Ne dirigez pas votre entreprise sans co-pilote
Aller au contenu

Formation personnalisée des TPE et PME pour se mettre en conformité au RGPD :


FICHE DE SEQUENCE RGPD

REGLEMENT GENERAL DE PROTECTION DES DONNEES
Formation / Action pour comprendre et engager une démarche de mise en conformité adaptée aux PME
Ce programme a été élaboré par M2GS SAS, Pascal VINCENT, qui en est le propriétaire. Il est protégé par les droits de la propriété intellectuelle et ne peut être reproduit. Il s’appuie sur les meilleures pratiques des organismes reconnus : la CNIL, le CLUSIF, le CLUSIR Rha, et tous les sites rattachés « .gouv.fr »
SEQUENCE
Comprendre le Règlement Général de Protection des Données, les points importants de cette nouvelle stratégie de protection des données personnelles et identifier la méthode participative à mettre en œuvre pour satisfaire aux exigences et se mettre à terme, avec efficience, en conformité.
Durée : 1, 2 ou 3 jours de formation pour comprendre et initier les premières actions : une journée de formation action, de formation en situation de travail + accompagnement d'une journée ou de 2 à 4 demi-journées en groupe ou individuelles.
OBJECTIFS
Connaître les principales exigences du RGPD et comprendre comment commencer à les mettre en œuvre.
1.     Historique : la CNIL, définitions, les 5 règles d’Or, l’évolution vers le RGPD.
2.     Cartographie : identification des activités, chantiers, fichiers, services, contrats, …, données concernées
3.     Priorisation : analyse des caractéristiques et priorisation des travaux à mener
4.     Comment s’organiser pour travailler sur les sujets : compétences, missions, externalisation, juridique, …
5.     Comment documenter : politique de sécurité, gestion des incidents, revue des contrats, DPO, …
6.     Partage d’expérience : audit, contrôles, gestion des non-conformités/anomalies, veille, …
DEROULEMENT DE LA SEANCE
La première séance d’une journée vise à apporter les premiers éléments pour comprendre la situation, l’objectif et la méthode proposée pour avancer concrètement.
A la fin de la première journée, le registre des traitements est abordé, avec un remplissage permettant ensuite aux participants de le terminer.
Les premiers éléments de réponses aux sollicitations (documents attestant de la conformité) sont initiés et tous les autres éléments sont abordés en individuels pour les finaliser en séance 2.
Par exemple :
SEQUENCE 1 – De la Cnil et les 5 règles d’Or A l’évolution vers le RGPD
Comprendre en général l’objectif du RGPD et méthode de travail
o   Historique et protection de la donnée personnelle
o   La CNIL et la Loi Informatique et Liberté de 1978
o   Les 5 règles d’Or
o   Les acteurs de l’économie numérique et les raisons de nouveau règlement européen
o   Les grandes lignes du RGPD concernant la PME et les nouvelles obligations
o   La méthode de travail suggéré par la CNIL pour les PME
o   Sources bibliographiques, documentation, schémas globaux du périmètre, …
Comment travailler sur ce sujet, comment démarrer ?
o   Le DPO, c’est qui ? obligatoire ? comment ? il fait quoi ?
o   Il faut être compliance : comment le prouver ?
o   Le plus important : cartographier, lister, tout ce qui peut rentrer dans le périmètre et prioriser.
o   Constitution du groupe de travail
o   Commencer par le début : règlement intérieur, charte informatique, sécurité de son SI, indication des règles internes et externes,
o   Application des principes aux particularités des entreprises : groupes, correspondants, externalisation, sous-traitance, degré de maîtrise, analyse des risques

Cartographie des activités, chantiers, fichiers, services, contrats, …, données

Travail en sous-groupe sur le cas concret de l’entreprise en temps réel
o   Identification des activités, identification des chantiers,
o   Liste des fichiers, ceux déclarés à la CNIL, …
o   Implication des services,
o   Revue des contrats et documents
o   Données personnelles concernées prioritaires : stratégiques, sensibles, publiques
o   Le registre des traitements
o   Gestion des incidents
o   Contrôle interne
o   Gestion des anomalies et non-conformités

Synthèse première journée et complétude des éléments à préparer
o   Questions et réponses
o   Synthèse et suites à donner.
o   Questionnaire d’évaluation de la formation et du formateur
SEQUENCE 2 – Finalisation de la Documentation
Finalisation des éléments préparés attestant de la conformité
o   Registre des traitements
o   Powerpoint descriptif du système d’information
o   Gestion des Incidents
o   Revue de direction
o   Gestion des anomalies et non-conformités
o   Document de synthèse attestant de la compliance
o   Mesures et documents préconisés : protection du système d’information, charte informatique,
o   Revue des mentions obligatoires : règlement intérieur, contrats fournisseurs, contrats clients, candidats, participants, …
o   Questions/ réponses adaptés à chaque entreprise

Informations CNIL :
Comment la CNIL contrôlera-t-elle le respect du RGPD à partir du 25 mai 2018 ?
Dans ce contexte et, en particulier, face au renforcement important du montant des sanctions, de nombreux organismes s’interrogent sur les orientations que suivra la CNIL, dans les premiers mois de mise en œuvre du RGPD, dans sa politique de contrôle.
La CNIL distinguera deux types d’obligations s’imposant aux professionnels.
Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL.
En revanche, pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points.

La CNIL a annoncé :
RGPD : le    temps de la mansuétude prend fin
   Jeudi 18 Avril    2019 – Activité :  Informatique & Data
La    CNIL estime qu'il est temps de faire preuve d'une fermeté accrue,    maintenant que le RGPD est en place depuis presque un an. Voilà le message    qu’a voulu faire passer Marie-Laure Denis, sa nouvelle présidente.    Désormais, il faut s’attendre à ce que l’autorité administrative    indépendante fasse preuve d’une bienveillance réduite en cas de manquements    au RGPD. Si la CNIL entend toujours faire preuve de discernement, comme    elle l’explique, elle doit hausser aussi le ton. C’est indispensable pour    donner du poids à la protection des données personnelles et limiter et empêcher    des dérives. «La    crédibilité du RGPD repose aussi sur une politique de contrôles et de    sanctions efficace», rappelle ainsi la CNIL… (Cf. info de Julien Lausson - Numerama)
http://www.facilities.fr/category/actualite/

Pascal VINCENT, M2GS SAS, sont adhérents du CLUSIR, Rhône-Alpes Auvergne, Secrétaire Général Adjoint et Co-Animateur du Club Intelligence Economique et Cybersécurité

7 entreprises ont fait confiance à M2GS pour cet accompagnement, qui a été très raisonnable en coût, très efficace en temps des équipes mobilisées et qui permet désormais à l'entreprise d'être conforme, sans avoir recours à des DPO externalisés qui abusent de leur situation en jouant sur la peur.

C'est un métier de faire passer les messages et de vous montrer le chemin le plus court et le plus économique que tant d'autres pourraient bien rallonger à merveille.







M2GS : +33 679 031 301

contact @ m2gs . com



Tout droits de reproduction
interdit (Copyright)
Droits réservés

SAS au Capital de 200 000€
Centre d'Affaires Bellevue
17, chemin Bellevue - 69340 FRANCHEVILLE
Retourner au contenu
UA-11267400-8