Recherche avancée
Par formation
Par date
Par ville
logo HUB Formation
Organisme de Formation
aux Technologies et métiers de L'informatique
La pédagogie au service de la technologie
Accueil > Domaines > RGPD > Audit interne de contrôle de conformité au GDPR/RGPD

Audit interne de contrôle de conformité au GDPR/RGPD

Se mettre en conformité avec la loi

Le nouveau règlement européen (GDPR) introduit l’obligation pour le responsable de traitement de démontrer le respect au règlement européen et au délégué à la protection des données (DPO) de réaliser une mission de contrôle. En outre, il confirme les autorités compétentes dans leur rôle de contrôle et l’application de sanctions administratives. Cette formation vise à présenter la démarche à adopter dans le cadre d’un contrôle de conformité organisationnel au GDPR.

Objectifs

  • Être capable de décrire la démarche à entreprendre dans le cadre d’un contrôle de conformité organisationnel au GDPR
  • Comprendre comment dérouler un audit de contrôle organisationnel au GDPR
  • Se préparer à un contrôle de la CNIL

Public

  • Auditeurs, DPO, Dirigeants, Responsables juridiques

Prérequis

  • Connaissance du nouveau règlement

Programme de la formation

Rappel : les nouveautés apportées par le GDPR

  • Les nouvelles obligations pour le responsable des traitements et pour les sous-traitants
  • Les nouveaux droits pour les personnes concernées

Contrôle de conformité au GDPR : organisation à prévoir

  • Rôle, missions et positionnement du DPO
  • Contrôle interne vs contrôle externe

Les points de contrôle de conformité

  • Rôles et responsabilités : les instances de décision, la séparation des tâches, les lettres de mission, traçabilité des décisions, ….
  • Politique de protection de la vie privée et des données à caractère personnel : structure documentaire, engagements du responsable de traitement et du sous-traitant, diffusion et communication de la politique, les chartes internes, sensibilisation, ….
  • Procédures internes : formalisation et communication des procédures, ….
  • Le respect des droits des personnes : consentement, mentions légales d’information, transparence lors de traitements de données à caractère personnel, délai de réponse aux demandes, traçabilité des demandes, …
  • Le respect des obligations du responsable de traitement : la tenue du registre, implication dans la politique de sécurité des données et du SI, les contrats avec les sous-traitants, la gestion des risques sur la vie privée (AIPD), la gestion des violations de donnée à caractère personnel, les relations avec l’autorité de contrôle, ….
  • Le contrôle de conformité des traitements : respect des principes de licéité, de durée de conservation des données, gestion du consentement, …..

Cas pratique

  • Présentation de la Checklist et des points de contrôle :
  • Chapitre II : Principes : - article 6 (Principes relatifs au traitement des données à caractère personnel), - article 7 (Conditions applicables au consentement), - article 9 (Traitement portant sur des catégories particulières de données à caractère personnel), - article 10 (Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions)
  • Chapitre III : Droits des personnes - article 12 (Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée), - article 13 (Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée), article 15 (Droit d'accès de la personne concernée), - article 16 (Droit de rectification), - article 17 (Droit à l'effacement ("droit à l'oubli")), - article 18 (Droit à la limitation du traitement), - article 19 (Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement), - article 20 (Droit à la portabilité des données), - article 21 (Droit d'opposition), - article 22 (Décision individuelle automatisée, y compris le profilage)
  • Chapitre IV : Obligations du responsable de traitement et sous-traitants : - article 24 (Responsabilité du responsable du traitement), - article 25 (Protection des données dès la conception et protection des données par défaut), - article 28 (Sous-traitant), - article 30 (Registre des activités de traitement), - article 32 (Sécurité du traitement), - article 33 (Notification à l'autorité de contrôle d'une violation de données à caractère personnel), - article 34 (Communication à la personne concernée d'une violation de données à caractère personnel), - article 35 (Analyse d'impact relative à la protection des données), - article 36 (Consultation préalable)

Synthèse et conclusion

Les + de cette formation

Une approche méthodologique participative permettant des échanges entre participants et le formateur sur des retours d’expériences concrets. La démarche d’audit proposée a été utilisée dans des cas réels d’entreprise. L’expérience du formateur lui permet de s’appuyer sur des exemples concrets facilitant les retours d’expérience. Support de cours remis sur clé USB.