Le nouveau règlement européen (RGPD) relatif à la protection des données personnelles est entré en application le 25 mai 2018. Ce règlement, complexe, implique notamment la nomination d’un Délégué à la protection des données ou DPO (Data Protection Officer).
Les organismes de tourisme se sont informés ou formés sur cette réglementation et ont travaillé sur leur mise en conformité. Mais cette mise en application pour les organismes institutionnels du tourisme a révélé des situations complexes du fait de leurs activités multiples, de leur fonctionnement en réseaux et de l’utilisation d’outils spécifiques de mutualisation (comme la base de données Apidae ou outils de GRC).
Ces DPO doivent pouvoir appréhender la globalité de leur nouvelle fonction et maîtriser la mise en application opérationnelle de cette réglementation sur l’ensemble des activités de leur structure.
A l’issue de la formation, le stagiaire sera capable d’identifier et d’organiser la mise en place des obligations à respecter pour être en conformité avec le RGPD.
Module 1 : Définitions et principes
Comprendre chaque concept pour agir de façon conforme
- Histoire de la protection des données
- Définition des « données à caractère personnel » et nécessité de les protéger
- Objectif et périmètre du RGPD
- Les entreprises et les types de données concernées et les catégories particulières de données
- Les nouveaux concepts du règlement européen : Accountability, Privacy by Design : analyse d’impacts pour l’entreprise
Module 2 : Concepts en protection des données et Droits des personnes
Intégrer la protection des données au travail et bien gérer les droits
- Les nouvelles définitions introduites par le règlement européen
- Les droits pour les personnes concernées et nouveautés
- Les risques juridiques et les sanctions encourues
Module 3 : Sécurité du traitement
Adopter les principes d’hygiène informatique et de sécurité. Le respect du RGPD passe par le respect de l’Article 32 sur la sécurité du traitement.
- Notion de vulnérabilité, menace et risque
- Sécurité physique
- Sécurité informatique et cryptographie vulgarisée
- Tour d’horizon des exemples de quelques vulnérabilités et menaces
- Comprendre les risques en mobilité ou face au cloud
- Principes d’hygiène informatique (ANSSI, CNIL) et bonnes pratiques (normes ISO)
- Intégrer la sécurité dans son activité, ses projets et dans les appels d’offres
Module 4 : Cartographie des données et tenue du registre de traitements
Identifier les données personnelles et tenir le registre
- Comment identifier où sont les données personnelles ?
- Méthodes pour transposer et factoriser les résultats de la cartographie pour alimenter le registre des activités de traitement
- Pourquoi et comment maintenir le registre ?
Module 5 : Le DPO, pierre angulaire du RGPD dans les organismes
Comprendre le rôle du DPO, ses activités et ce qu’il doit surveiller
- La nomination du DPO, son rattachement dans la hiérarchie, interne ou externe
- Missions du DPO, son activité au quotidien
- Les relations du DPO avec la direction
- Les relations du DPO avec l’opérationnel, son rôle de conseil et d’alerte
Module 6 : Mise en conformité des organismes de tourisme via la démarche CNIL
Gérer la mise en conformité son organisme
- Compréhension générale du RGPD
- Démarche de mise en conformité : étapes clés, points et démarche, gérer le projet de mise en conformité…