Lexagone

Introduction au nouveau Règlement

Pourquoi est-ce un changement de paradigme pour l’organisation de la conformité I&L ?

La dimension européenne et mondiale du nouveau dispositif

La répartition des rôles entre les CNIL et la Commission européenne

La notion d’approche par les risques

Le rôle de l’autorité de protection des données dans le nouveau dispositif

Du CIL au DPO

La nécessité de raisonner en feuille de route pour se préparer au 25 mai 2018

Décryptage de points clés qui auront un impact sur le dispositif interne de conformité

Approche systémique du règlement autour des axes clés qui illustrent les principes, les exigences et les objectifs de conformité à atteindre :

Nouvelles notions : Responsables conjoints, Tiers, Profilage, Pseudonymisation, Limitation, Violation…

Principes de transparence / Loyauté / Licéité / minimisation -> Accountablity

Contractualisation responsable/sous-traitant

Privacy by design

Etude d’Impact sur la vie privée

Sécurité et notification des failles

Formalités auprès de la CNIL ?

Objectif de la formation RGPD2 (DPD/DPO)

Méthodologie et outils nécessaires à la mise en œuvre du nouveau cadre applicable :

 L’évolution du CIL vers le Délégué à la Protection des Données (DPD/DPO)

 Les nouveaux mécanismes de la protection des données

• Registre / Accountability
• Etude d’Impact sur la Vie Privée (EIVP)
• Scoring des sous-traitants

Cas pratique pour la conduite d’un audit de conformité Informatique et Libertés / RGPD

Cartographie sur pièce à partir d’un traitement

• Utilisation d’un outil de recensement (solution DPM)
• Analyse des documents et informations associés au traitement

 Mesure de la conformité du traitement au regard du RGPD

 Identification des mesures correctrices

 Elaboration du plan d’actions

Procédure interne de conformité RGPD

Définir les modalités d’information et de collaboration interne sur les créations et modifications des traitements

 Définir les points de contrôle et de validation

 Définir les profils intervenant dans la procédure

 Organisation de la tenue du registre

 Elaboration du logigramme de la procédure

Synthèse

En prenant en compte la situation des participants : définir un plan d’actions envisageable afin d’atteindre dès que possible un niveau satisfaisant d’adaptation aux nouvelles exigences.

Principes

• Notion de donnée de santé
• Principe d’interdiction
• Exceptions qui permettent leur traitement

Recherche dans le domaine de la santé

• Les principes
• Méthodologie de Référence
• Droits des personnes participant à une recherche médicale

Evaluation et analyse des pratiques et activités

• Les principes
• Pharmacovigilance
• Droits des personnes

Education et apprentissage thérapeutique

Sécurité des traitements

• Principes
• Application à la recherche
• Le cas particulier du CLOUD

Mission et avantages du Correspondant Informatique et Libertés

• Les avantages de ce dispositif d’autorégulation
• Acteur de relations institutionnelles privilégiées
• Les modalités de désignation (notification à la CNIL)
• Les modalités d’exécution et obligations légales de sa mission
• La responsabilité du CIL et du responsable légal

Positionnement du CIL par rapport à l’organisation de la structure

• Définir ses missions et la reconnaissance interne et externe que vous souhaitez mettre en place
• Identifier les compétences indispensables en fonction du secteur d’activité

Organisation de la communication entre les services et le CIL

• Règles de concertation
• Recommandations aux directions concernées
• Recommandations pour les nouveaux traitements
• Organisation d’un Comité de pilotage (le cas échéant)

Intégrer la Culture Informatique et Libertés

• Guide de bonne conduite
• Guide de gestion des droits d’accès, guide de gestion de l’archivage

Garantir la conformité Informatique et Libertés en mode opérationnel

• Modalités d’information sur la création et la mise à jour des traitements
• Définir les points de contrôle
• Registre du CIL
• Bilan annuel du CIL

Cas pratique pour la conduite d’un audit de conformité Informatique et Libertés

• Procédure d’état de rapprochement entre les déclarations CNIL et la réalité des traitements

PROTECTION DES DONNÉES (Théorie)

• Principales définitions (DCP, responsable de traitement, sous-traitant …)
• Textes règlementaires (LIL, GDPR)
• Instances (CNIL, unités de contrôle)
• Tiers et leurs droits
• Les sanctions financières
• Les sanctions pénales
• Les responsabilités selon le statut
• Profiling, BYOD, nomadisme, dispositifs RFID, objets connectés

Prise en main du logiciel DPM (fourni)

PROTECTION DES DONNÉES (Missions du DPO)

• Audits des traitements de données
• Documenter
• Cartographier
• Tenir le registre
• Les droits des tiers
• Le privacy by design
• Le privacy by défaut
• Les études d’impact (PIA)
• Les alertes et leurs dispositifs
• La diffusion de l’information

Prise en main du logiciel DPM (fourni)