit à l'oubli
  8. Restriction et opposition
  9. Prise de décision automatisée, y compris profilage
  10. Portabilité des données
  11. Restrictions

Sécurité des données personnelles

  1. Mesures techniques et organisationnelles appropriées
  2. Notification des violations
  3. Gestion des fournisseurs

Exigences en matière de responsabilité

  1. Responsabilités des responsables de traitement et des sous-traitants
  2. Protection des données dès la conception et par défaut
  3. Documentation et coopération avec les autorités de régulation
  4. Analyse d'impact relative à la protection des données
  5. Délégués à la protection des données obligatoires

Transferts internationaux de données

  1. Fondement de l'interdiction
  2. Juridictions sûres
  3. Safe Harbor et Privacy Shield
  4. Contrats types
  5. Règles d'entreprise contraignantes (BCR)
  6. Codes de conduite et certifications
  7. Dérogations

Supervision et mise en application

  1. Autorités de contrôle et leurs pouvoirs
  2. Le Comité européen de protection des données
  3. Rôle du Contrôleur européen de la protection des données
  4. Conséquences des violations du RGPD
  5. Processus et procédures
  6. Infractions et amendes
  7. Indemnisation des personnes concernées

 

III. Respect du droit et des réglementations européens en matière de protection des données

Relations de travail

  1. Base juridique du traitement des données personnelles des salariés
  2. Conservation des dossiers du personnel
  3. Surveillance du lieu de travail et prévention des pertes de données
  4. Comités d'entreprise européens
  5. Systèmes internes d'alerte professionnelle (« whistleblowing »)
  6. Programmes « bring your own device » (BYOD, apportez votre propre appareil)

Activités de surveillance

  1. Surveillance par les autorités publiques
  2. Interception de communications
  3. Télévision en circuit fermé (CCTV)
  4. Géolocalisation
  5. Marketing direct
  6. Télémarketing
  7. Marketing direct
  8. Ciblage comportemental en ligne

Technologies Internet et communications

  1. Informatique dans le Cloud
  2. Cookies Web
  3. SEM (Search Engine Marketing, ou marketing relatif aux moteurs de recherche)
  4. Réseaux sociaux

PROSICA, organisme de formation référencé Datadock planifie régulièrement des sessions de formation de deux jours qui constituent une bonne préparation au CIPP/E. Téléchargez le catalogue de nos formations et contactez-nous à «formation at prosica.fr » pour toute demande de renseignements.

 

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Mots clés: RGPD GDPR DPO Données personnelles Certifications CIPP/E Data Privacy