Le RGPD est le Règlement Général pour la Protection des Données.

Ce règlement européen régule et protège les données à caractère personnel de ses citoyens. Un Règlement européen s’applique immédiatement sans besoin de transposition dans le droit national.

Qu’entendons-nous par donnée à caractère personnel ? Il s’agit de toute les données qui permettent d’identifier une personne. La liste est longue ; nom, prénom, adresse, date de naissance, numéro de téléphone, adresse de messagerie, mais aussi situation maritale, nombre d’enfants, numéro de sécurité sociale, adresse IP,... et les combinaisons de traitements peuvent permettre de retrouver une personne seulement avec son genre, son code postal et sa date de naissance !


Prochaine session :
- sur demande !


Contact : 2i2L - Informatique Internet et Logiciels Libres. Tel. : 02 40 37 02 06 – Mobile : 06 07 38 14 18 – Courriel : formation chez 2i2l.fr


Résumé de la formation :

- Durée : une (1) journée (selon les besoins)
- Objectif : être en capacité de comprendre les enjeux de la protection de la vie privée et de savoir élaborer un plan d’action d’une bonne démarche RGPD
- Pré-requis : aucun
- Publics : élus, dirigeants, directeurs, responsables de services, responsables de traitements
- Pédagogie : présentation magistrale, échanges dans le groupe, ateliers de cartographie des données personnelles détenues par la structure


Le Règlement général sur la protection des données ou règlement no 2016/679, dit RGPD, ou encore GDPR (de l’anglais General Data Protection Regulation), est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne [1].

- La page officielle du Règlement général sur la protection des données (RGPD)
- L’article Wikipédia sur le Règlement général sur la protection des données (RGPD)


Introduction a la protection des données personnelles

Origine et contexte historique des lois sur la vie privée
- le fondement de la protection des données personnelles
- la loi Informatique et Liberté de 1978
- l’harmonisation européenne
- la modernisation

Cadre législatif
- la convention du conseil de l’Europe (1981)
- la directive européenne relative à la protection des données personnelles (95/46/CE)
- la directive européenne « vie privée et communications électroniques » (2002/58/CE)(modifiée)
- la directive européenne relative au commerce électronique (2000/31/CE)
- les régimes de la rétention des données personnelles en Europe
- le Règlement général sur la protection des données (RGPD) et la législation associée

Terminologie propre à la protection des données

Données a caractère personnel
- les données personnelles
- les données personnelles sensibles
- les données pseudonymisées et anonymisées
- les traitements
- les responsables de traitement et Sous-traitants
- les bénéficiaires et les tierces parties
- les personnes concernées

Champ d’application territorial
- l’établissement dans l’EU
- l’établissement hors de l’EU

Principes appliqués au traitement de données à caractère personnel
- la loyauté et la licéité
- la limitation de la finalité
- la proportionnalité
- l’exactitude
- la limitation de la conservation
- l’intégrité et la confidentialité

Fondements légaux du traitement
- le consentement
- la nécessité contractuelle
- l’obligation légale
- la protection des intérêts vitaux
- l’intérêt public
- l’intérêt légitime

Traitement de catégories spéciales de données

Droit des personnes concernées
- la rectification
- l’effacement (droit à l’oubli)
- la restriction et l’objection
- la portabilité des données
- la prise de décision automatisée, y compris profilage

Sécurité des données personnelles
- les processus et mesures techniques
- la confidentialité
- la notification des violations de données

Règles d’obligation et de conformité
- les responsabilités des responsables de traitement et des sous-traitants
- la protection des données dès la conception et par défaut
- la documentation et coopération avec les autorités de régulation
- l’analyse d’impact relative à la protection des données
- le délégué à la Protection des Données

Stratégie
- assurer l’attention de la direction
- auditer et inventorier, cartographier les données (comment faire ? qui, quoi, quand,... ? Atelier, études et sondages, appel)
- former les équipes (toutes celles qui touchent aux données)
- revoir le processus de consentement
- revoir les fournisseurs (choisir et vérifier les fournisseurs)
- évaluer les technologies (effacer les données & sécurité et contrôle d’accès)
- revoir, mettre à jour et publier la Politique de Confidentialité
- rédiger le DPA (Data Processing Agreement) pour les sous-traitants
- vérifier si le P.I.A. devient nécessaire et le budgéter (l’étude d’impact sur la vie privée)
- désigner un DPO (Data Processing Officer)
- réaliser le registre des activités de traitements