Délégué à la protection des données (DPO)

• Délégué à la protection des données (DPO) - Code CertifInfo 109801
  • Niveau de qualification : 7 - Savoirs hautement spécialisés

Objectifs

L'objectif de la certification est de former au métier de délégué à la protection des données (DPO) pour répondre aux besoins croissants des entreprises.
Ce métier est apparu suite aux évolutions majeures relatives aux obligations légales et à l'évolution de la réglementation liée à la protection des informations et de la vie privée et de la question de la sécurité des
systèmes d'information.
Plus précisément, depuis le 25 mai 2018, date de mise en application dans tous les pays européens de ce règlement,
toutes les entreprises publiques ou privées de plus de 250 salariés qui traitent des données sensibles à grande échelle ont l'obligation de nommer, au sein de leur organisation, une personne en charge de la sécurité et de la conformité des données. Il s'agit du rôle du délégué à la protection des données (DPO) ou data protection officer, tel que le défini l'article 37 du règlement général sur la protection des données (RGPD).
Même si l'article 37 précise que la nomination d'un DPO est obligatoire pour les structures de plus de 250 salariés, la commission nationale de l'informatique et des libertés (CNIL) recommande fortement la nomination d'un DPO quelle que soit la taille de la structure (entreprise, association ou collectivités locales), à noter que pour les petites structures, un DPO peut être indépendant et s'occuper de la protection des données personnelles de plusieurs sociétés, de manière mutualisée.
Le DPO est le successeur naturel du correspondant informatique et libertés (CIL), car sa mission est comparable.
Néanmoins, les prérogatives du DPO sont renforcées, puisque le DPO dispose désormais de fonctions de conseil et de sensibilisation quant aux obligations relatives à la protection des données personnelles, que n'avait pas le correspondant de la CIL.
Véritable chef d'orchestre de la conformité du traitement des données, le DPO, doit disposer de bonnes connaissances sur les aspects organisationnels, méthodologiques et techniques de la sécurité des systèmes d'information.

Programme de la formation

BLOC 1 : Conception d'une politique de conformité dans le respect du cadre légal « informatique et libertés »
- Effectuer un audit préliminaire de conformité légale et réglementaire de l'organisation, en collectant toutes les données nécessaires afin de révéler le niveau de risques afférant à chaque non-conformité ;
- Rédiger un rapport de synthèse de l'audit préliminaire en cartographie les traitements existants de données personnelles afin de sensibiliser les différents acteurs de l'organisation, de l'obligation de recensement et des risques ;
- Créer et tenir le registre de traitements et de conservation des données afin de lister l'ensemble des processus de traitement des données personnelles en rassemblant une preuve pour chacun des processus ;
- Créer une politique de gestion des données personnelles en listant les modalités de traitements des données personnelles afin d'informer les personnes concernées (salariés, clients, consommateurs…) de leurs droits et des procédures de mise en œuvre de ces droits ;
- Gérer les risques en réalisant une étude d'impact sur la protection des données afin de mettre en place un dispositif d'alertes («privacy impact assessment»).
BLOC 2 : Mise en œuvre d'un système de management organisationnel et technique du traitement des données
- Répondre aux demandes externes en s'appuyant sur un processus de traitement des réclamations de personnes, relatives à l'exercice de leurs droits, afin de répondre rapidement aux sollicitations des personnes concernées et éviter les contentieux ;
- Désigner les responsables de traitement internes ou externes et les soustraitants afin de formaliser par écrit les relations entre les acteurs traitant les données, leurs rôles et responsabilités ;
- Conduire un projet lié à la protection des données en définissant l'organisation et la planification du projet afin de réussir la conduite du changement ;
- Animer des sessions de formation et de sensibilisation des collaborateurs au cadre légal «informatique et libertés», afin de responsabiliser les équipes et définir les nouveaux rôles transverses des personnes concernées ;
- Organiser la protection des données dès la conception informatique d'un traitement («Privacy by design») en participant aux réunions de conception pour anticiper les risques de non-conformité ;
- Piloter le système de management des données à caractère personnel (SMDCP) en disposant d'indicateurs afin de produire un bilan annuel de l'activité.
BLOC 3 :

Validation et sanction

Certification

Type de formation

Certifiante

Sortie

Bac + 5 et plus