Gérer la mise en conformité de la protection des données à caractère personnel

Habilitation

[Code Certif Info N°103939]
 Nouvelle recherche  Annuaire des certifications  Voir le panier
Avertissement : cette fiche est en état archivé
Niveau de qualification
Sans équivalence de niveau
Sortie
Sans niveau spécifique
Descriptif

La création et le traitement de données personnelles sont soumis à des obligations destinées à protéger la vie privée et les libertés individuelles. Elles varient selon la nature du fichier et la finalité des informations recueillies : déclaration normale ou simplifiée, ou demande d'autorisation. Il existe aussi des droits et des obligations de sécurité, de confidentialité et d'information. La certification « gérer la mise en conformité de la protection des données à caractère personnel » permet d'accéder à une démarche méthodologique et opérationnelle.

Ainsi acquise, les activités visant à garantir la protection des données pourront être diffusées plus largement et pilotées plus efficacement.

Objectif

Analyse de l'existant et cartographie des traitements

Analyse de l'environnement juridique et du contexte propre à l'organisation.

  • Appréhender et comprendre le contexte légal et réglementaire pour assurer une mise en oeuvre conforme du RGPD.
  • Assurer une veille juridique pour s'informer et se mettre à jour des nouvelles obligations en matière de protection de données.
  • Analyser et intégrer dans le plan d'action le référentiel à respecter pour permettre la mise en conformité de l'organisation.
  • Analyser et comprendre le secteur d'activité de l'organisme, ses métiers et les différentes populations présentes pour déterminer les différentes catégories de données traitées.

Cartographie des traitements.

  • Réaliser l'inventaire des traitements de données à caractère personnel, informatisées ou non, pour contrôler leur conformité RGPD.
  • Analyser les mesures techniques et organisationnelles prises pour assurer la protection des données et évaluer le niveau de risque pour les droits des personnes et leurs libertés.
  • Définir les durées de conservation des données, en tenant compte des contraintes légales de durée minimum pour respecter le droit à l'oubli des personnes.
  • Établir le registre des traitements en respectant le contenu imposé par le RGPD pour recenser les traitements leurs caractéristiques et leurs finalités.

Analyse des impacts et des risques

  • Piloter la réalisation des études d'impacts et déterminer le seuil à partir duquel une consultation de l'autorité de contrôle est nécessaire pour maintenir la vérification de la mise en conformité dans un principe d'amélioration continue.
  • Analyser les processus pour identifier les menaces et les points de vulnérabilité dans sa propre organisation et dans celle des sous-traitants.
  • Évaluer le niveau de vraisemblance de chaque risque pour définir leurs probabilités de survenance.
  • Évaluer le niveau de gravité de chaque impact pour anticiper la nature des actions correctives à mettre en oeuvre.
  • Définir et suivre les actions correctives à mettre en place afin de limiter le niveau des risques et le niveau des impacts.
  • Assurer le suivi de la procédure de consultation auprès de l'autorité de contrôle pour prendre en charge le rôle de point de contact avec la CNIL.

Établir et mettre en oeuvre un plan d'action de protection des données en conformité avec le RGPD.

  • Élaborer un plan d'action en tenant compte de l'analyse de l'existant et des objectifs à atteindre pour organiser les étapes de lise en place du RGPD.
  • Mobiliser les ressources nécessaires à la réalisation des étapes du projet (ressources humaines, matérielles, temporelles, financières, techniques) pour assurer les conditions favorables à la réussite du projet.
  • Organiser les conditions d'exercice de la mission du délégué à la protection des données personnel, en tenant compte du besoin d'autonomie et de la nécessité d'éviter les conflits d'intérêt pour veiller à une mise en oeuvre dans des conditions optimales.
  • Contrôler la mise en oeuvre des mesures techniques et organisationnelles pour garantir la protection des données.
  • Contrôler les mesures prises pour le respect des droits des personnes et le recueil des consentements pour respecter le cadre légal.
  • Contrôler le respect des règles et le formalisme dans la rédaction des contrats avec les prestataires de services et les sous-traitants.
  • Contrôler le respect des règles et le formalisme dans la conception des sites Web et de tous les supports de communication pour veiller au respect des mentions légales.
  • Organiser la prise en charge des demandes des personnes souhaitant exercer leurs droits d'accès aux données, de rectification ou de mise à jour, d'opposition ou de limitation au traitement et d'effacement des données.
  • Concevoir et mettre en place des procédures de gestion de crises et, en particulier, la procédure de signalement des violations de données à l'autorité de contrôle pour gérer en toute transparence les intrusions.
  • Analyser les causes des violations de données pour corriger les failles de sécurité et définir des mesures destinées à éviter la reproduction des incidents.
  • Poser le cadre de gouvernance permettant d'inscrire le plan d'action dans la durée pour garantir la protection des données durant tout le cycle de vie des traitements, depuis la collecte, jusqu'à la destruction des données.
  • Réduire l'exposition de l'organisme aux risques de sanctions civiles, administratives et pénales en cas de non-respect de la législation et de préjudices causés aux personnes pour remédier au caractère défectueux dans le processus de protection de données.

Accompagnement des acteurs dans la nouvelle acculturation de protection de données

Création d'un cadre favorable de pilotage transverse.

  • Organiser le cadre de pilotage de la conformité en continu pour permettre de l'inscrire dans la durabilité.
  • S'assurer que les prestataires et les sous-traitants respectent leurs obligations contractuelles pour modifier le cas échéant les contrats.
  • Construire et animer le réseau de travail collaboratif et coopératif transversal pour permettre aux équipes engagées dans le maintien de la conformité de travailler efficacement.

Diffusion d'une acculturation dans l'organisation de protection des données.

  • Concevoir des actions de sensibilisation pour communiquer aux collaborateurs l'intérêt et l'impact des nouvelles règles en matière de protection de données et favoriser leur acculturation.
  • Informer, communiquer les règles et processus à respecter dans le cadre de la protection des données pour légitimer les actions de vérification et de correction conséquentes.
  • Prévenir et gérer les situations conflictuelles pour assurer la pérennité des processus mis en place.
  • Créer et développer un réseau de partenaires internes et externes, sans lien de subordination juridique pour assurer la diffusion des bonnes pratiques et servir de relais.
  • Assurer des actions de formation auprès des collaborateurs pour les accompagner dans leurs changements de pratiques et de posture.
Répertoire Spécifique (RS)
Code RS Date Fin Enregistrement Type Enregistrement Actif / Inactif
3880 31/12/2021 Enregistrement sur demande Inactif
Historique Répertoire Spécifique
Code RS Date Type Enregistrement Actif / Inactif
3880 31/12/2021 Enregistrement sur demande Non
Certificateur
  • École supérieure d'assurances
Valideur
  • École supérieure d'assurances
    1ère habilitation Début validité Fin validité
    31/12/2021
Pour en savoir plus
http://formation-assurances.esaassurance.com/
Domaine de formation (Formacode® V13)
  • 31006 : Sécurité informatique
Liens vers les métiers (ROME)
Groupes formation emploi (GFE)
  • P : Gestion et traitement de l'information
Domaine de spécialité (NSF)
320 : Spécialité plurivalentes de la communication
Accessibilité
Formation initiale Formation continue Apprentissage Contrat de pro VAE ou par expérience Demande individuelle
Informations mises à jour le 28/08/2019 par Certif Info.
Logo Certif'Info