Aller à l'en-tête Aller au menu principal Aller au contenu Aller au pied de page

Onglets principaux

Accueil - Formations - Offre de Formation - Diplôme d'université Délégué à la protection des données Data Protection Officer (DPO)

Diplôme d'université Délégué à la protection des données Data Protection Officer (DPO)

Formation
Diplôme d'université Délégué à la protection des données Data Protection Officer (DPO)
Diplôme d’université (DU)

Diplôme d'université Délégué à la protection des données Data Protection Officer (DPO)

2020/2021

Direction: M. Pierre-Emmanuel AUDIT

Diplôme d’université (DU) - Droit

Diplôme Délivré:
Diplôme d’Université
Durée des études:
1 an (à partir de janvier)
Modalités d'enseignement:
Formation continue

Présentation

Objectifs

Présentation de la formation

Cette formation permet à des personnes ayant une première expérience en entreprise (droit, informatique, ou gestion) d'acquérir les compétences nécessaires pour assumer les responsabilités de Délégué à la Protection des Données (DPD), que l'on nomme plus couramment Data Protection Officer (DPO), au sens du nouveau règlement européen sur la protection des données à caractère personnel (RGPD). La formation est également ouverte aux personnes qui ne se destinent pas au métier de DPO mais souhaite acquérir les compétences nécessaires à la gestion des données à caractère personnel en conformité avec le RGPD.

La fonction de Data Protection Officer occupe une nouvelle place, essentielle, au sein de l'entreprise. Son importance primordiale vient d'être soulignée par LinkedIn, qui l'a classé n°1 des métiers les plus recherchés en France. Le DPO devient un acteur stratégique, en liaison directe avec le plus haut niveau de direction de l'entreprise. Le DPO doit aussi interagir avec le responsable conformité, le directeur juridique, le directeur des services informatiques, le directeur de l'innovation et le directeur des ressources humaines. Au regard notamment des sanctions encourues (jusqu’à 4% du chiffre d’affaires), la conformité en matière de protection des données à caractère personnel est devenu tout aussi importante pour une entreprise que la conformité en matière d'anti-corruption et de droit de la concurrence. Le RGPD ayant au demeurant une portée extraterritoriale, son champ d’application mondiale garantit aux DPOs une forte employabilité dans tout pays amené à traiter de données à caractère personnel se rapportant à des personnes situées sur le territoire de l’Union européenne.

La formation délivrée au Centre de formation permanente de l'université Paris 2 Panthéon-Assas, crée à l'origine par Bénédicte Fauvarque-Cosson et Winston Maxwell (anciens directeurs du DU DPO), permet d'acquérir toutes les compétences nécessaires à l'exercice du métier de Délégué à la Protection des Données, depuis les fondamentaux du RGPD jusqu'à ses difficultés d'application dans des secteurs particuliers comme celui de la santé ou de la banque. La formation est assurée en grande partie par des praticiens aguerris au métier de DPO et aux subtilités de ce métier, qu'il s'agisse de négocier des contrats entre acteurs du traitement des données, d'établir une politique de sensibilisation des salariés au sein de l'entreprise, de mettre en oeuvre des aspects élémentaires du RGPD tels qu'un registre de traitement ou une Analyse d'Impact Relative à la Protection des Données (AIPD), ou encore de gérer les rapports avec l'autorité de contrôle. Le DU DPO de l'université Paris 2 a également la chance de compter, parmi ses intervenants, des membres de la Commission nationale de l'informatique et des libertés (CNIL) venant exposer concrètement la politique du gendarme des données en matière de conformité et de sanction. 

La qualité exceptionnelle des intervenants, comme la richesse des thèmes abordés, font résolument du DU DPO de l'université Paris 2 une formation de premier choix pour devenir Data Protection Officer.

Certification inscrite au Répertoire Spécifique de France Compétences qui référence les certifications finançables par le Compte personnel de formation (CPF) :

Cette certification vise à répondre aux obligations que les services publics et certaines personnes de droit privé doivent respecter en matière de protection des données personnelles afin d’être conforme au nouveau Règlement Général sur la Protection des Données (RGPD) . D’après l’article article 37 de ce règlement, la désignation d’un DPO est obligatoire dans tout organisme public ou autorité publique, pour toute entreprise qui procède à un suivi de personnes ou qui traite des données sensibles (comme des données de santé) à grande échelle. Cette certification va en outre dans le sens des recommandations de l'OCDE et de la CNIL pour lesquelles, même si l’obligation ne s’applique pas encore à tous les organismes, la désignation d’un DPO est fortement recommandée. Bien que le RGPD soit entré en vigueur en 2018, la plupart des entreprises françaises ne dispose encore pas encore d'un DPO et, lorsqu’il n’est pas requis, ne dispose pas des connaissances essentielles sur manière dont il convient de traiter les données à caractère personnel; cette certification répond ainsi à des besoins actuels et futurs. La personne qui a vocation à devenir DPO n’a pas de profil type et peut être une personne issue du domaine technique, juridique ou autre. Le DPO peut donc être désigné parmi l’un des employés déjà en poste s’il a les compétences spécialisées du droit et des pratiques en matière de protection des données. 

Compétences visées : 

  • Mentionner les principes de licéité et loyauté du traitement, de limitation des finalités, de minimisation des données, d'exactitude des données, de conservation limitée des données, d'intégrité, de confidentialité et de responsabilité.
  • Identifier la base juridique correcte d'un traitement.
  • Traiter les données sensibles de l’article 10 du RGPD.
  • Prendre des mesures appropriées sur le contenu d’informations à fournir aux personnes concernées.
  • Rédiger des procédures pour recevoir et gérer les demandes d'exercice des droits des personnes concernées : droit d’accès, rectification et effacement, droit à la limitation du traitement, droit à la portabilité des données, droit d’opposition.
  • Faire appliquer le cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles.
  • Identifier l'existence de transferts de données hors Union européenne et déterminer les instruments juridiques de transfert susceptibles d'être utilisés.
  • Mettre en œuvre une politique ou des règles internes en matière de protection des données.
  • Organiser et participer à des audits en matière de protection des données.
  • Mettre en place le registre d'activités de traitement et de la documentation des violations de données ainsi que de la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données.
  • Trouver des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement.
  • Participer à l'identification des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement.
  • Distinguer les violations de données personnelles nécessitant une notification à l'autorité de contrôle et celles nécessitant une communication aux personnes concernées.
  • Effectuer une analyse d'impact relative à la protection des données (AIPD) si cela est nécessaire.
  • Conseiller en matière d'analyse d'impact relative à la protection des données (en particulier sur la méthodologie, l'éventuelle sous-traitance, les mesures techniques et organisationnelles à adopter).
  • Gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier).
  • Elaborer et mettre en œuvre des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données.
  • Assurer la traçabilité de ses activités en tant que DPO, notamment à l'aide d'outils de suivi ou de bilan annuel.

Intervenants de la Formation 

Liste à jour sur le site du DU DPO : https://du-dpo.u-paris2.fr/fr

Admission

Niveau d'entrée:
Bac +4

Profil recommandé

La formation s'adresse prioritairement aux professionnels des entreprises et à des professionnels ayant une expérience d'au moins deux ans en entreprise, généralement dans la direction juridique, la direction informatique ou dans la direction compliance mais aussi dans d'autres directions : direction commerciale, direction clients, direction technique, éthique, etc.

Les candidats auront une formation d'au moins BAC +4 et maîtriseront l'anglais.

Pour le candidat non titulaire d'un BAC +4 et justifiant d'une expérience professionnelle dans le domaine, une procédure de validation des acquis professionnels peut être mise en place selon la réglementation. La maîtrise de l'anglais est indispensable.

Organisation des études

Les cours se déroulent de janvier à décembre, un vendredi et un samedi par mois.

Les enseignements représentent un volume annuel de 120 heures et sont dispensés en présentiel, en français et en anglais.

Programme

Module 1 : Protection des données (Data protection) : 25 heures

  • Rôle et éthique des DPO dans la transformation digitale de l'entreprise et enjeux mondiaux : mise en perspective (Etats- Unis, modèle APEC, Afrique, etc.) : 8h
  • Maîtriser les principes de la protection des données à caractère personnel découlant du règlement européen : 6h
  • Le Règlement européen : approfondissement des grands principes (portabilité, droits d'accès, d'effacement, etc.), procédures et autorités de contrôle, transferts internationaux de données, extraterritorialité du droit européen : 8h
  • Sensibilisation aux questions liées à la gestion des données de salariés au sein de l'entreprise : 3h

Module 2 : Gestion du risque (Risk management) : 25 heures

  • Prévenir le risque de non-conformité : prévention du risque de non-conformité en matière de corruption (lignes directrices SCPC : engagements des dirigeants, cartographie des risques, mise en place d'un programme d'éthique et de conformité, contrôle, sanctions), gestion du risque de non-conformité (tierces parties, etc.), mise en place des dispositifs liés aux programmes de conformité (procédures, alertes, etc.), contrôle et audit des programmes : 10h
  • Conduire un audit ou une enquête interne (procédure, indépendance des enquêteurs, garantie des salariés) : 4h
  • Procédures devant les autorités de contrôle. Gérer un contentieux devant la CNIL : 3h
  • Mise en œuvre de la fonction de DPO : préparer une étude d'impact (Privacy Impact Assessment), prise en compte du respect de la vie privée des la conception et paramètres par défaut (Privacy by design et privacy by default), gérer une violation des données (data breach), la capacité de rendre compte (Accountability) et la gestion des demandes d'accès/plaintes : 8h

Module 3 : Sécurité informatique : 15 heures

  • Fondamentaux de la sécurité informatique (confidentialité, intégrité, disponibilité) et analyse de la menace : 6h
  • Introduction à la cryptologie : anonymisation, pseudonymisation, chiffrement : 3h
  • Le DPO et la sécurité informatique : retours d'expériences (externalisation, mesures techniques et organisationnelles) : 6h

Module 4 : Etudes de cas par secteur : 18 heures

  • La gestion des données à caractère personnel au sein des collectivités publiques : 3h
  • La gestion des données à caractère personnel au sein des entreprises de santé (établissements de santé, industrie pharmaceutique) : 3h
  • La gestion des données à caractère personnel au sein des banques et sociétés d'assurance : 3h
  • La gestion des données dans le secteur de l'énergie : 3h
  • La gestion des données à caractère personnel au sein d'entreprises d'Internet (communications électroniques, plateformes, moteurs de recherche): 3h
  • La gestion des données dans l'industrie automobile et les véhicules connectés : 3h

Module 5 : Science des données (Data science) et Big data : 12 heures

  • Introduction à la data science et aux techniques. Cas pratiques sur les techniques du big data et les objets connectés

Module 6 : Gestion des contrats (Contract management) : 15 heures

  • Les acteurs : rôles et responsabilités respectifs des responsables de traitement et sous-traitants (data controller et data processor)
  • Application des clauses de règlements des differends, aspects internationaux. Compétence et pouvoir des arbitres et normes applicables. La question de l'ordre public
  • Techniques de rédaction des clauses : clauses relatives aux données personnelles, clauses d'information/privacy policies, clauses de consentement, clauses de sous-traitance, clauses de transferts des données, clauses de limitations de responsabilité

Module 7 : 10 heures

  • Présentations par des grands témoins. Mise en situation des participants à la formation.

Contact

Emilie ARRAGO-BORUAH

Tél. : +33 (0) 01 53 63 86 13
Email : emilie.arrago-boruah@u-paris2.fr

Candidatures

Le Fichier DossierCandidature2020.docx est à envoyer par email (adresse de contact affichée au-dessus) du 1er au 30 juin.

Les dossiers envoyés hors période (la date du mail faisant foi) ne sont pas traités.

Si vous n'avez pas le diplôme requis vous devez télécharger le [[{"fid":"37540","view_mode":"wysiwyg","fields":{"format":"wysiwyg"},"link_text":"dossier_vap.doc","type":"media","field_deltas":{"1":{"format":"wysiwyg"}},"attributes":{"class":"media-element file-wysiwyg","data-delta":"1"}}]] et le joindre obligatoirement à votre dossier de candidature.

Coût de la formation

5 400 € + les droits d'inscription à l'université.

Certifications

Code répertoire spécifique : RS 5144

Ce diplôme est éligible au Compte Personnel de Formation (CPF)

Durée des études : 1 an (à partir de janvier)
Diplôme délivré : Diplôme d’Université
Modalités d’enseignement : Formation continue

Objectifs

Présentation de la formation

Cette formation permet à des personnes ayant une première expérience en entreprise (droit, informatique, ou gestion) d'acquérir les compétences nécessaires pour assumer les responsabilités de Délégué à la Protection des Données (DPD), que l'on nomme plus couramment Data Protection Officer (DPO), au sens du nouveau règlement européen sur la protection des données à caractère personnel (RGPD). La formation est également ouverte aux personnes qui ne se destinent pas au métier de DPO mais souhaite acquérir les compétences nécessaires à la gestion des données à caractère personnel en conformité avec le RGPD.

La fonction de Data Protection Officer occupe une nouvelle place, essentielle, au sein de l'entreprise. Son importance primordiale vient d'être soulignée par LinkedIn, qui l'a classé n°1 des métiers les plus recherchés en France. Le DPO devient un acteur stratégique, en liaison directe avec le plus haut niveau de direction de l'entreprise. Le DPO doit aussi interagir avec le responsable conformité, le directeur juridique, le directeur des services informatiques, le directeur de l'innovation et le directeur des ressources humaines. Au regard notamment des sanctions encourues (jusqu’à 4% du chiffre d’affaires), la conformité en matière de protection des données à caractère personnel est devenu tout aussi importante pour une entreprise que la conformité en matière d'anti-corruption et de droit de la concurrence. Le RGPD ayant au demeurant une portée extraterritoriale, son champ d’application mondiale garantit aux DPOs une forte employabilité dans tout pays amené à traiter de données à caractère personnel se rapportant à des personnes situées sur le territoire de l’Union européenne.

La formation délivrée au Centre de formation permanente de l'université Paris 2 Panthéon-Assas, crée à l'origine par Bénédicte Fauvarque-Cosson et Winston Maxwell (anciens directeurs du DU DPO), permet d'acquérir toutes les compétences nécessaires à l'exercice du métier de Délégué à la Protection des Données, depuis les fondamentaux du RGPD jusqu'à ses difficultés d'application dans des secteurs particuliers comme celui de la santé ou de la banque. La formation est assurée en grande partie par des praticiens aguerris au métier de DPO et aux subtilités de ce métier, qu'il s'agisse de négocier des contrats entre acteurs du traitement des données, d'établir une politique de sensibilisation des salariés au sein de l'entreprise, de mettre en oeuvre des aspects élémentaires du RGPD tels qu'un registre de traitement ou une Analyse d'Impact Relative à la Protection des Données (AIPD), ou encore de gérer les rapports avec l'autorité de contrôle. Le DU DPO de l'université Paris 2 a également la chance de compter, parmi ses intervenants, des membres de la Commission nationale de l'informatique et des libertés (CNIL) venant exposer concrètement la politique du gendarme des données en matière de conformité et de sanction. 

La qualité exceptionnelle des intervenants, comme la richesse des thèmes abordés, font résolument du DU DPO de l'université Paris 2 une formation de premier choix pour devenir Data Protection Officer.

Certification inscrite au Répertoire Spécifique de France Compétences qui référence les certifications finançables par le Compte personnel de formation (CPF) :

Cette certification vise à répondre aux obligations que les services publics et certaines personnes de droit privé doivent respecter en matière de protection des données personnelles afin d’être conforme au nouveau Règlement Général sur la Protection des Données (RGPD) . D’après l’article article 37 de ce règlement, la désignation d’un DPO est obligatoire dans tout organisme public ou autorité publique, pour toute entreprise qui procède à un suivi de personnes ou qui traite des données sensibles (comme des données de santé) à grande échelle. Cette certification va en outre dans le sens des recommandations de l'OCDE et de la CNIL pour lesquelles, même si l’obligation ne s’applique pas encore à tous les organismes, la désignation d’un DPO est fortement recommandée. Bien que le RGPD soit entré en vigueur en 2018, la plupart des entreprises françaises ne dispose encore pas encore d'un DPO et, lorsqu’il n’est pas requis, ne dispose pas des connaissances essentielles sur manière dont il convient de traiter les données à caractère personnel; cette certification répond ainsi à des besoins actuels et futurs. La personne qui a vocation à devenir DPO n’a pas de profil type et peut être une personne issue du domaine technique, juridique ou autre. Le DPO peut donc être désigné parmi l’un des employés déjà en poste s’il a les compétences spécialisées du droit et des pratiques en matière de protection des données. 

Compétences visées : 

  • Mentionner les principes de licéité et loyauté du traitement, de limitation des finalités, de minimisation des données, d'exactitude des données, de conservation limitée des données, d'intégrité, de confidentialité et de responsabilité.
  • Identifier la base juridique correcte d'un traitement.
  • Traiter les données sensibles de l’article 10 du RGPD.
  • Prendre des mesures appropriées sur le contenu d’informations à fournir aux personnes concernées.
  • Rédiger des procédures pour recevoir et gérer les demandes d'exercice des droits des personnes concernées : droit d’accès, rectification et effacement, droit à la limitation du traitement, droit à la portabilité des données, droit d’opposition.
  • Faire appliquer le cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles.
  • Identifier l'existence de transferts de données hors Union européenne et déterminer les instruments juridiques de transfert susceptibles d'être utilisés.
  • Mettre en œuvre une politique ou des règles internes en matière de protection des données.
  • Organiser et participer à des audits en matière de protection des données.
  • Mettre en place le registre d'activités de traitement et de la documentation des violations de données ainsi que de la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données.
  • Trouver des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement.
  • Participer à l'identification des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement.
  • Distinguer les violations de données personnelles nécessitant une notification à l'autorité de contrôle et celles nécessitant une communication aux personnes concernées.
  • Effectuer une analyse d'impact relative à la protection des données (AIPD) si cela est nécessaire.
  • Conseiller en matière d'analyse d'impact relative à la protection des données (en particulier sur la méthodologie, l'éventuelle sous-traitance, les mesures techniques et organisationnelles à adopter).
  • Gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier).
  • Elaborer et mettre en œuvre des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données.
  • Assurer la traçabilité de ses activités en tant que DPO, notamment à l'aide d'outils de suivi ou de bilan annuel.

Intervenants de la Formation 

Liste à jour sur le site du DU DPO : https://du-dpo.u-paris2.fr/fr

Niveau d’entrée : Bac +4

La formation s'adresse prioritairement aux professionnels des entreprises et à des professionnels ayant une expérience d'au moins deux ans en entreprise, généralement dans la direction juridique, la direction informatique ou dans la direction compliance mais aussi dans d'autres directions : direction commerciale, direction clients, direction technique, éthique, etc.

Les candidats auront une formation d'au moins BAC +4 et maîtriseront l'anglais.

Pour le candidat non titulaire d'un BAC +4 et justifiant d'une expérience professionnelle dans le domaine, une procédure de validation des acquis professionnels peut être mise en place selon la réglementation. La maîtrise de l'anglais est indispensable.

Organisation de la formation

Les cours se déroulent de janvier à décembre, un vendredi et un samedi par mois.

Les enseignements représentent un volume annuel de 120 heures et sont dispensés en présentiel, en français et en anglais.

Programme

Module 1 : Protection des données (Data protection) : 25 heures

  • Rôle et éthique des DPO dans la transformation digitale de l'entreprise et enjeux mondiaux : mise en perspective (Etats- Unis, modèle APEC, Afrique, etc.) : 8h
  • Maîtriser les principes de la protection des données à caractère personnel découlant du règlement européen : 6h
  • Le Règlement européen : approfondissement des grands principes (portabilité, droits d'accès, d'effacement, etc.), procédures et autorités de contrôle, transferts internationaux de données, extraterritorialité du droit européen : 8h
  • Sensibilisation aux questions liées à la gestion des données de salariés au sein de l'entreprise : 3h

Module 2 : Gestion du risque (Risk management) : 25 heures

  • Prévenir le risque de non-conformité : prévention du risque de non-conformité en matière de corruption (lignes directrices SCPC : engagements des dirigeants, cartographie des risques, mise en place d'un programme d'éthique et de conformité, contrôle, sanctions), gestion du risque de non-conformité (tierces parties, etc.), mise en place des dispositifs liés aux programmes de conformité (procédures, alertes, etc.), contrôle et audit des programmes : 10h
  • Conduire un audit ou une enquête interne (procédure, indépendance des enquêteurs, garantie des salariés) : 4h
  • Procédures devant les autorités de contrôle. Gérer un contentieux devant la CNIL : 3h
  • Mise en œuvre de la fonction de DPO : préparer une étude d'impact (Privacy Impact Assessment), prise en compte du respect de la vie privée des la conception et paramètres par défaut (Privacy by design et privacy by default), gérer une violation des données (data breach), la capacité de rendre compte (Accountability) et la gestion des demandes d'accès/plaintes : 8h

Module 3 : Sécurité informatique : 15 heures

  • Fondamentaux de la sécurité informatique (confidentialité, intégrité, disponibilité) et analyse de la menace : 6h
  • Introduction à la cryptologie : anonymisation, pseudonymisation, chiffrement : 3h
  • Le DPO et la sécurité informatique : retours d'expériences (externalisation, mesures techniques et organisationnelles) : 6h

Module 4 : Etudes de cas par secteur : 18 heures

  • La gestion des données à caractère personnel au sein des collectivités publiques : 3h
  • La gestion des données à caractère personnel au sein des entreprises de santé (établissements de santé, industrie pharmaceutique) : 3h
  • La gestion des données à caractère personnel au sein des banques et sociétés d'assurance : 3h
  • La gestion des données dans le secteur de l'énergie : 3h
  • La gestion des données à caractère personnel au sein d'entreprises d'Internet (communications électroniques, plateformes, moteurs de recherche): 3h
  • La gestion des données dans l'industrie automobile et les véhicules connectés : 3h

Module 5 : Science des données (Data science) et Big data : 12 heures

  • Introduction à la data science et aux techniques. Cas pratiques sur les techniques du big data et les objets connectés

Module 6 : Gestion des contrats (Contract management) : 15 heures

  • Les acteurs : rôles et responsabilités respectifs des responsables de traitement et sous-traitants (data controller et data processor)
  • Application des clauses de règlements des differends, aspects internationaux. Compétence et pouvoir des arbitres et normes applicables. La question de l'ordre public
  • Techniques de rédaction des clauses : clauses relatives aux données personnelles, clauses d'information/privacy policies, clauses de consentement, clauses de sous-traitance, clauses de transferts des données, clauses de limitations de responsabilité

Module 7 : 10 heures

  • Présentations par des grands témoins. Mise en situation des participants à la formation.

Contrôle des connaissances

Article 1er :

  • Une étude de cas écrite visant à rédiger un rapport de synthèse de diagnostic de conformité comme cela pourrait être demandé dans une situation professionnelle
  • Une présentation orale (individuelle ou en groupe) sur une problématique rencontrée dans un contexte professionnel

Article 2 :

Une note de 10/20 est requise pour l’obtention du diplôme universitaire.

Le diplôme comporte les mentions suivantes, selon la note obtenue :

  • À partir de 10 : mention passable
  • À partir de 13 : mention assez bien à partir de 15 : mention bien
  • À partir de 17 : mention très bien.