Ce métier de DPO (Data Protection Officer) est apparu suite aux évolutions majeures relatives aux obligations légales et à l’évolution de la réglementation liée à la protection des informations et de la vie privée et de la question de la sécurité des systèmes d’information.
Le métier s'appuie sur le règlement nᵒ 2016/679, dit règlement général sur la protection des données (RGPD / GDPR), qui est un règlement de l'Union européenne. Il introduit de nouveaux droits pour les individus et de nouvelles obligations pour les entreprises.
L'objectif de cette formation est d'analyser les points de vigilance dans le cadre d'une mission de transfert de données hors de l'Union Européenne afin de pouvoir anticiper les formalités.OBJECTIFS PEDAGOGIQUES
- Réaliser toutes les formalités dans le cadre d'un transfert de données personnelles hors de l'Union Européenne
- Vérifier le respect des contraintes du RGPD pour protéger les données
- Garantir le respect des procédures y compris de la part des prestataires étrangers
- Maîtriser la loi dans le cadre de flux transfrontaliers
PROGRAMME
RAPPEL DU CONTEXTE RÉGLEMENTAIRE
- Les enjeux du nouveau règlement européen et les raisons de sa mise en place
- Les principes fondamentaux (AIPD, Privacy by design, principe d'accountability...)
- Les acteurs concernés
LES PRÉCONISATIONS DE LA CNIL
- La méthodologie préconisée
- Présentation des mécanismes et outils pour le transfert de données
- Guides et outils mis à disposition par la CNIL
- Le management du risque : principes et grilles
- Les points forts et les points faibles de la méthode de la CNIL
RAPPEL SUR LE PÉRIMÈTRE DU TRANSFERT DE DONNÉES À L'INTÉRIEUR DE L'UNION EUROPÉEENE
- Présentation des principes de transfert DANS l'Union Européenne : RGPG, LIL3...
- Application du droit national pour chaque État membre de l'UE
- Intégrer les dispositions européennes et françaises applicables au transfert de données DANS l'UE
TRANSFERT DE DONNÉES HORS UE
- Les obligations du responsable de traitement et du sous-traitant
- Classification des natures de données sensibles à transférer
- Le cas des transferts intra-groupes
- Le cas des transferts de données de santé
- Cas particulier des Etats-Unis avec le CLOUD ACT
PROCÉDURES POUR TRANSFÉRER LES DONNÉES HORS UE
- Utilisation des outils du RGPD
- Décision d'adéquation
- Garanties ou autorisation de transfert par dérogation
- Transfert fondé sur une autorisation d'adéquation de la commission européenne
- Transfert fondé sur les clauses contractuelles types (CCT) de la commission européenne
- Transfert fondé sur les règles internes d'entreprises (BCR)
- Transfert fondé sur les clauses contractuelles spécifiques de l'entreprise
LES CLAUSES CONTRACTUELLES TYPES (CTT) DE LA COMMISSION EUROPÉENNE
- Mise en place de clauses contractuelles types : comment les rédiger?
- Clauses pour identifier les parties
- Clauses encadrant les transferts entre deux responsables de traitement
- Clauses encadrant les transferts entre un responsable de traitement et un sous-traitant
- Exemples de clauses contractuelles types
AUTORISATION DE LA CNIL
- Les clauses contractuelles types de protection de données
- Les BCR
- Les mécanismes de certification par une autorité de contrôle
LE PRIVACY SHIELD
- Définition du Privacy Shield
- Obligations de respect dans le cadre du transfert vers les États Unis
- Garanties apportées par ce dispositif pour les destinataires de données
ÉTUDE DE CAS
- Atelier : élaboration de clauses contractuelles types
PUBLIC
Dirigeants, Responsables juridiques, Délégué à la protection des données, Data Protection Officer, correspondant informatique et libertés - CIL, informaticiens en lien avec la sécurité des données ou tout responsable de projet en systèmes d'information.PRÉREQUIS
INFORMATIONS PRATIQUES
HORAIRES DE LA FORMATION
de 9 h 00 à 12 h 30 et de 13 h 30 à 17 h 00
MÉTHODOLOGIE PÉDAGOGIQUE
Théorie | Cas pratiques | Synthèse
MODALITÉS D'ÉVALUATION
Évaluation qualitative des acquis tout au long de la formation et appréciation des résultats