BlocsDeCompetences .org

Quels métiers ? Quelles formations ? Quels diplômes ?

Délégué à la protection des données (DPO) (RNCP34776)

Formation (et/ou diplôme) proposée au RNCP par le certificateur : ASS FONDATEURS PROTECT INST CATHO LYON

Branches de formations NSF

NSF 1xx Domaines disciplinaires > NSF 12x Sciences humaines et droit > NSF 128 Droit, sciences politiques >
> NSF 128g Droit fiscal ; Droit des affaires ; Droit pénal ; Droit de l'environnement ; Droit de la santé ; Droit de la sécurité et de la défense ; Droit du transport etc >

NSF 3xx Domaines technico-professionnels des services > NSF 32x Communication et information > NSF 326 Informatique, traitement de l'information, réseaux de transmission >
>

Activités visées par cet enseignement

Le DPO exerce les activités suivantes : Piloter la production et la mise en oeuvre des politiques et stratégies de la protection des données en collaboration avec l'ensemble des services de l'organisation : le DPO, de manière similaire à celle d'un consultant qualité, identifie les acteurs, données et flux d'information pour co-construire la politique de protection des données et la décliner en axes stratégiques et plans d'actions opérationnels Informer, sensibiliser, diffuser une culture "informatique et liberté" des collaborateurs, des acteurs de la protection des données, de la Direction et du responsable de traitement : acteur de l'accompagnement au changement, le DPO organise et réalise toutes les opérations concourant à l'approbation de la politique de protection des données et à la mise en action des collaborateurs sur le sujet Analyser, investiguer, auditer et contrôler la conformité des traitements de données : le DPO réalise toutes les opérations nécessaires au contrôle de conformité. Il pilote cette conformité au sein de l'organisation sous forme de projet transversal, impliquant plusieurs services et les prestataires et fournisseurs externes Gérer de manière opérationnelle les risques des traitements de données: le DPO réalise les opérations relatives aux obligations légales en cas d'aléa, en lien avec les autorités de contrôle, les services internes et les propriétaires des données personnelles. Dans un second temps il ajuste les mesures prises en interne pour renforcer la sécurité et participe aux opérations de reconstruction de la réputation de l'entreprise. Pour cette activité, un travail constant de veille juridique et technique sur le sujet de la protection des données doit être réalisé par le DPO. Ce travail, considéré comme une activité à part entière, est garant du bon management de la conformité et de la bonne gestion opérationnelle des risques.
[Se référer à la fiche source pour plus de détails]

Métiers possibles, Orientations de carrière & Mobilité professionnelle

METIERS SELON LE CERTIFICATEUR

PUIS MOBILITES PROCHES ENVISAGEABLES SELON POLE EMPLOI


Abréviations du RIASEC* :

Réaliste , Investigateur , Artistique , Social , Entreprenant , Conventionnel

Qu'est-ce que l'aide à l'orientation RIASEC et comment faire le test ?

*source Pôle Emploi

Appellations professionnelles possibles

  • DPO (Data Protection Officer)
  • DPD (Délégué à la Protection des Données)
  • Data Protection Manager/Specialist
  • Responsable Conformité RGPD
  • Consultant RGPD
  • Chargé de mission Données Personnelles/Protection des Données
  • Consultant Données à Caractère Personnel
  • Relais Informatique et Libertés

Environnements de travail

  • La typologie des employeurs de DPO est multiple. En réalité, elle n'est pas relative à une taille ou un secteur d'activité en particulier.
  • L'article 37 du RGPD précise les types d'organisations pour lesquels il est nécessaire de recruter un DPO :
  • lorsque la gestion des données personnelles exige un suivi régulier et systématique à grande échelle des personnes concernées,
  • lorsqu'il s'agit d'un traitement à grande échelle de données dites « sensibles » (données de santé, données biométriques, opinions politiques, convictions religieuses…) et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

Outils d'auto-évaluation gratuits, orientés soft-skills ou orientation professionnelle

  • TestdOrientation.com : Un test qui a le mérite de proposer une évaluation RIASEC pour repérer des listes de métiers.
  • FicheDePersonnalite.com : Un test de personnalité plutôt complet (mais un peu long) et qui donne des évaluations relatives à des groupes socio-professionnels.

Vous trouverez des détails sur les soft-skills sur le site :
Soft-skills.info

BLOCS DE COMPETENCES ENSEIGNÉS

FRANCE-COMPETENCES
RNCP34776BC04

FORMATION AU BLOC :
Gérer les risques et fuites de données

C.4.1. Gérer les relations avec les autorités de contrôle en répondant à leur sollicitation afin de faciliter leur action
C.4.2.Évaluer les risques encourus et suscités par les activités et processus de l'organisation en tenant compte de la nature, la portée, le contexte et la finalité des traitement de données pour calibrer les plans d'action proposés à la direction de l'organisation
C.4.3.Conduire les actions de rectifications des procédures en mobilisant les services concernés et la veille réalisée pour actualiser la conformité et prévenir les fuites de données
C.4.4.Mettre en oeuvre la gestion des risques en intégrant les groupes projets relatifs aux SI et en appliquant les procédures de gestion de risques afin de prévenir les risques de fuite de données
C.4.5. Déterminer la communication nécessaire auprès des autorités de contrôle et des personnes concernées en s'appuyant sur les obligations légales pour assurer l'autodétermination informationnelle des personnes.
C.4.6. Diriger la cellule de crise en sollicitant les outils de la communication et les valeurs éthiques de l'organisation pour participer à la reconstruction de la réputation de l'organisation
C.4.7. Établir la documentation des violation de données en s'appuyant sur les outils des autorités de contrôle pour assurer la traçabilité des fuites de données
C.4.8. Conseiller les dirigeants quant aux ajustements des mesures à apporter en s'appuyant sur les évolutions juridiques et technologiques pour prévenir une nouvelle fuite de données
C.4.9. Réaliser une veille juridique et technique sur le sujet de la protection des données en consultant de nombreuses sources pour déterminer les actions de rectifications à réaliser
C.4.10. Anticiper les évolutions en analysant les informations juridiques et techniques relatives à la protection des données pour mettre en oeuvre une réflexion prospective

MODALITES D'EVALUATION:

Rédaction de notes adressées à la direction relatives à la procédure interne en cas de contrôle par la CNIL et aux évolutions nécessaires des processus de protection des données. Mise en situation individuelle et orale : présentation d'un plan d'action faisant suite à une fuite de données devant un jury composé d'enseignants et de professionnels et présidé par un professionnel.

FRANCE-COMPETENCES
RNCP34776BC01

FORMATION AU BLOC :
Elaborer les politiques et stratégies de protection des données

C.1.1. Articuler les enjeux juridiques, techniques, économiques, éthiques et la stratégie de protection des données de l'organisation en s'appuyant sur les outils de la qualité pour définir une politique de protection des données
C.1.2. Analyser le système d'informations en accord avec les ambitions et la stratégie de l'organisation pour déterminer une politique de protection adaptée
C.1.3. Identifier les rôles et responsabilités des collaborateurs de l'organisation en s'appuyant sur un bilan du système d'informations pour mettre en place les bases du système de gestion de la sécurité des données
C.1.4. Intégrer les équipes projet en mobilisant les compétences psychologiques et relationnelles pour construire de manière collaborative des politiques et stratégies de protection des données concertées
C.1.5. Élaborer un cahier des charges des stratégies et actions à mener en s'appuyant sur les normes établies et sur une analyse du système d'informations pour déterminer ses démarches auprès des collaborateurs et dirigeants
C.1.6. Élaborer des chartes informatiques et des chartes de gouvernance en utilisant un langage simple et compréhensible par tous pour appuyer ses démarches auprès des collaborateurs et dirigeants
C.1.7. Promouvoir les valeurs éthiques de la protection des données en favorisant leur intégration dans les chartes de gouvernance pour une compliance des données

MODALITES D'EVALUATION:

Rédaction de notes aux différents services de l'organisation portant sur l'analyse du système d'informations Mise en situation professionnelle avec préparation en groupe : proposition écrite d'une charte de gouvernance, d'une politique et d'une stratégie de protection des données remise à un jury composé d'enseignants et de professionnels et présidé par un professionnel.

FRANCE-COMPETENCES
RNCP34776BC02

FORMATION AU BLOC :
Informer, sensibiliser, former les collaborateurs à la protection des données

C2.1.Concevoir une politique de sensibilisation et de formation au sujet de la protection des données en tenant compte des métiers et compétences des collaborateurs et des enjeux de leur rôle au sein de l'organisation pour assurer le bon fonctionnement des procédures
C2.2. Concevoir des actions de communication et de formations adaptées aux différents métiers de l'organisation et aux objectifs définis dans la politique de sensibilisation et de formation en s'appuyant sur l'analyse du système d'informations de l'organisation pour assurer le rôle opérationnel des collaborateurs vis-à-vis de la protection des données
C.2.3.Contrôler l'impact des actions de communication et de formation en les évaluant pour rectifier ou adapter le programme
C.2.4. Dispenser les programmes de formation et de sensibilisation du personnel et des instances dirigeantes en s'appuyant sur les méthodes pédagogiques adéquates pour assurer une collaboration effective de chacun à la protection des données
C.2.5. Adapter sa posture, son discours, le choix des modalités pédagogiques en s'ajustant à son public cible (direction, services informatiques, services juridiques, RH, coeur de métier de l'organisation...) et au contexte pour assurer la transmission des messages
C.2.6. Argumenter son propos en identifiant les réticences et en analysant les freins pour favoriser la coopération
C.2.7. Synthétiser et adapter un propos technique en identifiant les éléments saillants pour calibrer la forme de son propos en fonction de son public (direction, services informatiques, services juridiques, RH, coeur de métier de l'organisation...)
C.2.8. Mettre en valeur les actions mises en oeuvres et leurs résultats en concevant des rapports écrits à destination du représentant de l'organisation pour informer et responsabiliser le responsable de traitement sur les mesures et risques (bilan annuel)
C.2.9. Maitriser ses émotions et ajuster sa posture en s'appuyant sur une connaissance du lien à l'autre pour assurer la prise de parole en public
C.2.10. Interagir avec l'ensemble des services de l'organisation (juridique, techniques, direction…) en s'appuyant sur une capacité d'adaptation pour faire adhérer l'ensemble des collaborateurs aux processus de protection des données

MODALITES D'EVALUATION:

Rédaction de notes à la direction mettant en exergue les enjeux de la protection des données. Mise en situation individuelle orale : jeu de rôle, consistant en une action de sensibilisation et de formation auprès des salariés d'une organisation, observé par un jury d'enseignants et de professionnels présidé par un professionnel.

FRANCE-COMPETENCES
RNCP34776BC03

FORMATION AU BLOC :
Assurer la conformité des traitements de données

C.3.1.Cartographier les traitements de données réalisés dans l'entreprisse en s'appuyant sur l'analyse du système d'informations pour établir la documentation de conformité.
C.3.2. Établir le registre d'activités de traitement et le registre des catégories de traitements en s'appuyant sur l'analyse du système d'informations pour assurer la traçabilité des traitements de données
C.3.3. Établir et faire évoluer les processus et procédures de protection des données en collaborant avec l'ensemble des services et s'appuyant sur le cadre légal, les techniques de sécurité et les outils de la qualité afin de prévenir les aléas
C.3.4. Piloter l'analyse d'impacts en adéquation avec les attendus légaux pour évaluer les risques des traitements de données
C.3.5.Déterminer les durées de conservation des données en s'appuyant sur les obligations légales en la matière et les techniques d'archivage pour assurer la compliance des données.
C.3.6.Piloter des audits de services internes en s'appuyant sur le cadre légal et les indications des autorités de contrôle pour vérifier l'exécution des analyses d'impact et s'assurer de la conformité avec la loi
C.3.7.Piloter des audits de conformité de protection des données auprès des fournisseurs et prestataires en s'appuyant sur le cadre légal de la sous-traitance en matière de protection des données pour s'assurer de la conformité des sous-traitants.
C.3.8. Contrôler la base juridique des traitements de données et le respect des principes de loyauté, transparence, limitation des finalités, minimisation, exactitude, intégrité et confidentialité des traitements de données en s'appuyant sur l'analyse du système d'informations pour assurer la compliance des traitements de données
C.3.9. Identifier l'existence d'un transfert de données hors Union européenne en s'appuyant sur le cadre légal de la compliance des données et la compréhension des infrastructures de stockage des données pour déterminer les instruments juridiques et techniques de transfert adéquats.
C.3.10. Déterminer les précautions à prendre en matière de contenu de zones libres et cookies en s'appuyant sur le cadre légal pour assurer le respect des droits individuels.
C.3.11. Établir les procédures de réception et de gestion des demandes d'exercices des droits des personnes concernées en s'appuyant sur le cadre légal de la protection des données pour assurer le respect de l'autodétermination des personnes concernées.
C.3.12. Déterminer les moyens appropriés et le contenu de l'information à fournir en s'appuyant sur la méthode facile à lire et à comprendre et le cadre légal de la protection des données pour assurer le respect de l'autodétermination informationnelle des personnes concernées.

MODALITES D'EVALUATION:

Élaboration de documents de traçabilité de la conformité des traitements, rédaction de clauses liant responsables de traitement et sous-traitant... Mise en situation individuelle et écrite : présentation d'un projet de mise en conformité d'une organisation. Le rapport est soumis à un jury composé d'enseignants et de professionnels et présidé par un professionnel.