Découvrez notre
nouvelle boutique

DPO ET MISE EN CONFORMITE RGPD

MODULE 4

 

Le Délégué à la Protection des Données (DPO)

  • Le Délégué à la Protection des Données est le pilote du système de gouvernance des données à caractère personnel au sein de l’organisme. Il est donc à ce titre un acteur clé de la mise en conformité. A ce titre, 3 missions clés lui incombent :

1 – Informer et conseiller l’organisme

  • Il sensibilise à ce titre à la fois les décideurs et les opérationnels aux différentes obligations et principes du RGPD. Il sensibilise les collaborateurs et diffuse une culture Protection des données au sein de l’organisme.

    Il formule également des recommandations et des conseils de mise en conformité et se prononce sur la nécessité d’effectuer une EIVP, lorsqu’un traitement représente un risque élevé pour les droits et les libertés des personnes (méthodologie, mesures techniques et organisationnelles visant à diminuer le risque, validité des conclusions…).

    Nativement et pour l’ensemble des projets collectant et traitant des données personnelles, il identifie les outils et paramétrages, aux fins de respecter les principes clés de Privacy by design et Privacy by default, étudiés lors de notre module 2.

    Il est également acteur dans la rédaction des règles internes de protection des données personnelles (politiques, procédures, instructions pour la gestion des droits des personnes, procédures pour détecter et répondre à des incidents de sécurité, voire des violations de données personnelles…).

    2 – Contrôler la conformité au RGPD

    Le DPO cartographie l’ensemble des activités de traitements de données personnelles au sein de l’organisme. Il peut également être chargé de créer et maintenir à jour le registre des traitements, document stratégique et central pour piloter la conformité et la maintenir au quotidien.

    Pour chacun des traitements mis en œuvre et sur la base du registre et d’audits éventuels, il s’assure du respect des principes du RGPD tels que la base juridique, la minimisation des données collectées, l’information aux personnes concernées, la prise en compte des demandes de respect des droits (accès, rectification…), l’encadrement strict de la sous-traitance, le traitement permettant de garantir l’intégrité, la confidentialité et la disponibilité des données, et enfin la destruction effective des données lorsqu’elles ne sont plus nécessaire (plus aucune utilisation courante) en base active (ou archivage ou anonymisation).

    3 – Etre l’intermédiaire entre la CNIL et l’organisme

    Le DPO qui peut être interne ou externe à l’organisme, coopère avec la CNIL : il répond aux demandes de celle-ci dans toutes les situations (contrôles, violation de données…).

Désignation du DPO

La désignation officielle et administrative du DPO s’effectue directement sur le site de la Cnil sur https://designations.cnil.fr. Aux fins de pouvoir le désigner , 3 conditions doivent être réunies :

  1. 1 – Il détient les compétences requises

Expertises juridiques et techniques en termes de protection des données personnelles

Connaissance adéquate du secteur d’activité, de l’organisation, des traitements de l’organisme, des Systèmes d’Informations et des besoins en matière de sécurité et de protection des données.

Ces connaissances et compétences peuvent par exemple être acquises lors de formations, telles que nous le proposons avec notre formation Conduire une démarche de conformité.

Le niveau d’expertise du DPO désigné varie en fonction de l’organisme, de la sensibilité, de la volumétrie et de la complexité des traitements de données personnelles mis en œuvre. Il existe donc une logique de proportionnalité du niveau d’expertise du DPO en fonction desdits critères précités.

  1. 2 – Il dispose de moyens suffisants

Il doit disposer de temps, de moyens matériels et humains adéquats, et d’accès aux informations nécessaires pour l’exercice de ses missions.

Par ailleurs et aux fins d’appliquer les principes clés de Privacy by design et Privacy by default, il doit être impliqué et présent en amont de tous les projets basés sur la collecte et le traitement de données personnelles.

Un réseau interne de référents dans l’ensemble des services opérationnels (marketing, RH, commercial…), doit être créé.

  1. 3 – Le DPO dispose de la capacité d’agir en toute indépendance

Il ne peut pas être en situation de conflit d’intérêt en cumulant sa fonction de DPO avec une autre fonction dite d’encadrement supérieure (ex : direction juridique, marketing, commerciale), et ne peut pas recevoir d’instructions dans l’exercice de ses missions. En effet, ces fonctions déterminent les finalités, les moyens et les conditions de mise en œuvre des traitements, ce qui s’avère parfaitement incompatibles avec la mission de Délégué à la protection des Données pour lequel l’impartialité est la clé d’une bonne mise en conformité.

Pour rappel, un conflit d’intérêts est une situation de fait ou de droit, dans laquelle la personne concernée possède des intérêts privés ou professionnels, qui peuvent influer, ou paraitre influer, sur la manière dont la personne s’acquitte de ses fonctions ou responsabilités.

Il rend compte de ses actions uniquement au niveau le plus élevé de la hiérarchie de l’organisme et ne peut pas faire l’objet de sanctions (licenciement…), concernant l’exercice de ses missions de DPO. En revanche, en cas de faute grave dans l’exercice de ses missions, l’organisme peut mettre un terme à ses fonctions de DPO.

L’indépendance fonctionnelle du DPO doit être précisée dans la lettre de mission du DPO, afin de s’assurer qu’il ne reçoit pas d’instructions dans l’exercice de ses missions, qu’il ne subisse pas de pressions du responsable de traitement, que son autorité et son indépendance en tant que pilote de la conformité soient reconnues et écrites.

Enfin, nous l’avons abordé, il doit disposer d’un ensemble de moyens humains, matériels et financiers pour la bonne marche de son action.

Il existe 3 cas de figure nécessitant une désignation obligatoire d’un DPO :

  • A – Les organismes privés ayant des activités de base (activités essentielles permettant l’atteinte des objectifs), nécessitant un suivi régulier et systématique (profilage, géolocalisation, retargeting comportemental, objets connectés…), de personnes à grande échelle (à apprécier en fonction du volume de personnes concernées, du nombre de données, de la durée du traitement envisagés, du champ territorial d’application (local, national…)).
  • B – Les autorités (nationales, régionales et locales), et organismes publics

  • C – Les organismes privés ayant des activités de base nécessitant un traitement à grande échelle de données dites sensibles (article 9 du RGPD), ou relatives à des condamnations pénales et infractions (article 10 du RGPD).

Le DPO mutualisé (au sein d’un même groupe ou dans des structures distinctes)

Il est possible de nommer un DPO mutualisé qui devra alors être facilement joignable par toutes les personnes des entités juridiques et parties prenantes. Il doit parler la langue de l’autorité de régulation et la langue des personnes concernées.  Il est possible de désigner un référent I&L parlant la langue concernée pour les différents pays. Enfin, le DPO mutualisé n’est pas obligatoirement situé dans le pays de l’autorité référente chef de file.

Le DPO externe

L’organisme peut décider de faire appel à un DPO externe (organisme ou personne physique), pour la réalisation de la mission de Délégué à la Protection des Données.

Le registre des activités de traitements

Tous les responsables de traitements et tous les sous-traitants (privés comme publics), doivent établir et maintenir à jour un registre des activités de traitements (format numérique ou papier). Ce document permet à la fois de recenser et de cartographier l’ensemble des traitements de données personnelles, mais aussi de disposer d’une vision globale sur lesdites activités de traitements.

Il va permettre d’identifier pour chaque traitement, les parties prenantes, les catégories de données traités (es catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.), la ou les finalité(s), les envois éventuels en pays-tiers (hors UE), les délais de conservation des données, les personnes habilitées à accéder aux données, les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants, les mesures techniques et organisationnelles visant à sécuriser lesdites données traitées.

La CNIL fournie sur son site toutes les informations nécessaires à connaître pour établir son registre des activités de traitements : cnil.fr

Télécharger le modèle de registre

Comme abordé dans un précédent module, le sous-traitant doit établir un registre des activités de traitements pour les activités effectuées pour le compte de ses clients, comme pour ses propres activités de traitements.

Dérogation à l’établissement du registre exhaustif

Les organismes privés de moins de 250 salariés peuvent n’inscrire au registre que :

  • Les traitements dits récurrents (gestion des clients, fournisseurs et prospects, de la paie…)
  • Les traitements pouvant représentés un risque pour les droits et les libertés des personnes (vidéosurveillance, géolocalisation).
  • Les traitements portants sur des donnée sensibles.

Pour établir un registre, il convient successivement de cartographier les traitements (via des échanges avec les responsables opérationnels notamment), élaborer la liste des traitements et établir une fiche au registre par traitement, analyser enfin la nécessité d’une EIVP pour chaque traitement.

Toute modification ultérieure au traitement devra impacter en conséquence la fiche du registre, car celui-ci devra être constamment maintenu à jour.

La CNIL peut demander à l’organisme de lui communiquer ledit registre, aux fins de procéder à un contrôle. Les organismes publics doivent communiquer ledit registre à toute personne qui en fera la demande, à contrario, les organismes privés n’ont aucune obligation de le faire.

 

L’Etude d’Impact sur la Vie Privée (EIVP)

du L’Etude d’Impact sur la Vie Privée (EIVP ou AIPD ou PIA), est un processus visant à détecter et diminuer les risques sur les droits et les libertés des traitements de données personnelles.

Les objectifs de l’EIVP sont la description précise d’un traitement, l’évaluation de sa conformité au RGPD, l’identification des risques potentiels pour les droits et les libertés des personnes, et la réduction des risques à un niveau acceptable (le cas échéant). En résumé, il s’agit donc d’identifier et de diminuer les risques d’un traitement.

Un risque pour les droits et les libertés des personnes est un scénario décrivant un évènement redouté (accès non habilité à des données), les menaces associées rendant cet événement plausible (vol de mots de passe, cyberattaque…), la source de cette menace (hacker, botnet, collaborateur…), les impacts potentiels sur les personnes (piratage de compte, harcèlement, détournement de commandes, vol de numéros de carte bancaire, usurpation d’identité…).

Une fois ce scénario décrit, le risque sera estimé selon sa vraisemblance (capacité du risque à ce matérialisé), et selon sa gravité (l’ampleur du préjudice subi par la personne).

Le champ d’application de cette étude peut concerner un traitement, plusieurs traitements (identiques ou similaires), un produit ou un service dans son entièreté.

Les critères déterminant le caractère obligatoire de l’EIVP :

1 – Le traitement correspond à l’un des 3 traitements précisés à l’article 35-3 du RGPD

Evaluation systématique et approfondie d’aspects personnels des personnes physiques, fondée sur un traitement automatisé sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard de la personne physique ou qu’il l’affecte de manière significative de façon similaire.

Traitement à grande échelle de catégorie particulière de données sensibles ou de données personnelles relatives à des condamnations pénales ou des infractions. On peut citer par exemple les données de santé d’un patient par un cabinet médical.

Surveillance systématique à grande échelle d’une zone accessible au public (ex : vidéosurveillance dans une station de métro).

2 – Le traitement fait parti des 14 traitements de la liste de la CNIL avec EIVP obligatoire

Certains traitements nécessite pour la CNIL une EIVP obligatoire. Cette liste est disponible ici. 

Cette liste n’est pas exhaustive, puisque les traitements qui réunissent 2 des 9 critères de la liste du CEPD (point 3), doivent également faire l’objet d’une EIVP.

3 – Le traitement inclus 2 des 9 critères listés par le CEPD dans ses lignes directrices

  1. Évaluation ou notation (dont profilage et prédiction), portant notamment sur des « aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements ».
  1. Prise de décisions automatisée avec effet juridique ou effet similaire significatif : traitement ayant pour finalité la prise de décisions à l’égard des personnes concernées produisant «des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire».
  1. Surveillance systématique : traitement utilisé pour observer, surveiller ou contrôler les personnes concernées, y compris la collecte de données via des réseaux ou par «la surveillance systématique […] d’une zone accessible au public ».
  1. Données sensibles ou données à caractère hautement personnel : catégories particulières de données à caractère personnel (art 9) et condamnations pénales/infractions (art 10).
  1. Données traitées à grande échelle, en prenant en compte les facteurs suivants :  le nombre de personnes, le volume de données et/ou l’éventail des différents éléments de données, la durée ou la permanence du traitement et son étendue géographique.
  1. Croisement ou combinaison d’ensembles de données, par exemple issus de deux opérations de traitement, ou plus, effectuées à des fins différentes et/ou par différents responsables de traitements, d’une manière qui outrepasserait les attentes raisonnables de la personne.
  1. Données concernant des personnes vulnérables créant un déséquilibre manifeste des pouvoirs accru qui existe entre les personnes et le RT, ce qui signifie que les premières peuvent se trouver dans l’incapacité de consentir, ou de s’opposer, aisément au traitement de leurs données ou d’exercer leurs droits.
  1. Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles telles que l’utilisation combinée, par exemple, de systèmes de reconnaissance des empreintes digitales et de reconnaissance faciale pour améliorer le contrôle des accès.
  1. Traitements en eux-mêmes qui « empêchent [les personnes concernées] d’exercer un droit ou de bénéficier d’un service ou d’un contrat ».

 

Les 4 traitements ne nécessitant pas d’EIVP

  • 1- Le traitement ne représente pas de risques élevés.
  • 2- La nature, la portée, la finalité ou le contexte du traitement, sont similaires ou identiques à un traitement pour lequel une EIVP a préalablement été effectuée.
  • 3- Le traitement fait partie des traitements pour lesquels une EIVP n’est pas obligatoire.
  • 4- Le traitement est basé sur une obligation légale ou une mission d’intérêt public et est encadré par un texte légal comprenant en lui-même une EIVP préalablement effectuée.

 

Caractère obligatoire de communication de l’EIVP à la CNIL

La communication de l’EIVP à la CNIL est obligatoire, si le niveau de risque résiduel pour les droits et libertés des personnes reste élevé (conséquences importantes voire irréversibles insurmontables et/ou s’il est évident que le risque se matérialisera).

Que doit contenir l’étude d’Impact sur la Vie Privée (EIVP/PIA/AIPD) ?

1- Une description des opérations et finalités des traitement (délimiter et décrire le contexte du traitement ainsi que ses enjeux).

2- Une évaluation de la nécessité et de la proportionnalité des traitements au regard des finalités.

3- Une évaluation des risques pour les droits et libertés (apprécier les risques et s’assurer de leurs traitements adéquats).

4- Les mesures envisagées pour faire face aux risques (identifier les mesures existantes ou prévues et valider les méthodologies de respect des principes de protection de la vie privée et de traitement des risques).

5- Une évaluation des mesures garantissant proportionnalité et nécessité du traitement

Il convient de détailler, justifier, optimiser les choix retenus visant à respecter les 5 exigences :

  1. Finalité(s) du traitement : Précise, explicite et légitime
  2. Fondement : respect de la licéité du traitement et de l’interdiction du détournement de finalité
  3. Minimisation des données : données collectées nécessaires à la finalité (adéquates, pertinentes, limitées)
  4. Exactitude des données
  5. Durées de conservation définies

Le Responsable de traitement peut demander l’avis des personnes concernées ou de leurs représentants, sans préjudice de la protection des intérêts généraux ou commerciaux, ou de la sécurité des opérations de traitement.

Il convient d’étudier les risques sécuritaires sur la vie privée. Un risque sécuritaire est un scénario hypothétique décrivant un évènement redouté et les menaces potentielles associées. Ce scénario doit décrire la source de risque, la vulnérabilité des supports de données, les menaces (détournement de mails), les évènements redoutés, les types de données personnelles concernées, les impacts sur la vie privée (spams, utiliser des données bancaires pour effectuer des achats, entacher une réputation…

Infine, le niveau de risque du traitement est évalué en termes de gravité (ampleur) et de vraisemblance que le risque se matérialise liée à la vulnérabilité des supports de données & de la faculté des sources de risque à pouvoir les exploiter.

La détermination et l’appréciation du niveau de risque d’un traitement de données personnelles

La détermination du niveau de risque doit permettre d’identifier les mesures préexistantes ou prévues telles que les mesures liées aux données concernées (habilitation, historisation, anonymisation, chiffrement…), les mesures générales du SI sur lequel est opéré ledit traitement (sauvegardes, sécurité…), les mesures organisationnelles (politique de protection des données personnelles, charte, gestion des incidents et violations des données personnelles, sous-traitance…).

L’appréciation des risques permet d’avoir une connaissance des causes et des conséquences des risques potentiels par évènement redouté.

Il convient alors de déterminez les impacts potentiels sur la vie privée, d’estimer la gravité (en fonction des impacts et mesures), d’identifier les menaces sur les supports et les sources de risques, d’estimer la vraisemblance (possibilité qu’un risque se réalise) en prenant en compte les vulnérabilités des supports, les capacités d’exploitation des sources de risques, et les mesures en capacité de modifier la vraisemblance.

En fonction des mesures existantes ou prévues, il conviendra donc de déterminer si les risques sont acceptables ou non, puis d’établir un plan d’action visant à mettre en œuvre les éventuelles mesures techniques et organisationnelles pour diminuer les risques du traitement. 4 étapes clés successives sont nécessaires pour y parvenir :

  1. Représentez visuellement les mesures choisies visant à respecter les grands principes fondamentaux en fonction du niveau de conformité (conforme/améliorable)
  2. Représentez visuellement les mesures choisies visant à sécuriser les données personnelles en fonction de la conformité aux pratiques sécuritaires (conforme/améliorable)
  3. Cartographiez visuellement les risques résiduels en prenant en compte le couple gravité & vraisemblance
  4. Etablissez votre plan d’action de mise en œuvre de vos nouvelles mesures de conformité

L’appréciation finale des risques se fera au regard des risques résiduels, du plan d’action, des mesures complémentaires, des enjeux, de l’avis des parties prenantes.

 Notification d’une violation de données personnelles

Comment définir une violation de données à caractère personnel ?

Comme l’indique l’article 4.12 du RGPD une violation de données à caractère personnel se définie comme, une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Il s’agit donc d’un incident de sécurité, d’origine malveillante ou non qui se produit de manière intentionnelle ou non, avec comme conséquence la compromission de l’intégrité, de la confidentialité ou de la disponibilité de DCP

L’organisme doit donc notifier à la CNIL une violation de données et ajouter celle-ci dans son registre des violations. L’objectif est de documenter les faits précis concernant ladite violation de données, ses effets, les mesures prises pour remédier aux effets, utiliser le formulaire de notification de la CNIL pour documenter votre registre avec un modèle reconnu par l’autorité de contrôle.

Notification à l’autorité de contrôle d’une violation de données personnelles (art 33)

Le responsable du traitement notifie la CNIL 72 heures au plus tard après avoir pris connaissance de la violation sur https://notifications.cnil.fr/notifications, sauf s’il n’y a pas de risque pour les droits et libertés des personnes physiques. Ce délai cours à partir de la découverte de ladite violation.

Cette notification doit décrire la nature de la violation de données personnelles (y compris les catégories et le nombre de personnes et d’enregistrements concernés), fournir le nom et les coordonnées du DPO, décrire les conséquences probables de la violation, les mesures prises ou proposées (pour remédier à la violation ou en atténuer les éventuelles conséquences négatives), documenter la violation en indiquant les faits, ses effets et les mesures prises.

L’organisme peut notifier la CNIL en 2 temps. Une notification initiale constatant la violation, puis une notification sous 72h, visant à compléter la notification initiale. En cas de seconde notification complémentaire après les 72h, l’organisme devra justifier ledit retard. En cas de non-respect du délai de 72h, l’organisme s’expose à des sanctions de la part de la CNIL.

La CNIL peut éventuellement revenir vers l’organisme pour demander la mise en œuvre de mesures complémentaires, fournir des conseils et recommandations spécifiques.

Quelles sont les conséquences de la notification à la CNIL ?

La CNIL va instruire le dossier. 3 cas de figure ont pour conséquence la clôture par la CNIL du dossier instruit :

1- La violation ne représente pas de risques pour les droits et les libertés pour les personnes ou si celle-ci n’est pas en mesure de porter atteinte aux données personnelles.

2- L’organisme à communiquer ladite violation aux personnes conformément à l’article 34 du RGPD, si préalablement à ladite violation.

3- L’organisme avait mis en œuvre des mesures techniques de protection adaptés aux risques.

Communication à la personne d’une violation de données personnelles (art 34)

L’organisme communique la violation à la personne dans les meilleurs délais. Celle-ci doit décrire en des termes clairs et simples, la nature de la violation, et contient au moins les informations et mesures visées à l’art 33 du RGPD.

Elle doit décrire la nature et les conséquences probables de la violation, les mesures prises pour remédier à violation ou diminuer les conséquences de celle-ci, les coordonnées du DPO ou de la personne en charge de la protection des données personnelles.

Cette communication est facultative, si l’organisme a pris, soit des mesures de protection techniques et organisationnelles appropriées sur lesdites données (ex. chiffrement), soit des mesures ultérieures garantissant que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser, ou si cette action exige des efforts disproportionnés (une communication publique doit alors être prévue).

Documenter la violation au registre des violations

Le registre des violations doit contenir la nature de la violation, les catégories et nombre approximatif des personnes concernées, les catégories et le nombre approximatif de fichiers concernés, les conséquences probables, les mesures prises ou envisagées pour remédier à la violation et limiter les éventuelles conséquences négatives, les justifications de l’absence de notification à la CNIL ou de communication aux personnes concernées (le cas échéant).

 Certifications et codes de conduite

 Les certifications attestent la conformité à un référentiel d’un processus, d’un produit ou d’un service. A contrario, le code de conduite à pour objectif d’aider le professionnel à ce mettre en conformité.

1- Codes de conduite

Les associations et autres organismes représentant des catégories de responsables de traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d’application du RGPD. L’objectif étant pour ce code de conduite d’aider les professionnels d’un secteur spécifique à mettre en place la conformité au RGPD (fiches thématiques, recommandations, modèles de documents…).

Ledit code devra faire l’objet d’une validation,  soit de l’autorité de contrôle de l’état membre concerné si ce code de conduite est limité à un état spécifique, soit du CEPD via la CNIL, si le code concerne plusieurs états membres. Le CEPD donnera son avis à la Commission Européenne (CE) qui statuera sur sa validé. Si cette dernière valide, ledit code aura alors une portée européenne.

En cas d’adhésion d’un organisme à un code de conduite, celui-ci est juridiquement contraignant. L’organisme doit donc s’y conformer.

2- Certifications

Les organismes de certification (dits tiers certificateurs), disposant d’un niveau d’expertise approprié en matière de protection des données (agrées cnil et/ou ONA) délivrent et renouvellent les certifications en matière de protection des données, aux fins de démontrer que les opérations de traitement effectuées par les responsables de traitement ou de sous-traitants, respectent le RGPD.

Aux fins d’être organismes certificateurs, un organisme doit soit obtenir un agrément de la CNIL (basé sur un référentiel), soit obtenir une accréditation auprès du COFRAC (Comité Français d’Accréditation), basée sur un référentiel d’accréditation basé lui-même sur la norme ISO 17065 et sur des exigences complémentaires de la CNIL). L’organisme certificateur évalue, contrôle l’organisme qui souhaite obtenir la certification. Il donne ou retire ladite certification à l’organisme.

Une fois ladite certification obtenue, l’organisme pourra ainsi démontrer que l’opération de traitement respecte le RGPD. Une telle certification est utile aux fins de respecter les 2 principes que sont Privacy by design & Privacy by default inhérents aux nouveaux projets basés sur des données personnelles.

La certification des compétences des DPO

Des organismes de certifications (conforment à la norme ISO 17024) certifient les connaissances ainsi que les savoir-faire des DPO. Cette certification non obligatoire pour exercer le métier de DPO, est basée sur des référentiels CNIL. Elle est gage de confiance pour les clients, fournisseurs et collaborateurs.

Aux fins de prétendre à l’obtention de cette certification, la personne doit :

1- Disposer au minimum d’une expérience de 2 ans en protection des données.

2- Disposer au minimum d’une expérience dans n’importe quel domaine ET suivre une formation en conformité au RGPD de 35 heures au minimum.

La CNIL précise sur son site les conditions détaillées en vue de l’obtention par le candidat de cette certification.

Félicitation ! Vous venez de terminer les 4 modules de notre formation RGPD en ligne.

Il est temps de vous évaluer sur notre plateforme d’évaluation, en cliquant sur le bouton « Passer l’évaluation ».

SI vous obtenez plus de 80% de bonnes réponses, vous obtiendrez une attestation de réussite établie par 360 OBJETS, organisme de formations.

En cliquant sur « Passer l’évaluation », vous donnez votre consentement pour la collecte et l’utilisation de vos données personnelles (nom, prénom, email), dans le cadre d’un traitement qui a pour finalités l’évaluation de la « Formation RGPD en ligne » et l’établissement de votre « Attestation de réussite » en cas de réussite.

Nos solutions

DPO externalisé

DPO externalisé

Pilotage de la conformité

Le DPO externalisé pilote la mise en conformité au RGPD et s’assure que celle-ci reste bonne au quotidien pour l’entreprise.

Accompagnement à la conformité

Accompagnement à la conformité

Consulting

360 OBJETS prend le rôle de conseiller dans la mise en conformité au RGPD. L’entreprise pilote elle même sa conformité et dispose de son propre DPO.

Contactez-Nous au 04 83 43 80 43

Renseignements, Devis, Prise de rendez-vous