La singularité de cette formation, dispensée en temps partagé sur une durée de 70 heures, est d’articuler les dimensions juridiques, scientifiques et technique (gestion de la donnée, sécurité des réseaux et des systèmes d’information).

Inscriptions ouvertes : bit.ly/dpo-collectivites
Début des cours : 21 novembre 2018
Lieu de la formation : Paris ?
Quelques semaines après l’entrée en vigueur du RGPD, une formation dédiée aux DPO des collectivités publiques et territoriales

Le DU Délégué à la Protection des Données de l’UTT répond à une exigence de mise en conformité des structures publiques et privées en matière de protection des données à caractère personnel, en application des dispositions du RGPD.
Ce nouveau cadre juridique a substantiellement étendu les responsabilités du DPO par rapport à celles du Correspondant Informatique et Libertés (CIL). Le DPO doit veiller au respect du droit de la protection des données et doit s’assurer de la conformité juridique des traitements, dans un cadre réglementaire plus strict. Afin de satisfaire à ces obligations, il devra pouvoir justifier de compétences en matière juridique et technique, avec une compréhension des modèles de gestion de la donnée et des problématiques associées à la sécurité des réseaux et des systèmes d’information.

L’alignement des compétences du Délégué à la Protection des Données sur les exigences du RGPD est d’autant plus important que les manquements aux dispositions qui en découlent peuvent donner lieu, depuis son entrée en vigueur le 25 mai 2018, à d’importantes sanctions (amendes administratives pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial pour les entreprises).

Le programme certifiant proposé par l’UTT vise à former des professionnels capables de développer et piloter une stratégie de traitement et de sécurisation des données dans les collectivités publiques et territoriales, avec une meilleure prise en compte de la protection des données, dès la conception des systèmes.

Pour y parvenir, les enseignements dispensés au cours des 10 jours de formation couvrent trois domaines de compétences :
• Protection et sécurité des données des organisations ;
• Cadre légal et réglementaire de traitement des données ;
• Procédures de mise en conformité de traitement et de protection des données.

Cette session dédiée du DU DPO est co-animée par Matthieu Camus et Laurent Charreyron, deux experts reconnus dans leur domaine et auprès des collectivités territoriales.

Docteur en intelligence artificielle et juriste en nouvelles technologies, Matthieu Camus, est expert en cybersécurité et protection des données. A ce titre, il est membre du réseau CyAN (Cybersecurity Advisors Network), partenaire de l’UTT. Expert au sein de la CNIL de 2012 à 2015, Matthieu Camus a notamment contribué à l’élaboration du RGDP, au titre de la contribution de la France à la rédaction de ce Règlement européen. Il déploie depuis ses activités d’audit, de conseil et de formation au sein de son cabinet Privacy Impact en accompagnant les entreprises et les acteurs publics dans leur propre conformité. Matthieu Camus assure également des missions de DPO externe. Pour lui, « Le DPO joue un rôle central de pilotage et de coordination. Consulté sur tout traitement de données personnelles, il porte un regard critique en termes de conformité juridique, de sécurité informatique et de gouvernance. Il contribue également à la valorisation de la donnée par une analyse continue de sa pertinence. »

Laurent Charreyron est consultant sur les problématiques d’identité numérique et de protection des données personnelles. Praticien, de sensibilité à la fois juridique et technologique, il privilégie une approche pragmatique de la gestion des projets transversaux, axée sur les usages et la gouvernance. Laurent Charreyron rédige régulièrement par ailleurs des chroniques sur ces sujets sur le blog inuq.eu et participe à des conférences en France et à l’étranger.

Animateur du cycle « identité numérique » de l’association Villes Internet, il a récemment publié un ouvrage intitulé « Mettre en œuvre le RGPD dans les collectivités » A ce titre, il témoigne : « Au-delà des obligations de conformité règlementaire, le RGPD établit les règles de bonne gouvernance des données qui sont à la base de l’action des collectivités dans la société digitale. Le DPO est le chef d’orchestre de cette transformation : un rôle complexe, essentiel, et passionnant ».

Le programme de la formation

Le DU DPO s’appuie sur un programme de 70 heures d’enseignement en présentiel, soit 10 jours de formation. La formation est dispensée à Paris, en temps partagé, à raison d’un module de 2 jours toutes les 3 ou 4 semaines.

MODULE 1 :
Le cadre juridique de la protection des données personnelles pour les acteurs publics territoriaux
– Les enjeux et contexte juridique
– Le RGPD (1) : lire le RGPD, données et traitements, principes fondamentaux, licéité et base légale, droits de personnes
– Le RGPD (2) : consentement, qualité des données, obligations et responsabilités des acteurs, évaluer le risque, transfert international de données
– Application du RGPD dans les grandes missions des collectivités. Les normes simplifiées 2 jours

MODULE 2 :
Aspects techniques : sécurité informatique et techniques d’administration de la donnée
– Risques, attaques, vulnérabilités et mesures à mettre en place, dispositifs de sécurité informatique, gestion des accès et des identités (IAM)
– Notions cryptographiques (chiffrement, signature) ; Sécurité des réseaux
– Cycle de vie des données / cartographie des flux de données
– Privacy by Design
– Principes techniques de conservation et d’archivage
– Techniques de désensibilisation des données (pseudonymisation, anonymisation) 2 jours

MODULE 3 :
Le métier de DPO / Rôle et responsabilité
– Présentation de la fonction, missions et responsabilités, gouvernance, la lettre de mission, DPO externe et DPO interne
– Mise en place du projet RGPD
– Mesures organisationnelles relatives à la gestion de la donnée (procédures, outils de conformité, contrôle interne et amélioration continue
– Rapports avec l’autorité de contrôle 2 jours

MODULE 4 :
Le métier de DPO / Le projet
– Les fonctions de conseil et la sensibilisation. La revue contractuelle et la sous-traitance. Procédures d’achat public
– Analyse de risques. PIA et DPIA
– Gestion de crise (failles de sécurité, investigations par l’autorité de protection des données) 2 jours

MODULE 5 :
Les activités du DPO dans la pratique
– Les pratiques de DPO et les grandes missions de la collectivité : RH, action sociale, EPHAD
– Les téléservices, géolocalisation…
– Les relations avec les usagers : impliquer et accompagner le débat public
– Open data 2 jours
Les participants devront par ailleurs formaliser et soutenir un projet applicatif (diagnostic, études d’impact…), en relation avec les exigences du Règlement européen, à l’issue du parcours de formation.

Un programme certifiant inscrit à l’Inventaire de la CNCP

Le DU Délégué à la protection des données est inscrit à l’Inventaire de la CNCP depuis le mois d’octobre 2017 sous la référence 3105.
La reconnaissance de cette certification par la CNCP peut permettre son éligibilité au Compte personnel de formation (CPF), dans le cadre et les limites fixées par le décret n°2017-928 en date du 6 mai 2017 relatif à la mise en œuvre du CPA dans la fonction publique et à la formation professionnelle tout au long de la vie, et sa circulaire d’application. Ces deux derniers textes, pris en application de l’ordonnance n°2017-53 du 19 janvier 2017 ouvrant aux agents publics le bénéfice du compte personnel d’activité (CPA), lequel comprend le compte personnel de formation (CPF), précisent les modalités d’application de ce nouveau dispositif.

Conditions d’admission

Cette session de formation est destinée spécifiquement aux collaborateurs et collaboratrices de collectivités publiques et territoriales (Conseil régional, Conseil départemental, Communauté d’agglomération…) récemment positionnés – ou appelés à l’être – au sein de leur organisation comme Délégué à la protection des données (DPO).