Coupon promo à 9.99€ : https://www.udemy.com/rgpd-les-fondamentaux/?couponCode=SLIDERGPD2018
D’une portée et d’une application plus étendues que l’actuelle loi sur la protection des données, le GDPR de l’UE étend les droits des individus en matière de données et exige des organisations qu’elles élaborent des politiques et des procédures claires pour protéger les données personnelles et qu’elles adoptent des mesures techniques et organisationnelles appropriées. Les organisations Européennes ont jusqu’en mai 2018 pour se conformer à la nouvelle loi, sous peine d’amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel ou 20 millions d’euros – le montant le plus élevé étant retenu.
Dispensée par un praticien expérimenté dans le domaine de la protection des données, cette formation s’appuie sur notre vaste expérience pratique acquise en matière de conformité aux lois sur la protection des données et aux normes de sécurité de l’information, telles que la norme ISO 27001.
Contenu de la formation complète :
_3h30 de vidéos
_Des exercices et des discussions ouvertes
Coupon : https://www.udemy.com/rgpd-les-fondamentaux/?couponCode=SLIDERGPD2018
1. Règlement Général sur la Protection des Données (RGPD)
Les fondamentaux (Fondation training)
2. Ceci est un échantillon gratuit du cours le RGPD les
fondamentaux : Le module 1 est offert ainsi que les
résumés des autres modules.
Si vous souhaitez en savoir plus :
Inscrivez vous à ma formation en ligne pour seulement
9.99€ !!!
Recopiez le lien suivant pour profiter de la promotion :
https://www.udemy.com/rgpd-les-
fondamentaux/?couponCode=SLIDERGPD2018
3. Introduction
Objectifs de la formation
1 Les définitions clés
2 Les tranches de pénalités et les diverses sanctions
3 Calendrier concernant l’application du RGPD
4 Les 6 principes de traitement des données, la légalité et le consentement
5 Les catégories spéciales de données
6 Les droits des personnes concernées
7 Les contrôleurs et les processeurs de données
8 Le “Privacy by Design”
4. Introduction
Objectifs de la formation
9 Sécurisation des données personnelles
10 Signalement des violations de données
11 Comment réaliser un DPIA (Data Protection Impact Analysis)
12 Rôle du Data Protection Officer (DPO)
13 Rôles des certifications
14 Transférer des données personnelles en dehors de l’UE
15 Les pouvoirs des autorités de contrôle
16 Rôle de l’autorité de contrôle principale
17 Rôle de l’European Data Protection Board (EPDB)
5. Introduction
Structure du cours
Module 1 Contexte, définitions et sanctions (3 parties)
Module 2 Les six principes du GDPR
Module 3 Les droits des personnes concernées (2 parties)
Module 4 Contrôleur et processeur (3 parties)
Module 5 Les transferts de données personnelles
Module 6 Les autorités indépendantes de contrôle
6. Module 1 – Partie 1
Contexte du GDPR, définitions et sanctions
-
Historique et contexte de la protection des données
7. Module 1 : Objectifs
A la fin de ce module, vous serez capable de :
Déterminer quels types d'informations personnelles rentrent dans le
cadre du GDPR
Déterminer la portée organisationnelle et géographique du GDPR
Définir correctement les principaux termes du GDPR
Identifier où les personnes concernées ont le droit de déposer une
plainte en ce qui concerne le traitement des données
Identifier les droits d'une personne concernée qui sont sujets à une
compensation
Identifier les infractions qui feront l'objet d'amendes pouvant aller
jusqu'à 2% ou 4 % du chiffre d'affaires annuel.
8. 1.1 Directive versus Règlement
Quelle est la différence entre une directive et un règlement ?
Une directive :
o Exige une mise en œuvre individuelle dans chaque État membre
o Est mise en œuvre par la création de lois nationales approuvées par
les parlements de chaque État membre
o Exemple : Directive 95/46/EC.
Un règlement :
o Est immédiatement applicable dans chaque État membre
o Exige aucune loi d'application locale
o Le GDPR est un règlement UE.
9. 1.1 Historique des lois
1953 la Convention de l'UE sur les droits de l'homme (CEDH) introduit la notion de vie
privée
1980 lignes directrices de l'OCDE sur les flux de données transfrontières
1981 Traité UE 108 - huit principes pour la protection des données personnelles
o Convention pour la protection des personnes à l'égard du traitement automatisé des
Données personnelles
o Différents États membres ont mis en œuvre leurs propres lois pour refléter cela
1995 Directive européenne sur la protection des données (95/46 / CE)
1998 tous les États membres transposent la directive en loi
2016 UE GDPR approuvé, devient loi deux ans après la publication.
10. 1.1 Structure du règlement
Le GDPR, un règlement en 11 chapitres
1 Chapitre I Dispositions générales : Articles 1 - 4
2 Chapitre II Principes : Articles 5 - 11
3 Chapitre III Droits des personnes concernées : Articles 12 - 23
4 Chapitre IV Contrôleur et processeur: Articles 24 - 43
5 Chapitre V Transfert de données à caractère personnel vers des pays tiers : Articles 44 à 50
6 Chapitre VI Autorités de contrôle indépendantes: Articles 51 à 59
7 Chapitre VII Coopération et cohérence : Articles 60 - 76
8 Chapitre VIII Recours, obligations et sanctions: Articles 77 à 84
9 Chapitres IX - XI Dispositions spécifiques diverses : Articles 85 - 99
11. 1.1 Organisation
European Data Protection Board
Autorité de contrôle
(CNIL, ICO, CNPD...)
Processeur
de données
Contrôleur
de données
Personne
concernée
Evaluation / Application
Plaintes
Devoirs
DroitsSécurité?
Support
Pays tiers
Tierce
personne
Garanties? Divulgation?
12. 1.1 Sujet & objectifs (Art.1)
Droits associés à la personne physique :
La protection des données personnelles
La protection du traitement des données personnelles
Le mouvement sans restriction des données personnelles au sein de l’UE
Personne physique = Individu en vie et identifiable = Personne Concernée
13. 1.1 Périmètre du règlement
Dans le champ d’application matériel :
Les données personnelles traitées entièrement ou partiellement par des moyens automatisées
Les données personnelles faisant partie d’un système de fichiers ou destinées à l’être
Hors du champ d’application matériel :
Les données personnelles utilisées dans le cadre d’une activité en dehors du droit de l’UE
Les données personnelles utilisées dans les contrôles aux frontières, l’asile et le statut
d’immigration
Les données personnelles utilisées en relation avec une activité purement personnelle
Les données personnelles utilisées à des fins de prévention du crime, …
14. 1.1 Périmètre du règlement
Traitement automatisé Stockage électronique
(Disque dur, Cloud…)
Traitement manuel Stockage physique
(Coffre-fort, classeurs…)
15. 1.1 Périmètre du règlement
Dans le champ d’application territorial :
Le règlement s’applique aux contrôleurs et aux sous-traitants UE, quel que soit le
lieu de transformation
Le règlement s’applique aux activités de traitement liées :
o Aux biens ou aux services, que le paiement soit requis ou non
o Au suivi du comportement des personnes concernées dans l’UE
Le règlement s’applique aux contrôleurs qui ne sont pas dans l’UE, mais où la loi de
l’Etat s’applique
16. 1.1 Périmètre du règlement
Individus EU
Entreprise EU
Entreprise HORS
EU
Sous-Traitant EU
Sous-Traitant HORS EU
Contrôleur de données Processeur de données
17. Fin du Module 1 – Partie 1
Contexte du GDPR, définitions et sanctions
-
Historique et contexte de la protection des données
18. Module 1 – Partie 2
Contexte du GDPR, définitions et sanctions
-
Les termes clés
19. 1.2 Les définitions clés
L'article 4 définit les termes suivants :
- Données à caractère personnel
- Traitement
- Limitation du traitement
- Profilage
- Pseudonymisation
- Fichier
- Responsable du traitement
- Sous-traitant
- Destinataire
- Tiers
- Consentement
- Violation de données personnelles
- Données génétiques
- Données biométriques
- Données concernant la santé
- Établissement principal
- Représentant
- Entreprise
- Groupe d'entreprises
- Règles d'entreprise contraignantes
- Autorité de surveillance
- Traitement transfrontalier
- Objection pertinente et motivée
- Service de la société de l'information
- Organisation internationale
20. 1.2 Les définitions clés
Le responsable du traitement (contrôleur de données)
La personne physique ou morale, l'autorité publique, le service ou autre organisme
qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du
traitement des données personnelles.
21. 1.2 Les définitions clés
Le processeur de données (sous-traitant)
Une personne physique ou morale, une autorité publique, agence ou autre organisme
qui traite des données personnelles au nom du responsable du traitement (contrôleur
de données).
22. 1.2 Les définitions clés
Le consentement
«Consentement» de la personne concernée, toute manifestation de volonté, libre,
spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une
déclaration ou par un acte positif clair, que des données à caractère
personnel la concernant fassent l'objet d'un traitement.
23. 1.2 Les définitions clés
Données personnelles
«données à caractère personnel», toute information se rapportant à une personne physique
identifiée ou identifiable, directement ou indirectement, notamment par référence à un
identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant
en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique,
physiologique, génétique, psychique, économique, culturelle ou sociale.
24. 1.2 Les définitions clés
Traitement
Toute opération ou ensemble d'opérations qui est effectuées sur des données personnelles ou sur
des ensembles de données personnelles, qu'elles soient ou non par des moyens automatisés, tels
que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou
l'altération, la récupération, la consultation, l'utilisation, la divulgation par transmission,
diffusion ou autrement disponible, l'alignement ou la combinaison, la restriction, l'effacement ou
la destruction.
25. Fin du Module 1 – Partie 2
Contexte du GDPR, définitions et sanctions
-
Les termes clés
26. Module 1 – Partie 3
Contexte du GDPR, définitions et sanctions
-
Droits, pénalités et sanctions
27. 1.3 Recours,devoirs et sanctions
Article 77 : Droit de déposer une plainte auprès d'une autorité de contrôle
Chaque personne concernée a le droit de déposer une plainte auprès d'une
autorité de contrôle :
État membre de résidence habituelle
Lieu de travail
Lieu de l'infraction présumée
L'autorité de contrôle informe le plaignant du progrès de sa plainte, y compris de la possibilité d'un
recours judiciaire
28. 1.3 Recours,devoirs et sanctions
Article 79 : Droit à un recours juridique contre un contrôleur ou un processeur
Droit à un recours juridique lorsque les droits de la personne concernée ont été violés
à la suite d’un traitement de données personnelles
La procédure sera portée devant le tribunal de l’ État membre dans lequel est établi
le contrôleur ou le processeur
Peut également être porté devant les juridictions de l'État membre où la personne
concernée réside habituellement
29. 1.3 Recours,devoirs et sanctions
Article 82 : Droit à réparation et responsabilité
Toute personne ayant subi un dommage matériel ou moral à le droit de recevoir une
compensation du contrôleur ou du processeur
Le contrôleur est responsable des dommages causés par le traitement.
Le processeur n'est responsable que des dommages causés par le traitement où il
a agi contrairement aux instructions légales du contrôleur.
La responsabilité est conjointe et solidaire pour assurer une indemnisation
effective.
Responsabilité concernant le recouvrement de la rémunération.
30. 1.3 Recours,devoirs et sanctions
Article 83 : Conditions générales pour imposer des amendes administratives
L'imposition d'amendes administratives sera dans chaque cas
Efficace, proportionnée et dissuasif. Celle-ci tiendra compte de :
La nature, la gravité et la durée de l'infraction
Le caractère intentionnel ou négligent de l'infraction
Toute mesure prise par le responsable du traitement ou par le sous-traitant afin
d’atténuer les dommages subis par les personnes concernées
31. 1.3 Recours,devoirs et sanctions
Article 83 : Conditions générales pour imposer des amendes administratives
L'imposition d'amendes administratives sera dans chaque cas
Efficace, proportionnée et dissuasif. Celle-ci tiendra compte de :
Le degré de responsabilité du responsable du traitement ou du sous-traitant
compte tenu des mesures techniques et organisationnelles mises en œuvre par ces
derniers
Toute infraction antérieure pertinente
Le degré de coopération;
Les catégories de données à caractère personnel affectées par l'infraction
La manière dont l'infraction a été connue
Lorsque des mesures ont déjà été prononcés contre le contrôleur ou le processeur
L’application des codes de conduite approuvés ou des mécanismes de
certifications approuvés en application
Et tout autre facteur aggravant ou atténuant
32. 1.3 Recours,devoirs et sanctions
Article 83 : Conditions générales pour imposer des amendes administratives
Les violations des disposition suivantes font l’objet d’amendes administratives
pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu’à
2% du chiffre d'affaires annuel mondial total de l'exercice précédent (le montant le
plus élevé étant retenu).
8: Le consentement de l'enfant 33: Notification des manquements à l'autorité de surveillance
11: Traitement ne nécessitant pas d'identification 34: Communication des violations de données aux personnes
concernées
25: Protection des données par conception et par
défaut
35: Évaluation de l'impact de la protection des données
26: Contrôleurs conjoints 36: Consultation préalable
27: Représentants des contrôleurs non établis dans
l'UE
37 - 39: DPD
26,29 et 30: Traitement 42: Certification
31: Coopération avec l'autorité de surveillance 41: Suivi des codes de conduite approuvés
32: Sécurité des données 43: Les organismes de certification
33. 1.3 Recours,devoirs et sanctions
Article 83 : Conditions générales pour imposer des amendes administratives
Les violations des disposition suivantes font l’objet d’amendes administratives
pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu’à
4% du chiffre d'affaires annuel mondial total de l'exercice précédent (le montant le
plus élevé étant retenu).
5: Principes relatifs au traitement des données personnelles 44 - 49: Transferts vers les pays tiers
6: Légalité du traitement 58 (1): Obligation de fournir l'accès à autorité de
surveillance
7: Conditions du consentement 58 (2): Commandes / limitations de traitement ou
suspension des flux de données
9: Traitement de catégories spéciales de données
personnelles (c.-à-d. données personnelles sensibles)
12 - 22: Droits des personnes concernées à l'information, à
l'accès, rectification, effacement, restriction du
traitement, données portabilité, objet, profilage
34. Fin du Module 1 – Partie 3
Contexte du GDPR, définitions et sanctions
-
Droits, pénalités et sanctions
35. Module 1 : Résumé
Partie 1 & 2 du cours : Articles de 1 à 4 (objet et objectifs, périmètre et les définitions)
Niveau de changement entre la DPD et le GDPR : Moyen
Risque élevé
o La définition des données personnelles est plus large
o Le GDPR a une plus grande portée territoriale
Comment démontrer la conformité ?
o Établir et maintenir un inventaire de données
36. Module 1 : Résumé
Partie 3 du cours : Articles 77 à 84 (recours, responsabilités et pénalités)
Niveau de changement entre la DPD et le GDPR : Haut
Risque élevé
o Les autorités de surveillance sont habilitées à imposer des amendes sur les
contrôleurs de données et les processeurs de données.
Comment démontrer la conformité ?
o Envisager une vérification des contrôles et processus internes
o Examiner les risques de confidentialité
o Réviser les relations avec les fournisseurs
38. Module 1 : Discussion
RÉPONSES:
1. Principaux processus métiers qui utilisent des données personnelles
2. Sources des données personnelles
3. Catégories des données personnelles traitées
4. Les fins auxquelles les données personnelles seront utilisées
5. Les destinataires potentiels de données personnelles
6. Systèmes principaux et référentiels des données personnelles
7. Transferts internationaux de données personnelles
8. Dispositions ou rétention pour les données personnelles
39. Fin du Module 1
Contexte du GDPR, définitions et sanctions
41. Module 2 : Objectifs
A la fin de ce module, vous serez capable de :
Identifier chacun des six principes concernant le traitement des données personnelles
Démontrer la conformité avec chacun des six principes
Expliquer comment les contrôleurs peuvent démontrer la conformité
Identifier les motifs légitimes de traitement des données.
Identifier les conditions légales du consentement
Identifier Les conditions supplémentaires pour le consentement de l’enfant
Identifier les catégories particulières de données qui ne peuvent pas être traitées
Reconnaître les circonstances où des catégories particulières de données peuvent être traitées
42. Module 2 : Résumé
Niveau de changement entre la DPD et le GDPR : Moyen car les principes restent similaires à
ceux de la DPD
Risque élevé
o Les principes constituent le cœur du règlement. La non-conformité avec ces principes est
susceptible d'avoir un impact important en termes de pénalités et d'atteinte à la réputation
Comment démontrer la conformité ?
o Evaluation des risques sur les nouvelles règles(ex. Les données des enfants,
consentement...)
o Tenez compte de l'efficacité du cadre de contrôle de votre organisation (analyse d'écart par
rapport à un cadre de bonnes pratiques tel que ISO 27001, BS10012)
43. Module 3 – Partie 1
Les droits de la personne concernée
-
Information et accès aux données personnelles
44. Module 3 : Objectifs
A la fin de ce module, vous serez capable de :
Identifier les tests pour répondre de manière transparente à la demande
d'accès des personnes concernées
Identifier les exigences concernant les contrôleurs lors d’une collecte de
données personnelles
Identifier les actions nécessaires en matière de données personnelles obtenues
indirectement
Identifier les droits d'accès à l’information d'une personne concernée
Identifier les motifs qui donnent le droit d'être oublié
Identifier les motifs qui donnent le droit de restreindre le traitement
Identifier le droit d'une personne concernée à propos de la portabilité des
données
Identifier le droit d'une personne concernée qui s'oppose au traitement.
45. Module 3 : Résumé
Niveau de changement entre la DPD et le GDPR : Moyen car les principaux droits restent
similaires à ceux de la DPD
Risque moyen
o Les droits existants restent les mêmes
o Nouveau droit : Le droit à l'oubli
o Nouveau droit : Le droit à la portabilité des données personnelles
o Comment démontrer la conformité ?
o Etablir/Revoir les processus, procédures et les formations
46. Module 4 – Partie 1
Le contrôleur et le processeur de données
-
Les obligations générales
47. Module 4.1 : Objectifs
A la fin de la partie 1 du module 4, vous serez capable de :
Faire la différence entre un contrôleur et un processeur de données
Identifier les obligations relatives aux contrôleurs en ce qui concerne les activités
de traitement
Identifier comment les organisations doivent aborder la protection des données
« By design »
Identifier les exigences à l'égard des contrôleurs ou des processeurs qui ne sont pas
établis dans l'UE
Identifier les obligations appliquées aux processeurs
Identifier les exigences relatives aux enregistrements des activités de traitement
48. Module 4 – Partie 2
Le contrôleur et le processeur de données
-
Sécurité des données personnelles
49. Module 4.2 : Objectifs
A la fin de la partie 2 du module 4, vous serez capable de :
Identifier les exigences relatives au traitement sécurisé
Identifier les options dont disposent les organisations pour démontrer le respect des
exigences concernant le traitement sécurisé
Identifier les exigences en termes de signalement des violations de données
Identifier l'obligation de signaler les violations de données aux personnes concernées
Reconnaître les motifs sur lesquels les violations n'ont pas besoin d'être signalées
aux personnes concernées
50. Fin du Module 4 – Partie 2
Le contrôleur et le processeur de données
-
Sécurité des données personnelles
51. Module 4 – Partie 3
Le contrôleur et le processeur de données
-
DPIA, DPO & les codes de conduites
52. Module 4.3 : Objectifs
A la fin de la partie 3 du module 4, vous serez capable de :
Identifier les circonstances dans lesquelles un DPIA est requis
Identifier les conditions requises pour la réalisation d'un DPIA
Identifier les circonstances dans lesquelles un DPD (DPO) doit être nommé
Identifier les tâches du DPD
Identifier les exigences pour un code de conduite ou de certification
53. Fin du Module 4 – Partie 3
Le contrôleur et le processeur de données
-
DPIA, DPO & les codes de conduites
54. Module 4 : Résumé
Niveau de changement entre la DPD et le GDPR : Elevé (codes de conduites révisés, dpia et
l'obligation de nommer un dpo)
Gestion du risque
o Le GDPR exige la mise en œuvre de mesures techniques et organisationnelles
o afin de réduire le risque.
Comment démontrer la conformité ?
o Tenez compte des principaux domaines de risques et de l'efficacité des processus et
contrôles associés à:
o Gouvernance de la protection des données et gestion des risques informationnels
o Formation et sensibilisation
o La gestion des dossiers et à la sécurité des données personnelles.
o Demandes de données personnelles
o Partage de données
56. Module 5 : Objectifs
A la fin du module 5, vous serez capable de :
Identifier les principes régissant les transferts de données personnelles hors UE
Identifier où l'UE affiche les détails des organisations et des pays qui répondent à
son test d'adéquation
Identifier les exigences en matière de règles d'entreprise contraignantes
57. Module 5 : Résumé
Niveau de changement entre la DPD et le GDPR : Faible, les obligations du GDPR sont
globalement similaires à celles de la DPD
Gestion du risque
o Haute : Le non-respect des dispositions relatives au transfert de données peut entraîner le
niveau maximal en matière de sanctions administratives et financières
Comment démontrer la conformité ?
o Contrats fournisseurs incluant des clauses appropriées concernant la sécurité de
l'information et la confidentialité appropriées :
o L’évaluations des risques des fournisseurs
o Des règles d'entreprise contraignantes ou des clauses contractuelles types
o Ou encore des certifications approuvées (par exemple, Privacy Shield)
59. Module 6 : Objectifs
A la fin du module 6, vous serez capable de :
Identifier les pouvoirs des autorités de contrôle
Identifier le rôle d'une autorité de contrôle principale
Identifier les tâches du comité européen de la protection des données (EDPB)
Identifier comment l'EDPB assure la cohérence de l'application du GDPR dans l’UE
60. Module 6 : Résumé
Niveau de changement entre la DPD et le GDPR : Haut
Gestion du risque
o Moyennes - les autorités de surveillance ont une compétence spécifique pour agir sur leur
propre territoire
Comment se conformer?
o Identifiez l'organe de supervision principal de votre organisation
61. Vous voulez en savoir plus ?
Inscrivez vous à ma formation en ligne pour seulement
9.99€ !!!
Recopiez le lien suivant pour profiter de la promotion :
https://www.udemy.com/rgpd-les-
fondamentaux/?couponCode=SLIDERGPD2018
Des questions ?
info@mdi-consulting.lu