Passer au contenu principal
RNCP35680

Responsable de la Protection des Données des Organisations

Page France Compétence
Description Collaborer avec les différents départements ou services de l’organisation pour identifier les processus organisationnels Répartir les responsabilités des différents acteurs, selon la méthode RACI pour permettre à chacun de s'exprimer et être au clair sur ce qu'il a à faire pour chaque phase. Déterminer un phasage simple et souple prenant en compte les contraintes du projet (Scrum, Kanban, DevOps) et choisir les outils adaptés (Trello, Slack etc.) Partager les objectifs du projet Veiller au respect de la méthode Focusser sur l’aboutissement des actions (méthode scrum) Anticiper les conséquences des décisions prises, pour limiter les risques éventuels Analyser les différents départements, en collaboration avec les directions de chacun d’entre eux, par des entretiens directs ou en cas de télétravail, en distanciel et par l’accès autorisé au système d’information (CRM, comptes rendus d’ateliers collaboratifs…) Référencer les grands traitements de données à caractère personnel Identifier la sécurité des voies d’accès, en tenant compte des situations de télétravail des salariés Identifier la sécurité du système d’information Identifier la sécurité des comportements des collaborateurs et réaliser un focus sur le personnel en télétravail ou dit « nomade » Veiller à la licéité et à la loyauté des traitements des données à caractère personnel en informant et en recueillant le consentement des personnes dont les données sont utilisées, en respectant les obligations légales d responsable du traitement, en appliquant les principes d’interdiction et d’exception dans le traitement des données sensibles etc. Mettre en œuvre le cadre légal des droits des personnes, tel que par exemple le droit d’accès, de rectification ou de refus de profilage Appliquer le principe de minimisation et le principe d’intégrité des données. Choisir pour chaque action, la durée de conservation strictement utile Alerter le responsable du traitement sur son obligation de respecter le RGPD Mettre en place des mesures techniques et organisationnelles appropriées pour que tout projet de l’organisation tienne compte en amont des principes du RGPD (dès la conception) Garantir que seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement soient effectivement traitées (par défaut) Déterminer le fondement juridique du traitement recueillant le consentement clair des personnes concernées, en lien avec une obligation légale, règlementaire, contractuelle, Pour répondre à l’intérêt légitime de l’organisation Décrire les traitements cartographiés en précisant la nature des données personnelles traitées, les finalités des traitements, les durées de conservation (légales ou librement fixées), les éventuels services ou personnes internes ou externes à qui sont transférées ces données et les mesures de sécurisation techniques et organisationnelles des données, y compris en cas de télétravail. Documenter le registre pour les différentes données Permettre la traçabilité par la réalisation de rapports d’audit des processus, de documents reprenant la formulation des recommandations de mise en conformité, destinées aux différentes directions de l’organisation (direction générale, direction de chaque département concerné…), de documents reprenant les actions correctives à réaliser Faciliter la mission des autorités de contrôle et répondre aux diverses demandes de consultations des pièces, documents, registres, justifiant la conformité des traitements des données au RGPD Accompagner la direction générale dans le traitement d’un contrôle de la CNIL ou de toute autorité de contrôle des traitements des données à caractère personnel Signaler une atteinte aux données à caractère personnel traitées par l’organisation par exemple en cas de cyberattaque Dispenser des conseils, sur La méthodologie générale d’application du RGPD au sein de l’organisation Dispenser des conseils sur les impacts de la protection des données et la détermination de la nécessité de mettre en œuvre des analyses d’impacts (AIPD) et d’en vérifier l’exécution, en cas de transferts de données hors Union Européenne, sur les instruments juridiques de transfert susceptibles d’être utilisés Identifier les thématiques à surveiller et investiguer les informations disponibles pour repérer les évolutions légales et la jurisprudence et choisir un outil adapté pour créer une bibliothèque évolutive et accessible Collecter, analyser et traiter l’information Diffuser l’information en créant des documents adaptés et/ou en organisant des événements, en tenant compte dans la mesure du possible, des différentes situations de handicap du personnel utilisateur Utiliser des plateformes collaboratives pour échanger avec les personnels qui travaillent à distance A partir de la politique de communication de l’organisation, en collaboration avec le département communication, choisir les canaux d’information à destination des collaborateurs. Segmenter les informations en fonction des personnels ciblés, en s’appuyant sur les « familles professionnelles » identifiées par le service communication Concevoir des contenus simples, clairs et accessibles pour toutes les fonctions, quel que soit le niveau d’intervention dans l’organigramme et animer un forum interactif, en tenant compte des situations de handicap identifiées au sein de l’organisation Créer des tutoriels, avec l’appui du département communication, en incluant des outils audios ou des sous-titres pour les personnes mal voyantes ou mal entendantes, ou en veillant à utiliser des typographies lisibles Segmenter des événements de sensibilisation au RGPD et à ses conséquences sur les pratiques quotidiennes du personnel et de la Direction Générale
Objectif

Il y a 50 ans, les technologies de l’information étaient synonymes d’outils d’automatisation. La majorité des projets avaient pour unique objet l’automatisation d’un processus existant afin d’en réduire les coûts. La question du «traitement » est alors à l’avant-scène. Les données ne sont considérées que dans les limites de leurs apports au bon accomplissement des traitements.

Dans le même temps, une nouvelle autorité publique de contrôle voit le jour : la Commission Nationale de l’Informatique et des Libertés (CNIL). En 2004, les pouvoirs de contrôle et de sanction de la CNIL sont renforcés et la fonction de Correspondant Informatique et Libertés (CIL) est créée.

De 2006 à 2016, la gestion des données, ou Data Management, continue à beaucoup évoluer.

Les États membres de l’UE considèrent alors que ces évolutions requièrent un cadre de protection des données plus solide et plus cohérent, assorti d'une application rigoureuse des règles, afin de susciter la confiance qui permettra à l'économie numérique de se développer dans l'ensemble du marché intérieur. C’est dans ce contexte que le « Règlement Général sur la Protection des Données (RGPD) » est adopté. Il entre en application, en France et dans toute l’Europe, le 25 mai 2018.

Avec ce nouveau règlement, le CIL propre à la France disparait et laisse place, au niveau européen, au « Délégué à la Protection des données (DPD) » ou « Data Protection Officer (DPO) ».

La présente certification permet de certifier les compétences de professionnel(e)s directement opérationnel(le)s, capables d’appréhender profondément le RGPD et de guider chaque département des organisations vers une conformité des traitements des données, véritable levier de performance.
Niveau 6 - Savoirs approfondis
Date de validité 17/06/2024
Domains
  • droit
  • intégration informatique
  • stratégie commerciale
  • cahier charges informatique
NSF
  • Droit fiscal ; Droit des affaires ; Droit pénal ; Droit de l'environnement ; Droit de la santé ; Droit de la sécurité et de la défense ; Droit du transport etc
  • Informatique, traitement de l'information, réseaux de transmission
  • Informatique, traitement de l'information, réseaux de transmission des données
GFE
Rome
Nom légal Rôle
JUNIA XP Habilitation pour former et organiser l'évaluation
skills4all Habilitation pour former et organiser l'évaluation
Lycée Saint-Rémi Habilitation pour former et organiser l'évaluation
SARL KEYCE INTERNATIONAL ACADEMY Habilitation pour former et organiser l'évaluation
IMPACT RGPD Habilitation pour former et organiser l'évaluation