Se former au RGPD

Afin d’aider tous les publics à comprendre les rouages du règlement, Jérôme Mauvais, consultant sécurité chez Orange Cyberdefense, propose, dans le cadre d’une formation d’un à cinq jours, une approche simple, pratique et ancrée dans le quotidien des participants. Focus.

Ouverte à tous

Aucun pré-requis n’est nécessaire pour comprendre les cours.

Agrémentée d’exemples concrets

Nos exercices sont basés sur des situations réelles tirées du quotidien des différents participants.

Aussi pratique que théorique

Son équilibre entre la théorie d’un côté, nécessaire pour comprendre l’esprit du règlement, et sa mise en pratique de l’autre, permet de s’approprier le contenu aisément.

Spécialiste des questions règlementaires, Jérôme Mauvais est consultant sécurité chez Orange Cyberdefense. Autodidacte, il a appris seul les rouages de l’informatique et de la cybersécurité. Très investi dans la protection des données personnelles, Jérôme a été également remarqué tout au long de sa carrière pour ses grandes capacités de transmission des savoirs. Il accompagne aujourd’hui nos clients dans leur mise en conformité au RGPD. Pour découvrir son parcours, cliquez ici.

Le niveau de maturité des entreprises en matière de protection des données est, à mes yeux, très fluctuant d’un secteur à l’autre. Cela dépend généralement du passé de l’entreprise, de son respect des principes fondamentaux de la loi Informatique et Libertés qu’on retrouve dans le RGPD, mais aussi d’autres règlementations auxquelles l’entreprise est soumise : plus elle est habituée à devoir se conformer à des exigences légales, plus elle sait s’adapter à un nouveau cadre légal.

Si n’importe quelle entité opérant des traitements de données personnelles sur le sol de l’Union Européenne (ou des traitements sur les données de personnes résidentes au sein de l’UE) doit être conforme au RGPD, le degré d’obligation n’est pas vécu de la même façon selon les entreprises. Les enjeux ne sont par exemple pas les mêmes selon les secteurs.

La capacité à se doter des ressources nécessaires est un facteur qui donne la mesure de la compréhension du RGPD : si une seule personne est dédiée à « tout faire », il y a fort à parier que le projet sera difficilement conduit. Un projet RGPD nécessite l’implication de l’ensemble des métiers, qui manient chaque jour des données personnelles. Ainsi, un projet RGPD demande du temps et parfois, des investissements financiers.

Si l’entreprise voit le RGPD comme une contrainte imposée, mal vécue, alors l’engagement des collaborateurs, du COMEX aux alternants, ne sera pas au rendez-vous. Pourtant, le RGPD est une opportunité forte de jouer la carte de la transparence ; une entreprise doit le voir comme un argument solide pour démontrer à ses clients que leurs données sont protégées, traitées de manière responsable et avec respect. C’est un marqueur de confiance extrêmement important, à l’heure où la réputation d’une entreprise peut être démise en quelques secondes et 280 caractères.

J’accueille des profils très variés au sein de nos formations : des personnes issues d’un parcours juridique, de futur·e·s DPO[1], des RSSI[2], des fonctions RH, des personnes du monde du marketing, de la communication, des DSI[3]… L’ADN du RGPD fait que l’ensemble des métiers sont impliqués.

Leurs besoins ont un tronc commun : comprendre, de façon détaillée, ce qui se cache derrière le « RGPD ». Chaque population a ensuite des demandes plus concrètes : ce sont leurs questions sur l’application du règlement au quotidien.

Tout le monde n’est pas juriste. Tous les collaborateurs ne vont pas lire le RGPD, la dernière version de la loi Informatique et Libertés, les lignes directrices du CEPD[4], les jurisprudences en plus de toute autre documentation utile….

Nous avons donc construit le programme de la façon suivante : la première journée est consacrée aux « savoirs » : nous présentons le RGPD dans le détail, en expliquant ses articles, concepts fondamentaux, obligations, sanctions… Par la suite, nous revenons en pratique sur les tâches exigées par le RGPD. Ainsi, nous proposons un atelier permettant notamment d’apprendre à cartographier des traitements de données et à créer des fiches de traitement de données à caractère personnel. Nous animons également un atelier permettant aux participants d’être autonomes sur la réalisation de PIA[5] ou l’analyse sur traitements présentant des risques, par exemple. Chaque atelier dure une journée.

Nous avons donc construit le programme pour pouvoir offrir la connaissance théorique nécessaire sur le RGPD d’un côté et pour que les apprenants soient capables de le décliner efficacement, au quotidien, de l’autre.

« Le RGPD, n’en faites pas toute une montagne », c’est souvent ainsi que je commence mes formations. Le sujet est sur le devant de la scène depuis un peu plus d’un an, mais au final, il suffit de beaucoup de bon sens. Ne vous jetez pas à corps perdu dans une mise en conformité, sachez reconnaître ce qui est important pour vous, et ce qui l’est moins, afin de prioriser vos actions en fonction des capacités que vous pouvez dédier à un tel projet. Et s’il vous faut un guide pour gravir la montagne… vous savez où en trouver.

Mon premier conseil, c’est de bien comprendre ce qu’est une donnée à caractère personnel. Trop souvent, celles-ci fuitent car un·e collaborateur·trice ne sait tout simplement pas caractériser une data.

Mon second conseil est le suivant : nous sommes tous clients. Et nous ne voulons pas que nos données puissent se retrouver dans la nature. Ne faites pas aux autres ce que vous n’aimeriez pas qu’il vous arrive : protégez les données des clients au moins aussi bien que si elles étaient les vôtres.

Notes :

[1]Data protection officer

[2]Responsable de la sécurité des systèmes informatiques

[3]Directeur des systèmes d’information

[4]Comité Européen à la Protection des Données, l’autorité européenne cheffe des CNIL européennes

[5]Privacy Impact Assessment, Etude d’Impact sur la Vie Privée ou EIVP

Pour découvrir toutes les offres du Cybersecurity Training Center d’Orange Cyberdefense :

Durée de la formation : entre 1 et 5 jours

Prochaines sessions : sur Paris, du 25 au 29 novembre prochain