Nos experts formateurs

Plus d'infos

Formations RGPD

Api formation met depuis plus de 26 ans son expertise au service de la Polynésie française en proposant des solutions de formations novatrices.  
Nous accompagnons les entreprises, administrations, associations et établissements de santé dans leurs démarches RGPD.
Api formation a été l’organisateur du premier congrès de sensibilisation au RGPD en septembre 2022.

Notre programme de formations

Pour un exercice serein de la fonction de Délégué à la Protection des Données

25, 26, 27 et 28 septembre 2023
Formation en présentiel
28 heures
Tarif : 200 000 XPF

Le RGPD rend obligatoire la fonction de Délégué à la Protection de Données (ou DPO, pour Data Protection Officer) dans de nombreux cas.
 

Chef d’orchestre de la conformité en matière de protection des données personnelles au sein de son organisme, le DPO est au cœur du RGPD. Pour garantir l’effectivité de ses missions, il doit disposer de connaissances spécifiques.

Au-delà de la théorie, cette formation permet aux professionnels qui vont prendre (ou viennent de prendre) un poste de DPO de disposer de tous les éléments pour être efficient.
 

Mais par quoi commencer ? Quels sont les chantiers à mettre en œuvre à court et moyen terme ? Que faire pour être identifié, entendu, écouté ? Que faire pour créer les bonnes synergies, changer les mentalités et les postures ? Quelles erreurs ne surtout pas commettre et quelles bonnes pratiques appliquer pour un exercice serein de la fonction de Délégué à la Protection des Données ?

Autant de questions cruciales sur lesquelles l’intervenant partage ses expériences avec ses nouveaux confrères.

• Maîtriser les concepts et connaissances indispensables à un exercice efficace et serein de la fonction de Délégué à la Protection des Données
• Structurer et rythmer son action afin d’amener son organisme sur le chemin de la conformité
• Eviter les principaux pièges et écueils auxquels un DPO peut être confronté
• Mettre son organisme en situation de • gérer des événements tels que des violations de données, des demandes de droits, des saisines de la CNIL

Plus d'infos

PIA-AIPD : la réalisation d'une analyse d'impact relative à la protection des données

2 octobre 2023
Formation en présentiel
7 heures
Tarif : 60 000 XPF

L’analyse d’Impact sur la Protection des Données est l’une des avancées les plus marquantes du RGPD. Considérée trop souvent comme une contrainte, n’est-ce pas l’un des leviers majeurs au service du DPO ? Mais de nombreuses questions se posent : qui décide de faire un PIA ? Sur quel périmètre ? Qui le réalise ou y participe ? Quels risques prendre en compte ? Quelle méthode utiliser ? Quels sont les freins et les difficultés ? À quoi reconnait-on un « bon » PIA ? Faut-il publier son PIA ? Faut-il le revoir régulièrement ? En résumé, comment la réaliser très concrètement ?

La journée permet de comprendre les fondements qui mènent à la nécessité de réaliser une étude d’impact, de savoir gérer les relations avec les différentes parties prenantes à un PIA, de savoir présenter les résultats de l’étude d’impact à un décisionnaire (notamment sur l’éventuelle nécessité de consulter la CNIL au titre de l’article 36 du RGPD). Cette journée permet aussi à toute personne prenant part à la réalisation d’une analyse d’impact d’optimiser ses apports.

• Mettre son organisme en situation de formaliser les analyses d’impact qui doivent l’être
• Réaliser des analyses d’impact pertinentes et de qualité
• Eviter les principaux pièges et écueils auxquels un DPO peut être confronté lors de la réalisation d’une analyse d’impact
• Faire de l’analyse d’impact un levier de mise en conformité

Plus d'infos

La gestion des violations de données personnelles

3 octobre 2023
Formation en présentiel
7 heures
Tarif : 60 000 XPF

Un responsable de traitement ne peut plus détourner les yeux en cas d’incident de sécurité impactant les données personnelles qu’il traite et doit – dans certaines circonstances – notifier la violation de données à la CNIL, voire la communiquer aux « victimes ». Le rôle du DPO est ici crucial.

Quelles mesures prendre en amont pour éviter d’avoir à notifier une violation de données ? Comment détecter tous les incidents susceptibles d’être qualifiés de « violation » ? Et qui réalise cette qualification ? À partir de quand démarrent les « 72 heures » attendues par la CNIL pour réaliser la notification auprès d’elle ? Au final, qui prend la décision de notifier ? Comment décider s’il faut en plus communiquer la violation aux personnes concernées ? Et que leur dire ? Faut-il leur donner des précisions sur l’incident lui-même ? Faut-il s’excuser ? Et qui signe le courrier ? Que faut-il imposer aux sous-traitants à ce sujet ? Combien de temps maximum doit-on laisser à ses sous-traitants pour nous signaler un incident ? Comment tirer des enseignements utiles des violations pour en faire un levier de progrès ? Autant de questions cruciales auxquelles Bruno RASLE, expert reconnu et ancien DPO mutualisé de l’une des branches de la Sécurité sociale, répond lors de cette journée durant laquelle les aspects opérationnels sont privilégiés.

À l’issue d’une session très interactive, avec l’intense participation des apprenants, les participants repartent forts de toutes les connaissances leur permettant de maîtriser le sujet. De plus, l’intervenant partage des documents opérationnels qu’il a forgé dans le cadre de sa pratique professionnelle.

• Être en mesure de formaliser une procédure de gestion des violations de données qui soit adaptée à son contexte
• Faire le lien entre la notification des violations de données, le Privacy by Design et les analyses d’impact
• Faire de la gestion des violations de données un levier en faveur de la mise en conformité de son organisme

Plus d'infos

L'informatique que doit maîtriser tout Délégué à la Protection des Données

4 octobre 2023
Formation en présentiel
7 heures
Tarif : 60 000 XPF

Pour un DPO, la « naïveté technique » est un réel handicap. Or certains DPO ne maîtrisent pas les concepts mis en œuvre au sein des projets et manquent donc de pertinence dans leurs questions et pour mettre en doute – si besoin – les réponses qui leur sont apportées.

Dans cette partie sont vulgarisés les concepts techniques de base dont la compréhension est indispensable à tout Délégué à la Protection des données (cookies, chiffrement, anonymisation, pseudonymisation, authentification par mot de passe, Cloud Computing, Big Data, Intelligence artificielle, etc.). Les techniques sont démystifiées, les termes expliqués et Bruno RASLE donne systématiquement des applications concrètes, en s’appuyant sur des cas réels en lien direct avec le RGPD.

• Disposer des bases techniques nécessaires dans la mission de DPD afin de dialoguer efficacement avec les informaticiens, RSSI et sous-traitants (savoir leur poser les « bonnes » questions, comprendre et critiquer si besoin leurs réponses)
• Réaliser que, somme toute, les concepts utilisés en informatique peuvent être appréhendés de façon simple
• Dédramatiser en décodant le « jargon » informatique
• Atteindre un niveau permettant de décoder l’architecture des systèmes d’information, avoir les bons réflexes, gagner en autonomie, éviter les principaux pièges et écueils auxquels un DPD peut être confronté
• Mieux tirer parti de la lecture des avis du CEPD et des délibérations de la CNIL
• Permettre à un DPO non informaticien de jouer pleinement son rôle dans le cadre du Privacy by Design, à l’occasion de la formalisation d’une analyse d’impact ou lors d’une violation de données

Plus d'infos
medical, record, health-781422.jpg

Le registre des traitements de données : établissement, tenue et gestion

5 octobre 2023
Formation en présentiel
7 heures
Tarif : 60 000 XPF

Le registre des activités de traitement est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité. Au-delà de la réponse à une quasi-obligation, le registre est un outil de pilotage et de démonstration de la conformité au RGPD. Il permet de documenter les traitements de données et de se poser les bonnes questions : avons-nous vraiment besoin de cette donnée dans le cadre de notre traitement ? Est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ? Etc.

Sa création et sa mise à jour sont ainsi l’occasion d’identifier et de hiérarchiser les risques au regard du RGPD. Cette étape essentielle permet au Délégué à la Protection des Données d’en déduire un plan d’action de mise en conformité des traitements aux règles de protection des données. Bruno RASLE donne systématiquement des applications concrètes, en s’appuyant sur des cas réels et son expérience fondée sur la gestion de plus d’une centaine de registres.

• Développer sa propre philosophie relative au registre des traitements : objectifs et intérêts, quoi (contenu), quand le faire, qui fait quoi (création / enrichissement / consultation / modification), etc
• Sur la base de cette doctrine, définir les critères de constitution et de tenue du registre des activités de traitement
• Détenir les clés qui facilitent l’établissement et la tenue du registre
• Au-delà de l’obligation légale, faire du registre un véritable outil de conduite de changement du DPD et un facteur d’efficience

Plus d'infos

Connaître ses obligations

Connaître les obligations en matière de RGPD, savoir qui est responsable au regard du RGPD , reconnaître les données personnelles et savoir comment les traiter sont des points essentiels du Règlement Général sur la Protection des Données. C’est pourquoi nous vous proposons plusieurs formations avec des thématiques variées animées par nos deux experts.