Délégué à la protection des données en Essms

La donnée est désormais devenue critique et sa protection est un impératif absolu. Le RGPD (Règlement Général de la Protection des Données) est entré en vigueur le 25 mai dernier sur tout le territoire de l’Union Européenne.

Un peu plus de 4 mois après la mise en application du RGPD, la CNIL recensait déjà plus de 740 violations de données déclarées dont 65% étaient liées à des causes externes et actes de malveillances (piratages).
En s’emparant de la question, les professionnels des ESSMS prennent de plus en plus conscience de l’enjeu qu’il y a à mettre en place une gestion sécurisée leurs données :
- inter – dépendance qui existe entre les systèmes d’information des traitements de données,

• renforcement de la garantie de l’effectivité du respect des droits fondamentaux des usagers,
• respect du droit à l’information,
• respect du consentement préalable de la personne accompagnée,
• protection de la vie privée, etc.

Cela est d’autant plus critique que le RGPD s’applique à tous les supports de données personnelles… Papiers comme numériques : toutes les formes de stockage de l’information sont concernées.

Chaque jour, les ESSMS collectent, traitent, partagent et stockent de nombreuses données à caractère personnel (nom, prénom, date de naissance, adresse, données électroniques, numéro d’identification, origine culturelle, sociale ou économique, données judiciaires, données de santé..) sous formats papier et numérique. Nous sommes à l’heure de la généralisation du dossier patient informatisé (DPI) et du dossier médical partagé (DMP), du Projet Personnalisé d’Accompagnement (PPA) Informatisé, et chacun se doit d’être extrêmement vigilant.
Avec le RGPD, protéger les données personnelles des résidents, des mineurs, des salariés devient un enjeu majeur.

• Valider les compétences et connaissances nécessaires à la conduite de leur mission de DPD/DPO
• Assister la direction dans la mise en oeuvre, le maintien et les bonnes pratiques qui mènent à la conformité au RGPD
• Analyser l’organisation de l’établissement et en ressortir la cartographie des données personnelles
• Bâtir ou mettre en conformité le plan de gestion de l’archivage
• Réaliser les registres (registre d’activités de traitement, du registre des catégories d’activités de traitement et du registre des violations de données) et toute la documentation de mise en conformité.
• Faire appliquer par l’établissement les nouveaux droits acquis des citoyens Européens en matière de protection des données
• Auditer ou faire auditer les bonnes pratiques informatiques.

• Avoir passé une formation de sensibilisation d’au moins 14 heures
• Etre en capacité de se repérer dans des textes juridiques ciblés métiers
• Avoir une culture informatique fonctionnelle, et connaitre les grands principes d’un
  réseau, de l’internet
• Avoir des capacités ou qualités en matière de diplomatie et d’ouverture sur la cotraitance et sous-traitance.
• Savoir travailler ou se former à la gestion de projet

DATES

25 et 26 Mars 2019: Formation en présentiel Toulouse

2 Avril 2019: Webinaire 1

26 Avril 2019: Webinaire 2

16 Mai: Webinaire 3

21 Mai: Formation en présentiel Toulouse

6 juin: Webinaire 4

13 Juin: Formation en présentiel Toulouse

JOUR 1 – Présentiel

• Etude du règlement no 2016/679 et des règlements liés. Présentation des associations et groupements de DPD/DPO
• Les rôles, les missions du DPO. Organisation, en mode projet
  et diplomatie.
• Référentiel de certification du DPD, enjeux, établissements de certification.

JOUR 2 – Présentiel

• La boite à outils du DPO, Organisation du quotidien, la GED,
  les outils d’analyses, les méthodes.
• Les registres de traitements – Outil libre PIA de la CNIL pour l’analyse d’impact (AIPD). méthodologie, l’éventuelle sous-traitance, les mesures techniques et organisationnelles à adopter

JOUR 3 – demi-journée WEBINAR

JURIDIQUE : principes de licéité du traitement, identifier la base juridique d’un traitement, réglementation sectorielle qui fixe des conditions spécifiques au traitement de données (Code de santé), cadre juridique relatif à la sous-traitance

JOUR 3 – 2eme demi-journée WEBINAR

Gestion des relations fournisseurs et sous-traitants
évaluation et contractualisation

JOUR 4 – Présentiel

• PILOTER LES ACTEURS DE LA MAINTENANCE ET DU DEVELOPPEMENT INFORMATIQUE : identifier des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement.
• SENSIBILISER ADHESION : formation et de sensibilisation
  du personnel et des instances dirigeantes en matière de
  protection des données, communication et plan d’actions

JOUR 5 – 1er demi-journée WEBINAR

• ARCHIVAGE : La gouvernance, les délais, la procédure, la destruction maîtrisée, les nouveaux modes d’archives numériques sécurisées

JOUR 5 – 2eme demi-journée WEBINAR

• JURIDIQUE Information requise et procédures d’exercice des droits des personnes concernées.

Transfert de données hors UE et instruments juridiques

JOUR 6 – Présentiel

• AGIR – REAGIR : Procédure de gestion de la violation des données – ACCOUNTABILITY : registre d’activités de traitement, du registre des catégories d’activités de traitement et du registre des violations de données ainsi que de la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données

• Tableau de bord et audits en matière de protection des données