Introduction au RGPD et à la conformité réglementaire
• Principes fondamentaux du RGPD
• Initialisation de la mise en oeuvre du RGPD
Comprendre l’organisation et clarifier les objectifs de la protection des données
• Analyser l’environnement externe et interne, création et mise à jour d’une matrice des parties prenantes en fonction de leur influence et de leurs intérêts
• Le rôle des collaborateurs, le support, les collaborateurs comme agents de préconisations
• Analyser les défis et les enjeux
• Identifier les principaux processus et les activités
• Identifier les infrastructures
• Identifier et analyser les exigences pour les entreprises
• Déterminer les objectifs
L'analyse du système actuel
• La collecte d’information, l’état des lieux Informatiques et Libertés de l’organisation
• La structure organisationnelle pour la gestion des activités de traitement
• Le rapport d’analyse des lacunes
Direction et appropriation du projet de conformité du RGPD
• L’équipe, les besoins en ressources, le plan de projet, l’approbation de la direction
La politique de protection des données
• Création d’un modèle, processus d’élaboration de la politique de l’information et des données, approbation de la direction, publication et diffusion
• Formation, communication et sensibilisation
• Contrôle, évaluation
Définition de la structure organisationnelle de la protection des données
• Le rôle et les missions d’un délégué à la protection des données
• La surveillance et la conformité ; la mise en place de contrôles aléatoires
• Les responsabilités du gestionnaire des traitements
• La protection des données dès la conception
• Rôles et responsabilités des responsables du traitement et des sous-traitants
• Les registres des activités de traitement
• La coopération avec l’autorité de contrôle ; les échanges relations avec la CNIL
La classification des données
• Cartographie des données, registre des activités de traitement
• Coopération avec l’autorité de contrôle
• Les meilleures pratiques de cartographie des données
• Le flux de cartographie des données
La gestion des risques associée au RGPD
• Evaluation des risques
• Sélection d’une approche d’analyse des risques
• L’identification, l’analyse et l’évaluation des risques
L'étude d'impact sur la vie privée (EIVP)
• Exigences du RGPD concernant l’étude d’impact
• Définition, avantages, gestion, préparation, réalisation d’une étude d’impact sur la vie privée
• Le rapport de l’étude d’impact
• Estimer le degré la probabilité de l’impact
• Les menaces associées
PDCA – Phase 2 : Faire
La conception des contrôles de sécurité, la rédaction des politiques et des procédures associées
• Conception et description des processus et des mesures de sécurité
• Rédaction des politiques et les procédures
• Les définitions d’enregistrement
La mise en oeuvre des contrôles
• Conception et développement des processus et des mesures de sécurité
• Introduction aux mesures de sécurité selon ISO 29 100, la CNIL et les GAAP
• Introduction au concept de mesures de sécurités pertinents selon ISO 27 002
• Mesures de sécurité recommandée pour prévenir les risques sur la vie privée
Définition du processus de gestion des documents
• Valeur de type de document
• Création de modèles
• Gestion des documents
• Mise en place d’un système de gestion documentaire
• Gestion des enregistrements
• Liste principale des documents associés au GDPR
Le plan de communication
• La communication avec les collaborateurs de l’entreprise
• Sensibilisation et formation
• Compétences et formation
• Les besoins en formation
• L’évaluation des compétences
• La planification d’information
• Le programme de formation, de sensibilisation
• L’évaluation des résultats de l’information
La gestion des opéations
La gestion des incidents
• Article 32 et 33, ISO 27 035
• Notifier une violation des données : le rapport de notification
• Evénement versus incidents, les types d’incident
• Menacer incidents fréquents
• Structure de gestion des incidents
• Le plan de réponse aux incidents
PDCA – Phase 3 : Vérifier
La surveillance, les mesures, l’analyse l’évaluation
• Les objectifs de mesures, les processus de mesure, rapporte les résultats
• Le tableau de bord opérationnel, tactique et stratégique
• Ce qui doit au minimum être surveillé est mesuré en vertu du RGPD
L’audit interne et des sous-traitants
• Le rôle et la fonction de l’audit interne associé au RGPD
• Désigner la personne responsable de l’audit interne
• Le programme d’audit interne
• La procédure d’audit interne et des sous-traitants
• La gestion des activités d’audit interne et des sous-traitants
• Conception et mise en place d’un plan d’action, dans le cadre de perte ou de vol de données, ou de transfert de données hors de l’union européenne
• La liste de vérification d’audit du RGPD en interne pour les sous-traitants
• Les outils de reporting et de suivi interne
PDCA –Phase 4 : Agir
La violation des données et les mesures correctives
• La violation des données personnelles
• La notification de violation des données personnelles
• La communication à la personne concernée d’une violation des données personnelles
• Outil d’analyse des causes fondamentales
• Procédures de mesures correctives et préventives
L'amélioration continue
• Processus de surveillance continue de la modification des facteurs
• Mise à jour continu de la documentation et des registres
• Documentation des améliorations
• Mise en place d’un plan de veille réglementaire et technique
Présentation d’outils de gestion du RGPD
• Les outils de contrôle de sécurité
• Les outils d’analyse et de reporting des événements et des risques
• Les outils de tests et les registres
• Les outils de gestion documentaire
Préparation à l’examen de certification
• Passage d’un examen blanc à partir d’une sélection de questions portant sur les sujets contenus dans l’examen.
• Correction des réponses et question sur chacun des points techniques abordés
• Techniques et conseils pour le passage de l’examen
• Présentation et prise en main de l’outil de préparation aux examens
Passage de l’examen de certification
