L'essentiel
Code(s) NSF
313 : Finances, banque, assurances, immobilier
326 : Informatique, traitement de l'information, réseaux de transmission
320 : Spécialites plurivalentes de la communication et de l'information
Formacode(s)
31006 : Sécurité informatique
Date d’échéance
de l’enregistrement
31-12-2021
Nom légal | Siret | Nom commercial | Site internet |
---|---|---|---|
ECOLE SUPERIEURE D'ASSURANCE | 32006002300050 | - | - |
Objectifs et contexte de la certification :
La création et le traitement de données personnelles sont soumis à des obligations destinées à protéger la vie privée et les libertés individuelles. Elles varient selon la nature du fichier et la finalité des informations recueillies : déclaration normale ou simplifiée, ou demande d'autorisation. Il existe aussi des droits et des obligations de sécurité, de confidentialité et d'information. La certification « gérer la mise en conformité de la protection des données à caractère personnel » permet d’accéder à une démarche méthodologique et opérationnelle.
Ainsi acquise, les activités visant à garantir la protection des données pourront être diffusées plus largement et pilotées plus efficacement.
Compétences attestées :
Analyse de l’existant et cartographie des traitements
Analyse de l’environnement juridique et du contexte propre à l’organisation.
- Appréhender et comprendre le contexte légal et réglementaire pour assurer une mise en œuvre conforme du RGPD.
- Assurer une veille juridique pour s’informer et se mettre à jour des nouvelles obligations en matière de protection de données.
- Analyser et intégrer dans le plan d’action le référentiel à respecter pour permettre la mise en conformité de l’organisation.
- Analyser et comprendre le secteur d’activité de l’organisme, ses métiers et les différentes populations présentes pour déterminer les différentes catégories de données traitées.
Cartographie des traitements.
- Réaliser l’inventaire des traitements de données à caractère personnel, informatisées ou non, pour contrôler leur conformité RGPD.
- Analyser les mesures techniques et organisationnelles prises pour assurer la protection des données et évaluer le niveau de risque pour les droits des personnes et leurs libertés.
- Définir les durées de conservation des données, en tenant compte des contraintes légales de durée minimum pour respecter le droit à l’oubli des personnes.
- Établir le registre des traitements en respectant le contenu imposé par le RGPD pour recenser les traitements leurs caractéristiques et leurs finalités.
Analyse des impacts et des risques
- Piloter la réalisation des études d’impacts et déterminer le seuil à partir duquel une consultation de l’autorité de contrôle est nécessaire pour maintenir la vérification de la mise en conformité dans un principe d’amélioration continue.
- Analyser les processus pour identifier les menaces et les points de vulnérabilité dans sa propre organisation et dans celle des sous-traitants.
- Évaluer le niveau de vraisemblance de chaque risque pour définir leurs probabilités de survenance.
- Évaluer le niveau de gravité de chaque impact pour anticiper la nature des actions correctives à mettre en œuvre.
- Définir et suivre les actions correctives à mettre en place afin de limiter le niveau des risques et le niveau des impacts.
- Assurer le suivi de la procédure de consultation auprès de l’autorité de contrôle pour prendre en charge le rôle de point de contact avec la CNIL.
Etablir et mettre en œuvre un plan d’action de protection des données en conformité avec le RGPD.
- Elaborer un plan d’action en tenant compte de l’analyse de l’existant et des objectifs à atteindre pour organiser les étapes de lise en place du RGPD.
- Mobiliser les ressources nécessaires à la réalisation des étapes du projet (ressources humaines, matérielles, temporelles, financières, techniques) pour assurer les conditions favorables à la réussite du projet.
- Organiser les conditions d’exercice de la mission du délégué à la protection des données personnel, en tenant compte du besoin d’autonomie et de la nécessité d’éviter les conflits d’intérêt pour veiller à une mise en œuvre dans des conditions optimales.
- Contrôler la mise en œuvre des mesures techniques et organisationnelles pour garantir la protection des données.
- Contrôler les mesures prises pour le respect des droits des personnes et le recueil des consentements pour respecter le cadre légal.
- Contrôler le respect des règles et le formalisme dans la rédaction des contrats avec les prestataires de services et les sous-traitants.
- Contrôler le respect des règles et le formalisme dans la conception des sites Web et de tous les supports de communication pour veiller au respect des mentions légales.
- Organiser la prise en charge des demandes des personnes souhaitant exercer leurs droits d’accès aux données, de rectification ou de mise à jour, d’opposition ou de limitation au traitement et d’effacement des données.
- Concevoir et mettre en place des procédures de gestion de crises et, en particulier, la procédure de signalement des violations de données à l’autorité de contrôle pour gérer en toute transparence les intrusions.
- Analyser les causes des violations de données pour corriger les failles de sécurité et définir des mesures destinées à éviter la reproduction des incidents.
- Poser le cadre de gouvernance permettant d’inscrire le plan d’action dans la durée pour garantir la protection des données durant tout le cycle de vie des traitements, depuis la collecte, jusqu’à la destruction des données.
- Réduire l’exposition de l’organisme aux risques de sanctions civiles, administratives et pénales en cas de non-respect de la législation et de préjudices causés aux personnes pour remédier au caractère défectueux dans le processus de protection de données.
Accompagnement des acteurs dans la nouvelle acculturation de protection de données
Création d’un cadre favorable de pilotage transverse.
- Organiser le cadre de pilotage de la conformité en continu pour permettre de l’inscrire dans la durabilité.
- S’assurer que les prestataires et les sous-traitants respectent leurs obligations contractuelles pour modifier le cas échéant les contrats.
- Construire et animer le réseau de travail collaboratif et coopératif transversal pour permettre aux équipes engagées dans le maintien de la conformité de travailler efficacement.
Diffusion d’une acculturation dans l’organisation de protection des données.
- Concevoir des actions de sensibilisation pour communiquer aux collaborateurs l’intérêt et l’impact des nouvelles règles en matière de protection de données et favoriser leur acculturation.
- Informer, communiquer les règles et processus à respecter dans le cadre de la protection des données pour légitimer les actions de vérification et de correction conséquentes.
- Prévenir et gérer les situations conflictuelles pour assurer la pérennité des processus mis en place.
- Créer et développer un réseau de partenaires internes et externes, sans lien de subordination juridique pour assurer la diffusion des bonnes pratiques et servir de relais.
- Assurer des actions de formation auprès des collaborateurs pour les accompagner dans leurs changements de pratiques et de posture.
Toutes les compétences sont évaluées.
Modalités d'évaluation :
La formation se dispense en continue ou en alternance. (en inter ou en intra)
3 modules de formation :
Module 1 : Analyse de l’existant et cartographie des traitements.
Module 2 : Etablir et mettre en œuvre un plan d’action de protection des données en conformité avec le RGPD.
Module 3 : Accompagnement des acteurs dans la nouvelle acculturation de protection de données.
La durée de formation est comprise entre 35 et 70 heures.
Références juridiques des règlementations d’activité :
Le cas échant, prérequis à l’entrée en formation :
Pas de prérequis mais une expérience d’au moins un an est appréciée.
Le cas échant, prérequis à la validation de la certification :
Aucune correspondance
Date d'échéance de l'enregistrement | 31-12-2021 |
---|
Statistiques :
Lien internet vers le descriptif de la certification :
http://formation-bts-assurances.esaassurance.com
Le certificateur n'habilite aucun organisme préparant à la certification