Free Sample : Le RGPD-GDPR les fondamentaux

Règlement Général sur la Protection des Données (RGPD)
Les fondamentaux (Fondation training)

Ceci est un échantillon gratuit du cours le RGPD les
fondamentaux : Le module 1 est offert ainsi que les
résumés des autres modules.
Si vous souhaitez en savoir plus :
Inscrivez vous à ma formation en ligne pour seulement
9.99€ !!!
Recopiez le lien suivant pour profiter de la promotion :
https://www.udemy.com/rgpd-les-
fondamentaux/?couponCode=SLIDERGPD2018

Introduction
Objectifs de la formation
1 Les définitions clés
2 Les tranches de pénalités et les diverses sanctions
3 Calendrier concernant l’application du RGPD
4 Les 6 principes de traitement des données, la légalité et le consentement
5 Les catégories spéciales de données
6 Les droits des personnes concernées
7 Les contrôleurs et les processeurs de données
8 Le “Privacy by Design”

Introduction
Objectifs de la formation
9 Sécurisation des données personnelles
10 Signalement des violations de données
11 Comment réaliser un DPIA (Data Protection Impact Analysis)
12 Rôle du Data Protection Officer (DPO)
13 Rôles des certifications
14 Transférer des données personnelles en dehors de l’UE
15 Les pouvoirs des autorités de contrôle
16 Rôle de l’autorité de contrôle principale
17 Rôle de l’European Data Protection Board (EPDB)

Introduction
Structure du cours
Module 1 Contexte, définitions et sanctions (3 parties)
Module 2 Les six principes du GDPR
Module 3 Les droits des personnes concernées (2 parties)
Module 4 Contrôleur et processeur (3 parties)
Module 5 Les transferts de données personnelles
Module 6 Les autorités indépendantes de contrôle

Module 1 – Partie 1
Contexte du GDPR, définitions et sanctions
-
Historique et contexte de la protection des données

Module 1 : Objectifs
A la fin de ce module, vous serez capable de :
 Déterminer quels types d'informations personnelles rentrent dans le
cadre du GDPR
 Déterminer la portée organisationnelle et géographique du GDPR
 Définir correctement les principaux termes du GDPR
 Identifier où les personnes concernées ont le droit de déposer une
plainte en ce qui concerne le traitement des données
 Identifier les droits d'une personne concernée qui sont sujets à une
compensation
 Identifier les infractions qui feront l'objet d'amendes pouvant aller
jusqu'à 2% ou 4 % du chiffre d'affaires annuel.

1.1 Directive versus Règlement
Quelle est la différence entre une directive et un règlement ?
 Une directive :
o Exige une mise en œuvre individuelle dans chaque État membre
o Est mise en œuvre par la création de lois nationales approuvées par
les parlements de chaque État membre
o Exemple : Directive 95/46/EC.
 Un règlement :
o Est immédiatement applicable dans chaque État membre
o Exige aucune loi d'application locale
o Le GDPR est un règlement UE.

1.1 Historique des lois
 1953 la Convention de l'UE sur les droits de l'homme (CEDH) introduit la notion de vie
privée
 1980 lignes directrices de l'OCDE sur les flux de données transfrontières
 1981 Traité UE 108 - huit principes pour la protection des données personnelles
o Convention pour la protection des personnes à l'égard du traitement automatisé des
Données personnelles
o Différents États membres ont mis en œuvre leurs propres lois pour refléter cela
 1995 Directive européenne sur la protection des données (95/46 / CE)
 1998 tous les États membres transposent la directive en loi
 2016 UE GDPR approuvé, devient loi deux ans après la publication.

1.1 Structure du règlement
Le GDPR, un règlement en 11 chapitres
1 Chapitre I Dispositions générales : Articles 1 - 4
2 Chapitre II Principes : Articles 5 - 11
3 Chapitre III Droits des personnes concernées : Articles 12 - 23
4 Chapitre IV Contrôleur et processeur: Articles 24 - 43
5 Chapitre V Transfert de données à caractère personnel vers des pays tiers : Articles 44 à 50
6 Chapitre VI Autorités de contrôle indépendantes: Articles 51 à 59
7 Chapitre VII Coopération et cohérence : Articles 60 - 76
8 Chapitre VIII Recours, obligations et sanctions: Articles 77 à 84
9 Chapitres IX - XI Dispositions spécifiques diverses : Articles 85 - 99

1.1 Organisation
European Data Protection Board
Autorité de contrôle
(CNIL, ICO, CNPD...)
Processeur
de données
Contrôleur
de données
Personne
concernée
Evaluation / Application
Plaintes
Devoirs
DroitsSécurité?
Support
Pays tiers
Tierce
personne
Garanties? Divulgation?

1.1 Sujet & objectifs (Art.1)
 Droits associés à la personne physique :
 La protection des données personnelles
 La protection du traitement des données personnelles
 Le mouvement sans restriction des données personnelles au sein de l’UE
Personne physique = Individu en vie et identifiable = Personne Concernée

1.1 Périmètre du règlement
Dans le champ d’application matériel :
 Les données personnelles traitées entièrement ou partiellement par des moyens automatisées
 Les données personnelles faisant partie d’un système de fichiers ou destinées à l’être
Hors du champ d’application matériel :
 Les données personnelles utilisées dans le cadre d’une activité en dehors du droit de l’UE
 Les données personnelles utilisées dans les contrôles aux frontières, l’asile et le statut
d’immigration
 Les données personnelles utilisées en relation avec une activité purement personnelle
 Les données personnelles utilisées à des fins de prévention du crime, …

Traitement automatisé Stockage électronique
(Disque dur, Cloud…)
Traitement manuel Stockage physique
(Coffre-fort, classeurs…)

Dans le champ d’application territorial :
 Le règlement s’applique aux contrôleurs et aux sous-traitants UE, quel que soit le
lieu de transformation
 Le règlement s’applique aux activités de traitement liées :
o Aux biens ou aux services, que le paiement soit requis ou non
o Au suivi du comportement des personnes concernées dans l’UE
 Le règlement s’applique aux contrôleurs qui ne sont pas dans l’UE, mais où la loi de
l’Etat s’applique

Individus EU
Entreprise EU
Entreprise HORS
EU
Sous-Traitant EU
Sous-Traitant HORS EU
Contrôleur de données Processeur de données

Fin du Module 1 – Partie 1
-
Historique et contexte de la protection des données

-
Les termes clés

1.2 Les définitions clés
L'article 4 définit les termes suivants :
- Données à caractère personnel
- Traitement
- Limitation du traitement
- Profilage
- Pseudonymisation
- Fichier
- Responsable du traitement
- Sous-traitant
- Destinataire
- Tiers
- Consentement
- Violation de données personnelles
- Données génétiques
- Données biométriques
- Données concernant la santé
- Établissement principal
- Représentant
- Entreprise
- Groupe d'entreprises
- Règles d'entreprise contraignantes
- Autorité de surveillance
- Traitement transfrontalier
- Objection pertinente et motivée
- Service de la société de l'information
- Organisation internationale

Le responsable du traitement (contrôleur de données)
La personne physique ou morale, l'autorité publique, le service ou autre organisme
qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du
traitement des données personnelles.

Le processeur de données (sous-traitant)
Une personne physique ou morale, une autorité publique, agence ou autre organisme
qui traite des données personnelles au nom du responsable du traitement (contrôleur
de données).

Le consentement
«Consentement» de la personne concernée, toute manifestation de volonté, libre,
spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une
déclaration ou par un acte positif clair, que des données à caractère
personnel la concernant fassent l'objet d'un traitement.

Données personnelles
«données à caractère personnel», toute information se rapportant à une personne physique
identifiée ou identifiable, directement ou indirectement, notamment par référence à un
identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant
en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique,
physiologique, génétique, psychique, économique, culturelle ou sociale.

Traitement
Toute opération ou ensemble d'opérations qui est effectuées sur des données personnelles ou sur
des ensembles de données personnelles, qu'elles soient ou non par des moyens automatisés, tels
que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou
l'altération, la récupération, la consultation, l'utilisation, la divulgation par transmission,
diffusion ou autrement disponible, l'alignement ou la combinaison, la restriction, l'effacement ou
la destruction.

-
Les termes clés

-
Droits, pénalités et sanctions

1.3 Recours,devoirs et sanctions
Article 77 : Droit de déposer une plainte auprès d'une autorité de contrôle
Chaque personne concernée a le droit de déposer une plainte auprès d'une
autorité de contrôle :
 État membre de résidence habituelle
 Lieu de travail
 Lieu de l'infraction présumée
L'autorité de contrôle informe le plaignant du progrès de sa plainte, y compris de la possibilité d'un
recours judiciaire

Article 79 : Droit à un recours juridique contre un contrôleur ou un processeur
 Droit à un recours juridique lorsque les droits de la personne concernée ont été violés
à la suite d’un traitement de données personnelles
 La procédure sera portée devant le tribunal de l’ État membre dans lequel est établi
le contrôleur ou le processeur
 Peut également être porté devant les juridictions de l'État membre où la personne
concernée réside habituellement

Article 82 : Droit à réparation et responsabilité
Toute personne ayant subi un dommage matériel ou moral à le droit de recevoir une
compensation du contrôleur ou du processeur
 Le contrôleur est responsable des dommages causés par le traitement.
 Le processeur n'est responsable que des dommages causés par le traitement où il
a agi contrairement aux instructions légales du contrôleur.
 La responsabilité est conjointe et solidaire pour assurer une indemnisation
effective.
 Responsabilité concernant le recouvrement de la rémunération.

Article 83 : Conditions générales pour imposer des amendes administratives
L'imposition d'amendes administratives sera dans chaque cas
Efficace, proportionnée et dissuasif. Celle-ci tiendra compte de :
 La nature, la gravité et la durée de l'infraction
 Le caractère intentionnel ou négligent de l'infraction
 Toute mesure prise par le responsable du traitement ou par le sous-traitant afin
d’atténuer les dommages subis par les personnes concernées

L'imposition d'amendes administratives sera dans chaque cas
Efficace, proportionnée et dissuasif. Celle-ci tiendra compte de :
 Le degré de responsabilité du responsable du traitement ou du sous-traitant
compte tenu des mesures techniques et organisationnelles mises en œuvre par ces
derniers
 Toute infraction antérieure pertinente
 Le degré de coopération;
 Les catégories de données à caractère personnel affectées par l'infraction
 La manière dont l'infraction a été connue
 Lorsque des mesures ont déjà été prononcés contre le contrôleur ou le processeur
 L’application des codes de conduite approuvés ou des mécanismes de
certifications approuvés en application
 Et tout autre facteur aggravant ou atténuant

Les violations des disposition suivantes font l’objet d’amendes administratives
pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu’à
2% du chiffre d'affaires annuel mondial total de l'exercice précédent (le montant le
plus élevé étant retenu).
8: Le consentement de l'enfant 33: Notification des manquements à l'autorité de surveillance
11: Traitement ne nécessitant pas d'identification 34: Communication des violations de données aux personnes
concernées
25: Protection des données par conception et par
défaut
35: Évaluation de l'impact de la protection des données
26: Contrôleurs conjoints 36: Consultation préalable
27: Représentants des contrôleurs non établis dans
l'UE
37 - 39: DPD
26,29 et 30: Traitement 42: Certification
31: Coopération avec l'autorité de surveillance 41: Suivi des codes de conduite approuvés
32: Sécurité des données 43: Les organismes de certification

Les violations des disposition suivantes font l’objet d’amendes administratives
pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu’à
4% du chiffre d'affaires annuel mondial total de l'exercice précédent (le montant le
plus élevé étant retenu).
5: Principes relatifs au traitement des données personnelles 44 - 49: Transferts vers les pays tiers
6: Légalité du traitement 58 (1): Obligation de fournir l'accès à autorité de
surveillance
7: Conditions du consentement 58 (2): Commandes / limitations de traitement ou
suspension des flux de données
9: Traitement de catégories spéciales de données
personnelles (c.-à-d. données personnelles sensibles)
12 - 22: Droits des personnes concernées à l'information, à
l'accès, rectification, effacement, restriction du
traitement, données portabilité, objet, profilage

-
Droits, pénalités et sanctions

Module 1 : Résumé
 Partie 1 & 2 du cours : Articles de 1 à 4 (objet et objectifs, périmètre et les définitions)
 Niveau de changement entre la DPD et le GDPR : Moyen
 Risque élevé
o La définition des données personnelles est plus large
o Le GDPR a une plus grande portée territoriale
 Comment démontrer la conformité ?
o Établir et maintenir un inventaire de données

Module 1 : Résumé
 Partie 3 du cours : Articles 77 à 84 (recours, responsabilités et pénalités)
 Niveau de changement entre la DPD et le GDPR : Haut
 Risque élevé
o Les autorités de surveillance sont habilitées à imposer des amendes sur les
contrôleurs de données et les processeurs de données.
o Envisager une vérification des contrôles et processus internes
o Examiner les risques de confidentialité
o Réviser les relations avec les fournisseurs

Module 1: Exercice-Discussion
Que devrait-on enregistrer dans l'inventaire des données?

Module 1 : Discussion
RÉPONSES:
1. Principaux processus métiers qui utilisent des données personnelles
2. Sources des données personnelles
3. Catégories des données personnelles traitées
4. Les fins auxquelles les données personnelles seront utilisées
5. Les destinataires potentiels de données personnelles
6. Systèmes principaux et référentiels des données personnelles
7. Transferts internationaux de données personnelles
8. Dispositions ou rétention pour les données personnelles

Fin du Module 1

 Identifier chacun des six principes concernant le traitement des données personnelles
 Démontrer la conformité avec chacun des six principes
 Expliquer comment les contrôleurs peuvent démontrer la conformité
 Identifier les motifs légitimes de traitement des données.
 Identifier les conditions légales du consentement
 Identifier Les conditions supplémentaires pour le consentement de l’enfant
 Identifier les catégories particulières de données qui ne peuvent pas être traitées
 Reconnaître les circonstances où des catégories particulières de données peuvent être traitées

Module 2 : Résumé
 Niveau de changement entre la DPD et le GDPR : Moyen car les principes restent similaires à
ceux de la DPD
 Risque élevé
o Les principes constituent le cœur du règlement. La non-conformité avec ces principes est
susceptible d'avoir un impact important en termes de pénalités et d'atteinte à la réputation
o Evaluation des risques sur les nouvelles règles(ex. Les données des enfants,
consentement...)
o Tenez compte de l'efficacité du cadre de contrôle de votre organisation (analyse d'écart par
rapport à un cadre de bonnes pratiques tel que ISO 27001, BS10012)

Les droits de la personne concernée
-
Information et accès aux données personnelles

 Identifier les tests pour répondre de manière transparente à la demande
d'accès des personnes concernées
 Identifier les exigences concernant les contrôleurs lors d’une collecte de
données personnelles
 Identifier les actions nécessaires en matière de données personnelles obtenues
indirectement
 Identifier les droits d'accès à l’information d'une personne concernée
 Identifier les motifs qui donnent le droit d'être oublié
 Identifier les motifs qui donnent le droit de restreindre le traitement
 Identifier le droit d'une personne concernée à propos de la portabilité des
données
 Identifier le droit d'une personne concernée qui s'oppose au traitement.

Module 3 : Résumé
 Niveau de changement entre la DPD et le GDPR : Moyen car les principaux droits restent
similaires à ceux de la DPD
 Risque moyen
o Les droits existants restent les mêmes
o Nouveau droit : Le droit à l'oubli
o Nouveau droit : Le droit à la portabilité des données personnelles
o Comment démontrer la conformité ?
o Etablir/Revoir les processus, procédures et les formations

Le contrôleur et le processeur de données
-
Les obligations générales

Module 4.1 : Objectifs
A la fin de la partie 1 du module 4, vous serez capable de :
 Faire la différence entre un contrôleur et un processeur de données
 Identifier les obligations relatives aux contrôleurs en ce qui concerne les activités
de traitement
 Identifier comment les organisations doivent aborder la protection des données
« By design »
 Identifier les exigences à l'égard des contrôleurs ou des processeurs qui ne sont pas
établis dans l'UE
 Identifier les obligations appliquées aux processeurs
 Identifier les exigences relatives aux enregistrements des activités de traitement

-
Sécurité des données personnelles

 Identifier les exigences relatives au traitement sécurisé
 Identifier les options dont disposent les organisations pour démontrer le respect des
exigences concernant le traitement sécurisé
 Identifier les exigences en termes de signalement des violations de données
 Identifier l'obligation de signaler les violations de données aux personnes concernées
 Reconnaître les motifs sur lesquels les violations n'ont pas besoin d'être signalées
aux personnes concernées

-
Sécurité des données personnelles

-
DPIA, DPO & les codes de conduites

 Identifier les circonstances dans lesquelles un DPIA est requis
 Identifier les conditions requises pour la réalisation d'un DPIA
 Identifier les circonstances dans lesquelles un DPD (DPO) doit être nommé
 Identifier les tâches du DPD
 Identifier les exigences pour un code de conduite ou de certification

-
DPIA, DPO & les codes de conduites

Module 4 : Résumé
 Niveau de changement entre la DPD et le GDPR : Elevé (codes de conduites révisés, dpia et
l'obligation de nommer un dpo)
 Gestion du risque
o Le GDPR exige la mise en œuvre de mesures techniques et organisationnelles
o afin de réduire le risque.
 Comment démontrer la conformité ?
o Tenez compte des principaux domaines de risques et de l'efficacité des processus et
contrôles associés à:
o Gouvernance de la protection des données et gestion des risques informationnels
o Formation et sensibilisation
o La gestion des dossiers et à la sécurité des données personnelles.
o Demandes de données personnelles
o Partage de données

Module 5
Les transferts de données personnelles

A la fin du module 5, vous serez capable de :
 Identifier les principes régissant les transferts de données personnelles hors UE
 Identifier où l'UE affiche les détails des organisations et des pays qui répondent à
son test d'adéquation
 Identifier les exigences en matière de règles d'entreprise contraignantes

Module 5 : Résumé
 Niveau de changement entre la DPD et le GDPR : Faible, les obligations du GDPR sont
globalement similaires à celles de la DPD
o Haute : Le non-respect des dispositions relatives au transfert de données peut entraîner le
niveau maximal en matière de sanctions administratives et financières
 Comment démontrer la conformité ?
o Contrats fournisseurs incluant des clauses appropriées concernant la sécurité de
l'information et la confidentialité appropriées :
o L’évaluations des risques des fournisseurs
o Des règles d'entreprise contraignantes ou des clauses contractuelles types
o Ou encore des certifications approuvées (par exemple, Privacy Shield)

Module 6
Les autorités de contrôle
&
EDPB

A la fin du module 6, vous serez capable de :
 Identifier les pouvoirs des autorités de contrôle
 Identifier le rôle d'une autorité de contrôle principale
 Identifier les tâches du comité européen de la protection des données (EDPB)
 Identifier comment l'EDPB assure la cohérence de l'application du GDPR dans l’UE

Module 6 : Résumé
 Niveau de changement entre la DPD et le GDPR : Haut
o Moyennes - les autorités de surveillance ont une compétence spécifique pour agir sur leur
propre territoire
 Comment se conformer?
o Identifiez l'organe de supervision principal de votre organisation

Vous voulez en savoir plus ?
Inscrivez vous à ma formation en ligne pour seulement
9.99€ !!!
Recopiez le lien suivant pour profiter de la promotion :
https://www.udemy.com/rgpd-les-
fondamentaux/?couponCode=SLIDERGPD2018
Des questions ?
info@mdi-consulting.lu

Free Sample : Le RGPD-GDPR les fondamentaux

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Free Sample : Le RGPD-GDPR les fondamentaux

Semelhante a Free Sample : Le RGPD-GDPR les fondamentaux (20)

Free Sample : Le RGPD-GDPR les fondamentaux