Conseil et Contentieux

Corporate

Nos formations RGPD

Formation Essentiel : programme de base labellisé

Suivant notre programme de formation labellisée par la CNIL – « Conformité RGPD : Maitrise et innovation »

Cette formation permet à tous types d’acteurs de sociétés et structures privées d’acquérir les bases en matière de protection des données à caractère personnel. Elle a pour but de faire connaître l’ensemble des principes et notions clés de la conformité au RGPD, afin de constituer un socle de connaissances essentielles, nécessaire pour assister l’organisme dans ses démarches de diagnostic et suivi de la conformité.

Un focus est fait le deuxième jour pour confronter les grandes notions et outils du RGPD à la pratique au sein de l’organisme grâce à une matinée consacrée à l’information et à l’encadrement en matière de Ressources Humaines et un après-midi dédié à la question contractuelle avec les différents partenaires, prestataires et sous-traitants.

  • Formation complète sur 2 jours
  • 1 500 € HT pour la formation complète
  • Sur place dans vos locaux ou ceux d’Altij sur Toulouse, Bordeaux ou Paris
  • Possibilité d’adaptation et personnalisation pour le secteur public (sur devis distinct)
  • Formation disponible et dispensée en français et/ou en anglais
  • Session 1 : Sensibilisation au RGPD (Jour 1 – Matin)

     

     

     

    Objectif pédagogique

    Sensibilisation aux concepts de base de la protection des données et aux exigences et enjeux du RGPD

    1. Le RGPD : un enjeu sociétal et économique 

    • Pourquoi protéger les données ?
    • Le Big Data, la valeur économique de la donnée et la multiplication des cyberattaques
    • Nouveaux risques, nouvelles responsabilités
    • Nouvelles stratégies : cartographie, audit et traçabilité

    2. Le concept de base

    • Évolution et définition des concepts-clés
    • Les données dites « sensibles » – origines ethniques, données de santé, appartenance syndicale, etc.
    • L’autorité de contrôle : focus sur la CNIL (statut, composition, rôle, pouvoirs et contrôles) et sur le Comité européen à la protection des données (ex-G29)

    3. Les nouveautés du RGPD

    • L’« accountability », un changement de paradigme
    • Le consentement : renforcement des conditions
    • Les nouvelles sanctions
    • Le « DPO » : qui est-ce ? Quelles sont ses missions ?
    • Les recours juridictionnels : droit à réparation et recours (actions de groupe, …)

    4. Les droits des personnes concernées

    • Maintenus avec le RGPD : droit d’accès, d’opposition et de rectification
    • Nouveautés du RGPD : droit à l’oubli, à la portabilité des données, à la limitation du traitement et au refus du profilage

    ATELIERS PRATIQUES

    • Quiz d’évaluation des connaissances de base, au début et à la fin de la session
    • Cas pratique : questionnaire de conformité type

     

     

  • Session 2 : Les outils et étapes de la conformité (Jour 1 – Après-midi)

     

     

     

    Objectif pédagogique

    Acquérir une méthodologie structurée à la mise en conformité au RGPD et connaitre les mesures clés exigées par le Règlement.

    Programme

    1. Diagnostic : audit et cartographie

    • Nécessité et méthodologie de la cartographie des traitements
    • Recensement des traitements

    2. Durées de conservation

    • Combien de temps puis-je conserver et archiver les données collectées ?

    3. Registre des traitements

    • Quelles sont les entreprises visées ?
    • Quelles mentions obligatoires ?
    • Quelles formes envisageables ?

    4. Délégué à la protection des données

    • Description : qui doit nommer un DPO ?
    • Désignation du DPO (externe ou interne, individuel ou mutualisé)
    • Fonctions et missions
    • Le DPO, un salarié protégé ?
    • La fiche de poste et le contrat de travail

    5. Les analyses d’impact

    • Quand une analyse d’impact est-elle obligatoire ?
    • Que doit-elle contenir ?
    • Quelle méthode suivre ?
    • Quelles suites ?

    ATELIERS PRATIQUES

    • La protection des données en 20 questions
    • Démonstration pratique de l’établissement d’un registre
    • Démonstration du logiciel de la CNIL pour les analyses d’impact

     

     

  • Session 3 : Focus RH – Les processus internes à l’égard des salariés (Jour 2 – Matin)

     

     

     

    Objectifs Pédagogiques

    Savoir évaluer les impacts du RGPD dans les processus internes à l’égard des salariés.

    Programme

    1. Cartographie des traitements RH

    • Recensement des traitements RH et données collectées auprès des salariés
      • Identification des différentes activités et objectifs : quels traitements RH et quelles finalités ?
      • Identification des différentes données à caractère personnel : quelles données des salariés sont collectées et traitées ? lesquelles sont des données dites sensibles ?
      • Vérification du respect du principe de minimisation : les données collectées sont-elles adéquates, pertinentes et strictement nécessaires ?
      • Détermination de la base juridique du traitement : sur quelle base le traitement RH mis en œuvre est-il licite ?
        • Rappel des bases juridiques existantes
        • Détermination de la base juridique pertinente selon le traitement : quid du recours au consentement du salarié ?
          • Détermination des durées de conservation des données : combien de temps puis-je conserver les données que j’ai collectées auprès des salariés ?
            • Durée de conservation générale
            • Durées spécifiques selon les particularités des traitements (géolocalisation, vidéosurveillance enregistrements téléphoniques, accès aux locaux, données de connexion, lanceurs d’alerte)
              • Revue des habilitations délivrées pour l’accès aux données des salariés : qui y accède et pour quoi ?

              2. Analyse d’impact sur la protection des données

              • Définition des traitements visés
              • Critères fixés par le G29 et liste établie par la CNIL :
                • Quand une analyse d’impact apparait-elle nécessaire en matière de Ressources Humaines ?
                • Quand sera-t-elle conseillée ?

              3. Mise en place des processus RH internes et suivi

              • Information des candidats et salariés
                • Quelles informations transmettre aux candidats et salariés ?
                • Quel support et canal d’information choisir ?
              • Revue des contrats de travail (clauses envisageables)
              • Établissement ou refonte de la Charte informatique
                • Objectifs et contenu (focus : BYOD)
                • Comment lui donner une valeur contraignante ?
              • La gestion des droits RGPD des salariés
                • Existe-t-il des spécificités aux droits octroyés par le RGPD aux salariés ?
                • Organisation des procédures de traitement des demandes faites par les salariés

              4. Sensibilisation et formation des salariés

              • Obligation de formation et d’adaptation : les bonnes pratiques à adopter
              • Développement d’une culture de protection des données

              ATELIER PRATIQUE

              → Cas d’étude : faire face à une demande de droit d’accès par un salarié

               

               

            • Session 4 : Focus Contrats – Les relations externes (Jour 2 – Après-midi)

               

               

               

              Objectifs Pédagogiques

              Savoir évaluer les impacts du RGPD et les intégrer dans la pratique contractuelle de l’entreprise.

              Programme

              1. Introduction

              • Contrat et données personnelles : qui est concerné ?
              • La cartographie des traitements, préalable indispensable ?
              • La qualification des contrats : sont-ils tous visés ?
              • Rappel du principe : la responsabilité légale du responsable de traitement.
              • Le RGPD : quelle nouveauté ?

              2. Les contrats avec les sous-traitants

              • La notion de sous-traitant au sens du RGPD ;
              • Qualification de la relation de sous-traitance ;
              • Distinguer le cas de la responsabilité conjointe ;
              • Le recours licite à un sous-traitant :
                • La mise en place d'un contrat cadre entre responsable et sous-traitant et son contenu ;
                • Des garanties suffisantes ;
                • Délimitation du cadre d’intervention ;
                • Quelle marge de manœuvre ?
              → Cas d’étude : contrat de logiciel SaaS.

              3. Les contrats avec les clients

              • Identifier les personnes concernées
              • Identifier son propre rôle : responsable de traitement ? sous-traitant ?
              • Les incidences d’un double rôle dans les démarches de conformité de l’entreprise
              • Rappel des bases légales de traitement
              • Identifier les obligations à la charge du Responsable de traitement
              • Les droits des personnes concernées : ce qu'il faut dire à vos clients
              • Le consentement :
                • Les conditions de validité,
                • Le principe de l'« opt-in »
                • La charge de la preuve
              • Les contrats à analyser :
                • Les conditions générales : CGU, CGV, quelles clauses inclure ?
                • La politique de confidentialité et la politique de cookies
              → Cas d’étude : Modèle de Politique de confidentialité

              4. Les contrats relatifs au fichier-client

              • Rappels : règlement e-Privacy et Code des postes et des communications électroniques
              • La constitution du fichier-client
                • Consentement, exécution d'un contrat ou intérêt légitime : la base légale de la prospection
                • La constitution par le Sous-traitant
                • La base de données existante au 25 mai 2018 : que faire ?
              • La gestion du fichier-client
                • La mise à disposition par un tiers : data-brokers et agences marketing
                • La titularité du fichier-client : producteur de bases de données, responsable de traitement, auteur, exploitant ?
                • L’exploitation du fichier-client
              • La cession du fichier-client
                • Jurisprudence anté-RGPD : La chose hors du commerce à défaut de déclaration CNIL
                • Le statut actuel du fichier-client dans le cadre d’une cession
                • La question des due diligence
              → Cas d’étude : clause « Données personnelles » dans le cadre d’une opération marketing externalisée.

               

               

            Formation Expert : la compliance en action

            Comportant notre formation labellisée par la CNIL – « Conformité RGPD : Maitrise et innovation »

            Cette formation en cinq jours, pluridisciplinaire, permet aux acteurs de la compliance (DPO, référent Data, DSI, RSSI, juriste, avocat…) d’acquérir les bases juridiques, les compétences techniques et les méthodes organisationnelles afin de pouvoir pleinement assumer leurs missions RGPD au sein de leur organisme.

            La formation a notamment été conçue afin de prendre en compte le référentiel de la CNIL en matière de certification des compétences du délégué à la protection des données, dans sa version issue de la délibération n° 2018-318 du 20 septembre 2018.

            En plus des enseignements à la fois pratiques et théoriques, nos formateurs au sein du cabinet Altij, avocats ou juristes consultants, vous proposeront également tout au long de cette formation leur expérience en matière de diagnostic de la conformité et suivi des préconisations du DPO, que ce soit avec nos clients entreprises privées, structures publiques ou acteurs associatifs.

            Concernant les aspects techniques de la conformité au RGPD, Altij fait appel à des formateurs ingénieurs informaticiens, notamment grâce à son partenariat avec la Legaltech Quid IA, afin de s’assurer que les participants bénéficient d’une vision transverse des mesures requises.

            • Formation complète sur 5 jours (pouvant être personnalisée selon vos besoins)
            • 1 200 € HT par jour par participant ou 5 000 € HT pour la formation complète de 5 jours (sauf cas de personnalisation, sur devis)
            • Sur place dans vos locaux ou ceux d’Altij sur Toulouse, Bordeaux ou Paris
            • Formation disponible et dispensée en français et/ou en anglais
            • 1ère journée (7 heures) - Fondamentaux

               

               

               

              Matin : Confrontation des concepts de protection des données aux enjeux de la pratique

              1. Le RGPD : un enjeu sociétal et économique
              2. Les concepts de base (notions et principes fondamentaux, application dans la vie quotidienne de l’organisme)
              3. Les bases juridiques d’un traitement (Focus sur le consentement « opt-in », l’intérêt légitime de l’organisme et la nécessité contractuelle : comment identifier la bonne base ?)

              Quiz d’évaluation : connaissances de base

              • Après-midi : Information et exercice des droits

              1. L’information des personnes concernées : établir les cas où elle est nécessaire
              2. Site internet : rédiger sa politique de confidentialité, sa politique de cookies, son bandeau cookies et ses formulaires de consentement
              3. Les droits des personnes concernées : quels sont-ils et comment gérer les demandes ?

              Cas d'étude :

              - Gérer une demande de droit d'accès ou de droit d'opposition
              - Mettre ma newsletter en conformité (RGPD / e-Privacy)

               

               

            • 2ème journée (7 heures) - Les outils et briques de la conformité

               

               

               

              Matin : L’audit data et l’établissement du registre des traitements

              1. Diagnostic : comment auditer votre organisme en matière de protection des données
              2. Établir son registre des traitements (Responsable du traitement et sous-traitant)
              3. Identifier les durées de conservation

              Cas d’étude : Le registre des traitements et les durées de conservation

              Après-midi : Focus contrats (identifier le bon statut juridique)

              1. Les contrats avec les sous-traitants : notion de sous-traitant, distinguer avec le cas de la responsabilité conjointe, contrat cadre de sous-traitance
              2. Les contrats avec les clients : identifier les personnes concernées, rappel des bases légales, obligations du responsable et des sous-traitants, droits des personnes concernées, focus sur le consentement, contrat à analyser (CGV/CGU)
              3. Les contrats relatifs au fichier-client : rappel sur le règlement « e-Privacy » et le Code des postes et communications électroniques, constitution du fichier-client, gestion du fichier-client, cession du fichier-client

              Cas d’étude : Le contrat de sous-traitance et le contrat avec les responsables conjoints

               

               

               

               

            • 3ème journée (7 heures) - Les ressources humaines et les aspects internationaux

               

               

               

              Matin : Les ressources humaines

              1. Cartographie des traitements RH : recensement des traitements RH et des données collectées auprès des salariés, détermination de la base juridique du traitement, détermination des durées de conservation des données, revue des habilitations délivrées pour l’accès aux données des salariés
              2. Analyse d’impact sur la protection des données : définition des traitements visés, critères fixés par le G29 et liste établie par la CNIL
              3. Mise en place des process RH internes et suivi : information des candidats et salariés, revue des contrats de travail (clauses envisageables), établissement ou refonte de la Charte informatique, gestion des droits RGPD des salariés
              4. Sensibilisation et formation des salariés : obligation de formation et d'adaptation : les bonnes pratiques à adopter, développement d'une culture de protection des données

              Cas d’étude : L’information des salariés quant aux traitements de leurs données personnelles et quant à leurs droits à cet égard

              Après-midi : Les transferts transfrontaliers de données

              1. Les notions de base : transfert transfrontalier, pays tiers, régime d’adéquation (y compris le « Privacy Shield » pour les Etats-Unis), garanties appropriées (BCR, clauses contractuelles types), dérogations, etc.
              2. Comment identifier un transfert hors UE et comment déterminer l’instrument juridique approprié
              3. Les autorités de contrôle européennes (en France, la CNIL) : notions de « traitement transfrontalier » au sein de l’UE et la désignation d’une autorité de contrôle chef de file (système de « Guichet unique »)

              Cas d’étude : Mettre en place des clauses contractuelles types pour encadrer ses transferts vers un pays tiers

               

               

               

               

            • 4ème journée (7 heures) - Les aspects techniques et technologiques de la conformité

               

               

               

              Matin : Les mesures techniques et l’analyse d’impact

              1. Comprendre le Système d’Information (SI) de votre organisme et cartographier les traitements des données à caractère personnel étant effectués
              2. Revue des outils informatiques (logiciels, plateformes, applications) utilisés par votre organisme afin de traiter les données à caractère personnel
              3. L’analyse d’impact : quand et comment la réaliser ?

              Cas d’étude : Réalisation d’une analyse d’impact avant de mettre en place une nouvelle application de suivi des salariés

              Après-midi : Les atteintes aux données

              1. La cybersécurité des données : cadre règlementaire et cadre commercial (coûts et opportunités de la sécurisation)
              2. Les atteintes aux données : techniques du cybercrime (phishing, spoofing, DDoS, arnaque au président, etc.), infractions pénales, identification et correction des failles de sécurité (constitution d’un dossier de preuves), dépôt de plainte auprès du Procureur de la République, procédure de notification
              3. La notification de la CNIL et de la personne concernée en cas de violation de données
              4. Protéger les données personnelles : bonnes pratiques, pseudonymisation, chiffrement, minimisation des traitements (analyse de la check-list de la CNIL et de l’ANSSI relatives aux process de sécurité)
              5. Les contentieux en matière du cyber-risque : les voies de recours, sanctions administratives, civiles et pénales, risque de l’actions de groupe

              Cas d’étude : Comment gérer une violation des systèmes

              Démonstration : L’arnaque au président / Phishing

               

               

            • 5ème journée (7 heures) – Journée de synthèse

               

               

               

              Matin : Encadrer la mission du DPO en tant qu’outil de conformité

              1. Rôle et missions du DPO : fiche de poste et éthique
              2. Gérer les échanges avec la CNIL et les personnes concernées
              3. Revue de la documentation clé (registre, mentions d’information, formulaires de consentement, contrats sous-traitants, transferts, etc.)
              4. L’accountability : tracer les mesures de conformité (outils de suivi, bilan annuel, etc.)

              Après-midi : Suivi des connaissances acquises par rapport au référentiel DPO de la CNIL

              1. Analyse des 17 exigences du référentiel de la CNIL de certification des compétences du DPO (JORF n°0235 du 11 octobre 2018 texte n° 51)
              2. Cas d’études autour de ces exigences
              3. Foire aux questions

              Quiz final dématérialisé :

              Validation des connaissances acquises suite aux 5 journées de formation via un quiz structuré sur la base du référentiel CNIL, disponible sur notre plateforme.

               

               

            Formations Focus Métier

            Nous pouvons créer des formations sur-mesure, en prenant en compte votre domaine d’activité et vos compétences. Grâce à notre expérience en matière de mise en conformité au RGPD, il nous est possible de vous proposer des programmes personnalisés pour les secteurs suivants :

            • Aéronautique
            • Automobile
            • Collectivités territoriales
            • Financier
            • Immobilier
            • Santé

            Il nous est également possible d’étendre les domaines visés par nos formations, au-delà du seul champ de la protection des données à caractère personnel. Nos formations peuvent également vous permettre d’acquérir, en complément des enseignements sur le RGPD, des compétences :

            • en Droit du Marketing et du e-Commerce
            • en Droit de la Propriété Industrielle (Marques, Brevets…)
            • en Droit d’Auteur (cession des droits sur les œuvres, contractualisation…)
            • en Droit Social Approfondi (sécurisation des contrats de travail, lanceurs d’alerte…)

            Notre plaquette de formation


            Notre page sur la mise en conformité RGPD


            Nos formations vous intéressent ?

            Contactez-nous !