Aller à l'en-tête Aller au menu principal Aller au contenu Aller au pied de page

Onglets principaux

Accueil - Formations - Offre de Formation - Diplôme d'université Délégué à la protection des données Data Protection Officer (DPO)

Diplôme d'université Délégué à la protection des données Data Protection Officer (DPO)

Formation
Diplôme d'université Délégué à la protection des données Data Protection Officer (DPO)
Diplôme d’université (DU)

Diplôme d'université Délégué à la protection des données Data Protection Officer (DPO)

2020/2021

Direction: M. Pierre-Emmanuel AUDIT, Mme Bénédicte FAUVARQUE-COSSON

Diplôme d’université (DU) - Droit

Diplôme Délivré:
Diplôme d’Université
Durée des études:
1 an (à partir de janvier)
Modalités d'enseignement:
Formation continue

Présentation

Objectifs

Certification et compétences visées

Cette certification vise à répondre aux obligations que les services publics et certains organismes privés doivent respecter en matière de protection des données personnelles afin de répondre aux évolutions du numérique. D’après le règlement RGPD (article 37 de la section 4), la désignation d’un DPO est rendue obligatoire dans tout organisme public ou autorité publique, pour toute entreprise qui procède à un suivi de personnes ou qui traite des données sensibles (comme la santé) à grande échelle. Cette certification va en outre dans le sens des recommandations de l'OCDE et de la CNIL pour lesquels, même si l’obligation ne s’applique pas encore à tous les organismes, la désignation d’un DPO est fortement recommandée. Or, comme la plupart des entreprises françaises ne dispose pas encore d'un DPO (la législation actuelle ne l'exige pas dans tous les cas), cette certification répond à des besoins actuels et futurs. La personne qui a vocation à devenir DPO n’a pas de profil type et peut être une personne issue du domaine technique, juridique ou autre.

Le DPO peut donc être désigné parmi l’un des employés déjà en poste s’il a les compétences spécialisées du droit et des pratiques en matière de protection des données :

  • Mentionner les principes de licéité et loyauté du traitement, de limitation des finalités, de minimisation des données, d'exactitude des données, de conservation limitée des données, d'intégrité, de confidentialité et de responsabilité.
  • Identifier la base juridique correcte d'un traitement.
  • Traiter les données sensibles de l’article 10 du RGPD.
  • Prendre des mesures appropriées sur le contenu d’informations à fournir aux personnes concernées.
  • Rédiger des procédures pour recevoir et gérer les demandes d'exercice des droits des personnes concernées : droit d’accès, rectification et effacement, droit à la limitation du traitement, droit à la portabilité des données, droit d’opposition.
  • Faire appliquer le cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles.
  • Identifier l'existence de transferts de données hors Union européenne et déterminer les instruments juridiques de transfert susceptibles d'être utilisés.
  • Mettre en œuvre une politique ou des règles internes en matière de protection des données.
  • Organiser et participer à des audits en matière de protection des données.
  • Mettre en place le registre d'activités de traitement et de la documentation des violations de données ainsi que de la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données.
  • Trouver des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement.
  • Participer à l'identification des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement.
  • Distinguer les violations de données personnelles nécessitant une notification à l'autorité de contrôle et celles nécessitant une communication aux personnes concernées.
  • Effectuer une analyse d'impact relative à la protection des données (AIPD) si cela est nécessaire.
  • Conseiller en matière d'analyse d'impact relative à la protection des données (en particulier sur la méthodologie, l'éventuelle sous-traitance, les mesures techniques et organisationnelles à adopter).
  • Gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier).
  • Elaborer et mettre en œuvre des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données.
  • Assurer la traçabilité de ses activités en tant que DPO, notamment à l'aide d'outils de suivi ou de bilan annuel.

 

Programme et intervenants de la Formation 

Cette formation a pour objet de permettre à des personnes ayant une première expérience en entreprise (droit, informatique, ou gestion) d'acquérir les compétences nécessaires pour assumer les responsabilités de Délégué à la Protection des Données (DPD), que l'on nomme plus couramment Data Protection Officer (DPO), au sens du nouveau règlement européen sur la protection des données à caractère personnel (RGPD). 

La fonction de Data Protection Officer occupe une nouvelle place, essentielle, au sein de l'entreprise. Son importance primordiale vient d'être soulignée par LinkedIn, qui l'a classé n°1 des métiers les plus recherchés en France. Le DPO devient un acteur stratégique, en liaison directe avec le plus haut niveau de direction de l'entreprise. Le DPO doit aussi interagir avec le responsable conformité, le directeur juridique, le directeur des services informatiques, le directeur de l'innovation et le directeur des ressources humaines. Au regard notamment des sanctions encourues (jusqu’à 4% du chiffre d’affaires), la conformité en matière de protection des données à caractère personnel est devenu tout aussi importante pour une entreprise que la conformité en matière d'anti-corruption et de droit de la concurrence. Le RGPD ayant au demeurant une portée extraterritoriale, son champ d’application mondiale garantit aux DPOs une forte employabilité dans tout pays amené à traiter de données à caractère personnel se rapportant à des personnes situées sur le territoire de l’Union européenne.

La formation délivrée au Centre de formation permanente de l'université Paris 2 Panthéon-Assas permet d'acquérir toutes les compétences nécessaires à l'exercice du métier de Délégué à la Protection des Données, depuis les fondamentaux du RGPD jusqu'à ses difficultés d'application dans des secteurs particuliers comme celui de la santé ou de la banque. La formation est assurée en grande partie par des praticiens aguerris au métier de DPO et aux subtilités de ce métier, qu'il s'agisse de négocier des contrats entre acteurs du traitement des données, d'établir une politique de sensibilisation des salariés au sein de l'entreprise, de mettre en oeuvre des aspects élémentaires du RGPD tels qu'un registre de traitement ou une Analyse d'Impact Relative à la Protection des Données (AIPD), ou encore de gérer les rapports avec l'autorité de contrôle. Le DU DPO de l'université Paris 2 a également la chance de compter, parmi ses intervenants, des membres de la Commission nationale de l'informatique et des libertés (CNIL) venant exposer concrètement la politique du gendarme des données en matière de conformité et de sanction. 

La qualité exceptionnelle des intervenants, comme la richesse des thèmes abordés, font résolument du DU DPO de l'université Paris 2 une formation de premier choix pour devenir Data Protection Officer.

Equipe pédagogique :

Pascal ARNAUD est actuellement chargé de mission HSE et Compliance Officer pour l’une des directions générales d’un groupe industriel français majeur. Il est ingénieur, diplômé de l’École Supérieure de Chimie Physique Electronique de Lyon et de l’École Nationale Supérieur du Pétrole et des Moteurs. Il est également titulaire d’un MBA de la London Business School et d’un Master 2 (DESS) en Droit des Entreprises Commerciales de l’université Paris 2 Panthéon-Assas. Après des débuts professionnels en usine et dans le business, il a occupé depuis presque 20 ans différentes fonctions de management et de direction en audit interne, intégrité et gouvernance-organisation.

Pierre-Emmanuel AUDIT, co-directeur du DU DPO, est maître de conférences à l'université Paris 2 Panthéon-Assas. Après un DEA de droit privé général, Pierre-Emmanuel a soutenu une thèse de doctorat sur le problème de la date de naissance des créances. Il est également diplômée du LL.M. de Harvard Law School et a réussi l'examen du Barreau de New-York. Il se concentre désormais sur ses activités pédagogiques et scientifiques au sein de l'université Paris 2, où il enseigne le droit des contrats, le droit de la responsabilité civile, le droit maritime, l'analyse comportementale du droit et anime certains séminaires au sein du DU DPO.

Igor BABIC est ingénieur diplômé de l’École Centrale de Paris (1996) et diplômé de l’Executive MBA de l’ESSEC (2003). Il a travaillé comme chef de projet SI chez Nielsen, comme directeur de projet SI chez HSBC, puis comme directeur des Systèmes d’Information de Transdev (Caisse des Dépôts). En 2006, Igor BABIC rejoint Axa (105 millions de clients, 160 000 collaborateurs, 62 pays), où il est Group CISO - Responsable Groupe de la Sécurité de l’Information et anime un réseau de 250 CISOs jusqu’en 2011. Depuis 2011, Igor BABIC est le Group DPO - Responsable Groupe de la Protection des Données Personnelles, il a mené la mise en place d’un réseau de 100 DPOs, des Binding Corporate Rules (BCR), puis du Règlement Général sur la Protection des Données (RGPD/GDPR).

Océane BAYROU est EMEA Privacy Leader chez GE Healthcare, après avoir assumé différentes fonctions dans cette entreprise. Titulaire d'un Master 2 Recherche, Propriété littéraire, artistique et industrielle de l'université Paris 2 Panthéon-Assas, elle a travaillé dans plusieurs cabinets d'avocats avant de rejoindre son entreprise actuelle.

Pierre-Antoine BADOZ est directeur de la conformité - Chief Compliance Officer du Groupe Orange depuis octobre 2014. Il était précédemment directeur Orange Est, en charge des activités opérationnelles d’Orange en Alsace, Bourgogne, Franche-Comté et Lorraine depuis mars 2011. Diplômé de l’École polytechnique, de Télécom Paris Tech et docteur en Physique de l’université Joseph Fourier de Grenoble, Pierre-Antoine BADOZ a commencé sa carrière en R&D. Il a été conseiller technique au cabinet du ministre de l’Industrie avant de rejoindre le groupe France Télécom ou il a été directeur de la Stratégie et des Finances de la Division Opérateurs, directeur de l’Agence Entreprise « Paris la Défense », directeur du Centre de R&D « technologie » et directeur des affaires publiques du groupe Orange.

Maxime CARTAN est président de la start-up française Citalid Cybersécurité, qu'il a co-fondée à la fin de l'année 2017. Citalid développe une technologie innovante d'analyse et de quantification du risque cyber, première entreprise à tenir compte de l'influence du contexte externe (géopolitique, économique, etc.) sur les cyberattaques. Ingénieur de l'École Centrale Paris et diplômé de l'ESSEC, Maxime est un ancien spécialiste de l'analyse des cybermenaces du centre opérationnel de l’agence nationale de cyberdéfense (ANSSI). Il s'est auto-formé en sécurité informatique offensive et détient plusieurs certifications dans ce domaine (OSCP, CEH).

Isabelle CADIAU est responsable juridique protection des données personnelles et IT chez Sanofi.

Florence CHAFIOL est associée au sein du département Technologies, Propriété Intellectuelle, Media du cabinet August Debouzy. Elle y dirige l’activité Data Protection/Privacy et a développé une pratique très reconnue sur toutes les questions liées aux données à caractère personnel, tant pour des entreprises françaises qu’étrangères, dans le cadre de leur mise en conformité ou pour des lancements de produits ou nouveaux projets. Elle assiste également ses clients ayant fait l’objet de contrôles dans la gestion de leurs contentieux devant la Section Contentieuse de la CNIL. Elle a participé à la rédaction du livre blanc « Entreprises : les clés d’une application réussie du RGPD » aux côtés du CIGREF, de Tech’in France et de l’AFAI.

Mathias CHICHPORTICH est avocat-associé du cabinet FTMS. Il est spécialisé en droit pénal des affaires, en droit des médias et en droit des libertés publiques. En 2014, il est élu secrétaire de la Conférence des avocats du Barreau de Paris et intervient à ce titre au pénal dans les dossiers les plus complexes. Il traite régulièrement d’atteintes à la réputation et à l’image (diffamation, violation de la vie privée ou de la présomption d’innocence) et d’affaires en lien avec la sécurité des entreprises. Mathias CHICHPORTICH enseigne également au sein du diplôme Compliance Officer. Il est co-auteur de Mortelle transparence, un essai publié avec Denis OLIVENNES aux éditions Albin Michel.

Alexandre DIEULANGARD a dirigé des cellules de crises au sein du centre opérationnel de l’ANSSI pendant les 5 dernières années. Juriste en droit des NTIC et diplômé de l’École Normale Supérieure en géopolitique, il a travaillé pour une société d’intelligence économique en tant qu’analyste en cybercriminalité avant de rejoindre l’ANSSI. Il est co-fondateur et directeur général de Citalid Cybersécurité

Francis DONNAT est secrétaire général de France Télévisions depuis mai 2016. Diplômé de l’Institut d’études politiques (IEP) de Paris en 1993 puis de l’École nationale d’administration (ENA) en 1998 (promotion Valmy), il a été auditeur de 1998 à 2001. Il est maître des requêtes au Conseil d’Etat depuis 2001. Il a également été responsable du centre de documentation du Conseil d’Etat de 2002 à 2004. Il a, par la suite, été commissaire du gouvernement près les formations contentieuses du Conseil d’Etat (2004-2005) et référendaire à la Cour de justice de l’Union européenne de 2005 à 2012. Concernant sa carrière universitaire, Francis DONNAT a été maître de conférences, puis chargé de direction d’études à l’IEP de Paris (1998-2005) et enfin professeur associé à l’université de Strasbourg (2009-2012). De septembre 2012 à mai 2016, Francis Donnat occupait le poste de directeur des politiques publiques chez Google France.  

Stéphanie FABER, avocat, dirige les départements « Protection des Données Personnelles et Cybersécurité » et « Commercial, IP/IT» du cabinet Squire Patton Boggs à Paris. Elle est spécialisée en droit des affaires et a plus de 20 ans d’expérience. Son domaine de compétence couvre aussi bien la rédaction et négociation de contrats que le conseil  sur la stratégie ou les aspects règlementaires et la représentation de ses clients auprès des autorités de contrôle. Elle a développé une connaissance approfondie en protection des données personnelles et sur le RGPD. Sa clientèle et aussi bien française qu’internationale. Elle est membre de l’AFCDP,  l’ADPO, l’IAPP et de la commission économie numérique de la CCI. Elle intervient à des séminaires dans différents pays, donne des formations et écrit de nombreux articles en français et en anglais sur ces sujets. 

Bénédicte FAUVARQUE-COSSON, professeur agrégé de droit privé et de sciences criminelles, a fondé le DU DPO de l'université Paris 2 avec Winston MAXWELL. Elle a enseigné plusieurs années à l'université Paris 2 avant de devenir conseillère d'Etat en 2019.

Martine FRÈREBEAU est DPO Délégué - CP Data Privacy RGPD du Groupe La Poste, au sein de la branche Numérique.

Mathieu GIROL est responsable des partenariats internationaux de Return Path, entreprise experte en déliverabilité. Il était anciennement responsable de la sécurité de la plateforme email Orange.fr. Mathieu GIROL crée les ponts nécessaires entre la sécurité et le marketing afin de toujours servir les intérêts des utilisateurs.

Jennifer GODIN, Data Protection Officer, exerce au sein d’un groupe international. Ingénieur en Sciences du Traitement de l’Information (EISTI), elle justifie d’une expérience de près de 18 ans dans des activités d’audit, de conseil et formation en Gouvernance, Management des Risques et Sécurité de l’Information. Elle a exercé son activité au sein du Technology Risk Consulting d’Arthur Andersen, puis auprès du cabinet XS Pôle Sécurité du Groupe LEXSI (acquis par Orange Cyberdéfense). Après avoir été associée dans un cabinet de conseil en management de la sécurité, elle a fondé et géré, de 2009 à 2016, la société ENIGMA Services spécialisée dans le domaine de la Protection du Patrimoine Informationnel des entreprises, qui fut alors également organisme de formation agréé par LSTI pour délivrer les formations certifiantes Lead Auditor ISO 27001 et IS Risk Manager ISO 27005. Dans le cadre de l’accompagnement à la définition et l’implémentation de Systèmes de Mangement de la Sécurité de l’Information (SMSI) d’entreprises de tous secteurs d’activités en France et à l’étranger, elle a été amenée à réaliser des revues Sécurité et Conformité dans les projets et les contrats, et des diagnostiques de conformité aux législations et réglementations en vigueur en matière de protection des données personnelles. Elle occupe depuis 2017 le poste de DPO au sein d’un groupe français mondial où elle est en charge du programme de mise en conformité RGPD. Elle fait partie de la première promotion diplômée du DU Délégué à la Protection des Données (DPO) de l’université Paris 2 Panthéon-Assas.

Maria GOMRI est directrice juridique de Google France, Afrique du Nord et Moyen-Orient. Après une carrière d’avocate spécialisée en droit des nouvelles technologies, Maria Gomri a rejoint Google en 2006. Son équipe est composée de 15 juristes répartis en trois pôles chargés des partenariats et du lancement de produits en France, de la gestion du pré-contentieux, contentieux et relations avec les autorités de polices et de l'ensemble de ces sujets en Afrique du Nord et Moyen-Orient. Elle représente également Google auprès des cercles réglementaires en France.

Claude-Luce IMBAUD a un passé de concepteur/développeur dans le domaine de la défense, puis de pilotage d’affaires où la sécurité était prépondérante, lui ayant permis de s'intéresser très tôt à l’intégration de la sécurité dans les systèmes d’information. Aujourd’hui directeur de mission dans le pôle conseil en sécurité de Thales, il met à profit ces expériences en sécurité système d’information en accompagnant les clients de Thales dans leurs projets sensibles : réalisation d’analyse de risques SSI, audit, assistance à la constitution de dossier d’homologation SSI. Ces missions l'ont naturellement mené à s’intéresser à la protection des données à caractère personnel et à développer une offre pour assister les clients dans leur mise en conformité.

Emmanuel JOUFFIN est responsable du département veille réglementaire, au sein du groupe La Banque Postale. Il est docteur en droit privé de l’université Paris 1, enseignant au sein du master 2 Droit bancaire et financier de l’université Paris 1 et intervenant auprès de l’université Paris Dauphine. Vice-président de l’Association Nationale des Juristes de Banque, il est également membre du Comité éditorial de la Revue Banque & Droit.

Matthieu JUIF

Malik LAAZOUZI, agrégé de droit privé et sciences criminelles, est professeur à l'université Paris 2 Panthéon-Assas. Il y enseigne le Droit international privé des obligations, le droit de l'arbitrage international, le droit de l'arbitrage d'investissement et le droit des contrats internationaux privés et publics. Ses thèmes de recherche sont le droit international privé, le droit de l'arbitrage d'investissement et le droit de l'arbitrage international.

Pierre-Yves LASTIC est consultant sur le management de l'information et de la vie privée dans les sciences de la vie. Il a été le directeur adjoint du service chargé de la protection des données personnelles de Sanofi dans le monde entier. Il a étudié la biologie, les langues et l’informatique en France et en Allemagne, et est titulaire d’un doctorat ès sciences de l’université de Bayreuth. Après un premier poste universitaire, il a fait l’essentiel de sa carrière au sein de la R&D pharmaceutique, où il a occupé depuis presque 30 ans différentes fonctions de management, en particulier en gestion de données, biostatistique, gestion des études cliniques, gestion de l’information et protection des données.

Nathalie LANERET est directrice du Centre for Information Policy Leadership (CIPL) à Bruxelles. Le CIPL est un think-tank mondial qui travaille avec les leaders de l’industrie, les régulateurs et les décideurs politiques afin de développer des solutions globales et des bonnes pratiques pour la protection des données personnelles et l’utilisation responsable des données afin de favoriser le développement de la société de l’information moderne. Nathalie LANERET a plus de 20 ans d’expérience à la fois en tant que juriste et avocat. Elle était précédemment Group Data Protection Officer de Capgemini où elle était en charge de la gestion du réseau des DPO et de la définition de la stratégie du groupe pour la mise en place du Règlement Européen sur la Protection des Données Personnelles (RGPD). Avant de rejoindre Capgemini, elle a travaillé pour le Groupe 3M en tant que juriste spécialisée en contrats, droit de la concurrence, contentieux et conformité. Elle a débuté sa carrière en tant qu’avocate admise aux barreaux de Paris et de New York au sein du cabinet August & Debouzy. Elle est diplômée en droit européen de l’université Robert Schuman (Strasbourg, France) et en droit américain de l’université de Duke (Durham, USA). Nathalie est membre du comité européen de l’International Association of Privacy Professionals (IAPP) et du groupe d’experts du Code de Conduite des Cloud Infrastructure Service Providers in Europe (CISPE). Elle enseigne le droit et la pratique de la protection des données personnelles au sein de plusieurs universités et intervient régulièrement au cours de conférences en Europe sur les sujets liés à la sécurité et la protection des données personnelles.

Denise LEBEAU-MARIANNA est avocate-associée en charge de la pratique "Protection des données à caractère personnel et Cybersécurité" au sein du cabinet DLA Piper à Paris. Spécialisée en droit des technologies, elle assiste depuis plus de 20 ans ses clients dans les secteurs de l'automobile, le luxe, l'aéronautique, les produits de consommation, les médias, la banque et l'assurance tant sur leurs dossiers pré-contentieux que contentieux, ainsi que dans la mise en œuvre de leurs projets globaux de mise en conformité à la règlementation des données personnelles et leur programme de cybersécurité ainsi que sur leurs projets plus spécifiques de lutte contre la corruption, le blanchiment et la lutte contre le financement du terrorisme. Elle conseille également ses clients dans le domaine des données de santé et les projets de télémédecine en relation avec les autorités (CNIL, ASIP, HAS). Denise LEBEAU-MARIANNA est experte agréée EuroPriSe en données personnelles et certifiée CIPP/E. Elle est également chargée d'enseignement en données personnelles à Sciences Po et à l'université Paris 11 (université Jean Monnet - Sceaux).

Gwendal LE GRAND est directeur des technologies et de l’innovation à la Commission nationale de l’informatique et des libertés (CNIL). Il supervise le service de l’expertise technologique, le pôle innovation et prospective, le laboratoire d’innovation numérique (LINC) et le service de l’informatique interne. Il est coordinateur du sous-groupe technologie de l’EDPB (groupe des CNIL européennes), est officier de liaison de l’EDPB vers l’ISO/IEC JTC1/SC27/WG5 qui développe les normes internationales dans le domaine de la protection des données, et représente l’EDPB au Permanent Stakeholder Group de l’Agence européenne de cybersécurité (ENISA). Avant de rejoindre la CNIL, il était maître de conférences à Télécom Paristech. Gwendal LE GRAND est notamment titulaire d’un doctorat en informatique de l’université Pierre et Marie Curie (Paris), obtenu en 2001.

Jean LESSI est l'actuel secrétaire général de la CNIL. Il est diplômé de l’ENA (promotion 2007-2009 « Willy Brandt »), de l’Institut d’études politiques de Paris (Master affaires publiques) et de l’université Paris 2 Panthéon-Assas (licence de droit). Au Conseil d’Etat, il a occupé successivement les fonctions de rapporteur à la section du contentieux, puis à la section sociale, responsable du Centre de recherches et de diffusion juridiques et enfin rapporteur public à la section du contentieux (1ère chambre). Il a assuré auprès de la CNIL une mission d’appui juridique sur le règlement européen sur la protection des données.  

Sabine MARCELLIN est avocate au barreau de Paris, spécialisée en droit du numérique et de la cybersécurité. Cofondatrice du cabinet Aurore Legal, elle est diplômée DU DPO de l'université Paris 2 (2017) et de l’Inhesj (Institut national des hautes études de la sécurité et de la justice). Elle est également Lieutenant-colonel de la réserve citoyenne de la cyberdéfense de la gendarmerie. Créatrice du Guide Lamy Droit du Numérique,  elle est coauteur du Secret des Affaires (LexisNexis 2016 - 2019) et de la Protection des données personnelles (Editions Législatives – 2017).

Julie MARTINEZ est analyste au sein de l'équipe Data Privacy de Promontory (IBM) à Londres où elle conseille des groupes internationaux dans leur mise en conformité avec les nouvelles régulations applicables en matière de protection des données personnelles et de la vie privée. Ses missions principales consistent à proposer des services externalisés pour DPO. Julie est titulaire d'un master et deux LL.M. en droit européen des affaires et du numérique ainsi que du CRFPA.

Winston MAXWELL a co-fondé le DU DPO de l'université Paris 2 avec Bénédicte FAUVARQUE-COSSON. Depuis juin 2019, il est devenu directeur d’Études en droit et numérique au département SES dans l’équipe ECOGE à Telecom ParisTech. Winston MAXWELL était jusqu'alors avocat associé au cabinet Hogan Lovells, où il a conseillé des entreprises multinationales sur la réglementation applicable aux données (GDPR, cyber-sécurité, droits fondamentaux), aux plateformes internet, aux technologies blockchain, aux contenus audiovisuels en ligne (contenus haineux sur internet) et aux communications électroniques (IoT, neutralité de l’internet). Winston MAXWELL est diplômé de Cornell Law School et a obtenu un doctorat en sciences économiques à Télécom Paris (Smarter Internet Regulation Through Cost-Benefit Analysis, publié aux Presses des Mines en 2017). En 2019, il a été désigné avocat de l'année en protection des données personnelles et en droit des télécommunications.

Sophie NERBONNE est directrice de la conformité à la CNIL, direction dont l’activité consiste à co-construire une gamme élargie d’outils de régulation permettant une plus grande sécurité juridique dans un environnement incertain, dans une logique d’accompagnement des acteurs pour une innovation durable, intégrant dès la conception des produits et services la prise en compte des droits des personnes en matière de protection de leurs données. Diplômée de l’Institut d’études politiques de Paris et de l'université Paris 2 en droit, Sophie a tout d'abord acquis une expérience dans le secteur privé en étant juriste à la SODEXHO avant de rejoindre la CNIL, où elle a successivement pris en charge le secteur financier (banque et assurance) puis la responsabilité du service des affaires économiques à la direction juridique avant de devenir directrice adjointe des affaires juridiques, de l’expertise technique et des affaires internationales à la CNIL. Elle a suivi tout particulièrement les aspects européens et internationaux lors de la présidence du G29 par la Cnil en 2008-2009. Désignée experte auprès de la Commission européenne sur les questions de crédit, elle intervient régulièrement dans tous les cercles professionnels économiques sur l’ensemble des domaines touchant la protection des données personnelles.

Danièle NGUYEN est Group DPO chez Havas, un groupe leader dans le secteur de la  Publicité et les Médias, composé de plus de 600 agences représentant une soixantaine de pays et environ 20 000 collaborateurs. CIL dès 2007 et DPO Groupe chez Schneider Electric de 2010 à 2018 après un parcours dans la fonction RH, elle a suivi la formation ISEP (Mastère Protection des données personnelles) suite à sa nomination de DPO en 2010. Elle intervient comme enseignante dans le DU DPO de l'université Paris 2, est membre du Comité de pilotage du master Data Protection Management de l’Institut Mines-Télécom et Co-Chairs du Knowlegenet de IAPP Paris. Sa passion est de transmettre son expérience opérationnelle de la fonction de DPO : mise en place d’une gouvernance de la Protection des données personnelles, rédaction des Politiques, mise en place et déploiement des BCR, création et animation d’un réseau international de Référents, création et animation des formations, conception et pilotage du programme RGPD.

Béatrice OEUVRARD occupe la fonction de Public Policy Manager à Facebook France. Elle a auparavant travaillé chez Microsoft plus de 6 ans en tant que Senior Attorney, référente RGPD au sein du département des affaires externes, publiques et juridiques de Microsoft France. Elle est également en charge des demandes d’accès par les autorités, et des négociations commerciales cloud pour les grands comptes et le secteur public. Elle est titulaire d’un DEA de Propriété Intellectuelle, avec plus de 15 ans d’expérience dans l’industrie du numérique et des nouvelles technologies. Elle est également secrétaire de Point de Contact qui a notamment pour objectif le signalement de contenus manifestement illicites. Elle est aussi membre de l’AFJE depuis plusieurs années, dont elle pilote actuellement la taskforce Transformation Digitale.

Diane OUANDJI dirige et a fondé Stratechno, cabinet de conseil et formation en sécurité de l'information et protection des données. Diplômée de l'ENSIMAG et de l'université Joseph Fourier de Grenoble (Double diplôme Ingénieur télécom/master en cryptologie, codage et sécurité de l'information), Diane OUANDJI a occupé des postes très techniques puis évolué vers des fonctions d'AMOA, de gouvernance en sécurité de l'information et protection des données personnelles. En début de carrière, elle a travaillé sur le développement d'applications de signature électronique (signature des impôts en ligne), signature de contrat, authentification forte, ceci faisant appel à divers langages de programmations. Elle a ensuite évolué vers des missions de conseils en maîtrise d’œuvre et maîtrise d'ouvrage (pour la mise en place de PKI, de certification ISO 27001), d'assistance RSSI/CIL et depuis 2006 accompagne les entreprises à la mise en conformité au RGPD. Au travers du cabinet Stratechno, elle exerce les fonctions de RSSI, DPO externalisé et accompagne des entreprises à la mise en conformité au RGPD.

Yann PADOVA a rejoint Baker McKenzie en qualité de Partner en charge de l’activité de Protection des Données à Paris en juin 2017. Il est reconnu internationalement en droit des réseaux numériques, données personnelles et droit réglementaire. Yann PADOVA possède une vaste expérience en matière de protection des données (17 ans), après avoir été à la fois régulateur et avocat.

Martin PAILHES est en charge de la Practice IT / IP de la Fonction Juridique du Groupe BNP Paribas.

Bruno RASLE est le directeur exécutif de l’Association Française des Correspondants à la protection des Données à caractère Personnel (l'AFCDP), qui regroupe les Délégués à la protection des données (DPO) et tout professionnel de la conformité CNIL.

Juliette ROUILLOUX-SICRE est diplômée des universités Paris 2 Panthéon-Assas et Paris 1 Panthéon-Sorbonne. Initialement spécialisée en droit public des affaires ainsi qu’en défense, géostratégie et dynamiques industrielles, elle a rapidement intégré d’autres composantes du droit et pris des fonctions de management. Après près de 15 ans d’expérience en tant que directeur juridique au sein de différentes entités du Groupe Thales, elle est depuis 2017 déléguée à la Protection des Données dudit Groupe ainsi que directeur juridique cybersécurité. Elle est notamment chargée de la mise en conformité de toutes les entités du groupe Thales avec les nouvelles réglementations nationales et internationales en matière de protection des données personnelles.

Frédérique SAUVAUGE est avocate spécialisée en droit des affaires/fusions-acquisitions, anciennement directeur juridique d'un groupe de production audiovisuelle, membre de la promotion du DU DPO 2018.

Jérôme SEMIK est directeur des Risques et du Contrôle Interne du Groupe Lagardère depuis 2015 et délégué à la Protection des Données du même groupe depuis 2016. Diplômé de l’Ecole Supérieure de Commerce de Paris (1997), il a effectué sa carrière dans des fonctions d’audit, de contrôle interne et de gestion des risques au sein de divers établissements bancaires (notamment Crédit Agricole, ING) pendant 15 ans, avant de rejoindre le Groupe Lagardère en 2011, où il est notamment en charge de superviser le déploiement du dispositif de mise en conformité au Règlement Général sur la Protection des Données.

Philippe TASSI, diplômé de l’ENSAE et docteur en mathématiques, est directeur-général adjoint de Médiamétrie. Membre de l’Association Française de Marketing, de la Société Française de Statistique, d’ESOMAR et membre élu de l’International Statistical Institute (ISI), il a été professeur associé à l’université Paris 2 en sciences de gestion. Auteur ou co-auteur de nombreux ouvrages, articles et communications nationales et internationales sur les domaines des probabilités, statistique mathématique et sondages, il est spécialiste reconnu des data, que celles-ci soient issues de panels ou des bases digitales donnant naissance aux Big Data, particulièrement en stratégie de mesure d’audience des médias.

Bleiz TOURAILLE est responsable juridique, communication, information, technologies à la Société Générale.

 

Admission

Niveau d'entrée:
Bac +4

Profil recommandé

La formation s'adresse prioritairement aux professionnels des entreprises et à des professionnels ayant une expérience d'au moins deux ans en entreprise, généralement dans la direction juridique, la direction informatique ou dans la direction compliance mais aussi dans d'autres directions : direction commerciale, direction clients, direction technique, éthique, etc.

Les candidats auront une formation d'au moins BAC +4 et maîtriseront l'anglais.

Pour le candidat non titulaire d'un BAC +4 et justifiant d'une expérience professionnelle dans le domaine, une procédure de validation des acquis professionnels peut être mise en place selon la réglementation. La maîtrise de l'anglais est indispensable.

Organisation des études

Les cours se déroulent de janvier à décembre, un vendredi et un samedi par mois.

Les enseignements représentent un volume annuel de 120 heures et sont dispensés en présentiel, en français et en anglais.

Programme

Module 1 : Protection des données (Data protection) : 25 heures

  • Rôle et éthique des DPO dans la transformation digitale de l'entreprise et enjeux mondiaux : mise en perspective (Etats- Unis, modèle APEC, Afrique, etc.) : 8h
  • Maîtriser les principes de la protection des données à caractère personnel découlant du règlement européen : 6h
  • Le Règlement européen : approfondissement des grands principes (portabilité, droits d'accès, d'effacement, etc.), procédures et autorités de contrôle, transferts internationaux de données, extraterritorialité du droit européen : 8h
  • Sensibilisation aux questions liées à la gestion des données de salariés au sein de l'entreprise : 3h

Module 2 : Gestion du risque (Risk management) : 25 heures

  • Prevenir le risque de non-conformité : prévention du risque de non-conformité en matière de corruption (lignes directrices SCPC : engagements des dirigeants, cartographie des risques, mise en place d'un programme d'éthique et de conformité, contrôle, sanctions), gestion du risque de non-conformité (tierces parties, etc.), mise en place des dispositifs liés aux programmes de conformité (procédures, alertes, etc.), contrôle et audit des programmes : 10h
  • Conduire un audit ou une enquête interne (procédure, indépendance des enquêteurs, garantie des salariés) : 4h
  • Procédures devant les autorités de contrôle. Gérer un contentieux devant la CNIL : 3h
  • Mise en œuvre de la fonction de DPO : préparer une étude d'impact (Privacy Impact Assessment), prise en compte du respect de la vie privée des la conception et paramètres par défaut (Privacy by design et privacy by default), gérer une violation des données (data breach), la capacité de rendre compte (Accountability) et la gestion des demandes d'accès/plaintes : 8h

Module 3 : Sécurité informatique : 15 heures

  • Fondamentaux de la sécurité informatique (confidentialité, intégrité, disponibilité) et analyse de la menace : 6h
  • Introduction à la cryptologie : anonymisation, pseudonymisation, chiffrement : 3h
  • Le DPO et la sécurité informatique : retours d'expériences (externalisation, mesures techniques et organisationnelles) : 6h

Module 4 : Etudes de cas par secteur : 18 heures

  • La gestion des données à caractère personnel au sein des collectivités publiques : 3h
  • La gestion des données à caractère personnel au sein des entreprises de santé (établissements de santé, industrie pharmaceutique) : 3h
  • La gestion des données à caractère personnel au sein des banques et sociétés d'assurance : 3h
  • La gestion des données dans le secteur de l'énergie : 3h
  • La gestion des données à caractère personnel au sein d'entreprises d'Internet (communications électroniques, plateformes, moteurs de recherche): 3h
  • La gestion des données dans l'industrie automobile et les véhicules connectés : 3h

Module 5 : Science des données (Data science) et Big data : 12 heures

  • Introduction à la data science et aux techniques. Cas pratiques sur les techniques du big data et les objets connectés

Module 6 : Gestion des contrats (Contract management) : 15 heures

  • Les acteurs : rôles et responsabilités respectifs des responsables de traitement et sous-traitants (data controller et data processor)
  • Application des clauses de règlements des differends, aspects internationaux. Compétence et pouvoir des arbitres et normes applicables. La question de l'ordre public
  • Techniques de rédaction des clauses : clauses relatives aux données personnelles, clauses d'information/privacy policies, clauses de consentement, clauses de sous-traitance, clauses de transferts des données, clauses de limitations de responsabilité

Module 7 : 10 heures

  • Présentations par des grands témoins. Mise en situation des participants à la formation

Contact

Emilie ARRAGO-BORUAH

Tél. : +33 (0) 01 53 63 86 13
Email : emilie.arrago-boruah@u-paris2.fr

Candidatures

Le Fichier DossierCandidature2020.docx est à envoyer par email (adresse de contact affichée au-dessus) du 1er au 30 juin.

Les dossiers envoyés hors période (la date du mail faisant foi) ne sont pas traités.

Si vous n'avez pas le diplôme requis vous devez télécharger le [[{"fid":"37540","view_mode":"wysiwyg","fields":{"format":"wysiwyg"},"link_text":"dossier_vap.doc","type":"media","field_deltas":{"1":{"format":"wysiwyg"}},"attributes":{"class":"media-element file-wysiwyg","data-delta":"1"}}]] et le joindre obligatoirement à votre dossier de candidature.

Coût de la formation

5 400 € + les droits d'inscription à l'université.

Certifications

Code répertoire spécifique : RS 5144

Durée des études : 1 an (à partir de janvier)
Diplôme délivré : Diplôme d’Université
Modalités d’enseignement : Formation continue

Présentation

Objectifs

Certification et compétences visées

Cette certification vise à répondre aux obligations que les services publics et certains organismes privés doivent respecter en matière de protection des données personnelles afin de répondre aux évolutions du numérique. D’après le règlement RGPD (article 37 de la section 4), la désignation d’un DPO est rendue obligatoire dans tout organisme public ou autorité publique, pour toute entreprise qui procède à un suivi de personnes ou qui traite des données sensibles (comme la santé) à grande échelle. Cette certification va en outre dans le sens des recommandations de l'OCDE et de la CNIL pour lesquels, même si l’obligation ne s’applique pas encore à tous les organismes, la désignation d’un DPO est fortement recommandée. Or, comme la plupart des entreprises françaises ne dispose pas encore d'un DPO (la législation actuelle ne l'exige pas dans tous les cas), cette certification répond à des besoins actuels et futurs. La personne qui a vocation à devenir DPO n’a pas de profil type et peut être une personne issue du domaine technique, juridique ou autre.

Le DPO peut donc être désigné parmi l’un des employés déjà en poste s’il a les compétences spécialisées du droit et des pratiques en matière de protection des données :

  • Mentionner les principes de licéité et loyauté du traitement, de limitation des finalités, de minimisation des données, d'exactitude des données, de conservation limitée des données, d'intégrité, de confidentialité et de responsabilité.
  • Identifier la base juridique correcte d'un traitement.
  • Traiter les données sensibles de l’article 10 du RGPD.
  • Prendre des mesures appropriées sur le contenu d’informations à fournir aux personnes concernées.
  • Rédiger des procédures pour recevoir et gérer les demandes d'exercice des droits des personnes concernées : droit d’accès, rectification et effacement, droit à la limitation du traitement, droit à la portabilité des données, droit d’opposition.
  • Faire appliquer le cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles.
  • Identifier l'existence de transferts de données hors Union européenne et déterminer les instruments juridiques de transfert susceptibles d'être utilisés.
  • Mettre en œuvre une politique ou des règles internes en matière de protection des données.
  • Organiser et participer à des audits en matière de protection des données.
  • Mettre en place le registre d'activités de traitement et de la documentation des violations de données ainsi que de la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données.
  • Trouver des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement.
  • Participer à l'identification des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement.
  • Distinguer les violations de données personnelles nécessitant une notification à l'autorité de contrôle et celles nécessitant une communication aux personnes concernées.
  • Effectuer une analyse d'impact relative à la protection des données (AIPD) si cela est nécessaire.
  • Conseiller en matière d'analyse d'impact relative à la protection des données (en particulier sur la méthodologie, l'éventuelle sous-traitance, les mesures techniques et organisationnelles à adopter).
  • Gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier).
  • Elaborer et mettre en œuvre des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données.
  • Assurer la traçabilité de ses activités en tant que DPO, notamment à l'aide d'outils de suivi ou de bilan annuel.

 

Programme et intervenants de la Formation 

Cette formation a pour objet de permettre à des personnes ayant une première expérience en entreprise (droit, informatique, ou gestion) d'acquérir les compétences nécessaires pour assumer les responsabilités de Délégué à la Protection des Données (DPD), que l'on nomme plus couramment Data Protection Officer (DPO), au sens du nouveau règlement européen sur la protection des données à caractère personnel (RGPD). 

La fonction de Data Protection Officer occupe une nouvelle place, essentielle, au sein de l'entreprise. Son importance primordiale vient d'être soulignée par LinkedIn, qui l'a classé n°1 des métiers les plus recherchés en France. Le DPO devient un acteur stratégique, en liaison directe avec le plus haut niveau de direction de l'entreprise. Le DPO doit aussi interagir avec le responsable conformité, le directeur juridique, le directeur des services informatiques, le directeur de l'innovation et le directeur des ressources humaines. Au regard notamment des sanctions encourues (jusqu’à 4% du chiffre d’affaires), la conformité en matière de protection des données à caractère personnel est devenu tout aussi importante pour une entreprise que la conformité en matière d'anti-corruption et de droit de la concurrence. Le RGPD ayant au demeurant une portée extraterritoriale, son champ d’application mondiale garantit aux DPOs une forte employabilité dans tout pays amené à traiter de données à caractère personnel se rapportant à des personnes situées sur le territoire de l’Union européenne.

La formation délivrée au Centre de formation permanente de l'université Paris 2 Panthéon-Assas permet d'acquérir toutes les compétences nécessaires à l'exercice du métier de Délégué à la Protection des Données, depuis les fondamentaux du RGPD jusqu'à ses difficultés d'application dans des secteurs particuliers comme celui de la santé ou de la banque. La formation est assurée en grande partie par des praticiens aguerris au métier de DPO et aux subtilités de ce métier, qu'il s'agisse de négocier des contrats entre acteurs du traitement des données, d'établir une politique de sensibilisation des salariés au sein de l'entreprise, de mettre en oeuvre des aspects élémentaires du RGPD tels qu'un registre de traitement ou une Analyse d'Impact Relative à la Protection des Données (AIPD), ou encore de gérer les rapports avec l'autorité de contrôle. Le DU DPO de l'université Paris 2 a également la chance de compter, parmi ses intervenants, des membres de la Commission nationale de l'informatique et des libertés (CNIL) venant exposer concrètement la politique du gendarme des données en matière de conformité et de sanction. 

La qualité exceptionnelle des intervenants, comme la richesse des thèmes abordés, font résolument du DU DPO de l'université Paris 2 une formation de premier choix pour devenir Data Protection Officer.

Equipe pédagogique :

Pascal ARNAUD est actuellement chargé de mission HSE et Compliance Officer pour l’une des directions générales d’un groupe industriel français majeur. Il est ingénieur, diplômé de l’École Supérieure de Chimie Physique Electronique de Lyon et de l’École Nationale Supérieur du Pétrole et des Moteurs. Il est également titulaire d’un MBA de la London Business School et d’un Master 2 (DESS) en Droit des Entreprises Commerciales de l’université Paris 2 Panthéon-Assas. Après des débuts professionnels en usine et dans le business, il a occupé depuis presque 20 ans différentes fonctions de management et de direction en audit interne, intégrité et gouvernance-organisation.

Pierre-Emmanuel AUDIT, co-directeur du DU DPO, est maître de conférences à l'université Paris 2 Panthéon-Assas. Après un DEA de droit privé général, Pierre-Emmanuel a soutenu une thèse de doctorat sur le problème de la date de naissance des créances. Il est également diplômée du LL.M. de Harvard Law School et a réussi l'examen du Barreau de New-York. Il se concentre désormais sur ses activités pédagogiques et scientifiques au sein de l'université Paris 2, où il enseigne le droit des contrats, le droit de la responsabilité civile, le droit maritime, l'analyse comportementale du droit et anime certains séminaires au sein du DU DPO.

Igor BABIC est ingénieur diplômé de l’École Centrale de Paris (1996) et diplômé de l’Executive MBA de l’ESSEC (2003). Il a travaillé comme chef de projet SI chez Nielsen, comme directeur de projet SI chez HSBC, puis comme directeur des Systèmes d’Information de Transdev (Caisse des Dépôts). En 2006, Igor BABIC rejoint Axa (105 millions de clients, 160 000 collaborateurs, 62 pays), où il est Group CISO - Responsable Groupe de la Sécurité de l’Information et anime un réseau de 250 CISOs jusqu’en 2011. Depuis 2011, Igor BABIC est le Group DPO - Responsable Groupe de la Protection des Données Personnelles, il a mené la mise en place d’un réseau de 100 DPOs, des Binding Corporate Rules (BCR), puis du Règlement Général sur la Protection des Données (RGPD/GDPR).

Océane BAYROU est EMEA Privacy Leader chez GE Healthcare, après avoir assumé différentes fonctions dans cette entreprise. Titulaire d'un Master 2 Recherche, Propriété littéraire, artistique et industrielle de l'université Paris 2 Panthéon-Assas, elle a travaillé dans plusieurs cabinets d'avocats avant de rejoindre son entreprise actuelle.

Pierre-Antoine BADOZ est directeur de la conformité - Chief Compliance Officer du Groupe Orange depuis octobre 2014. Il était précédemment directeur Orange Est, en charge des activités opérationnelles d’Orange en Alsace, Bourgogne, Franche-Comté et Lorraine depuis mars 2011. Diplômé de l’École polytechnique, de Télécom Paris Tech et docteur en Physique de l’université Joseph Fourier de Grenoble, Pierre-Antoine BADOZ a commencé sa carrière en R&D. Il a été conseiller technique au cabinet du ministre de l’Industrie avant de rejoindre le groupe France Télécom ou il a été directeur de la Stratégie et des Finances de la Division Opérateurs, directeur de l’Agence Entreprise « Paris la Défense », directeur du Centre de R&D « technologie » et directeur des affaires publiques du groupe Orange.

Maxime CARTAN est président de la start-up française Citalid Cybersécurité, qu'il a co-fondée à la fin de l'année 2017. Citalid développe une technologie innovante d'analyse et de quantification du risque cyber, première entreprise à tenir compte de l'influence du contexte externe (géopolitique, économique, etc.) sur les cyberattaques. Ingénieur de l'École Centrale Paris et diplômé de l'ESSEC, Maxime est un ancien spécialiste de l'analyse des cybermenaces du centre opérationnel de l’agence nationale de cyberdéfense (ANSSI). Il s'est auto-formé en sécurité informatique offensive et détient plusieurs certifications dans ce domaine (OSCP, CEH).

Isabelle CADIAU est responsable juridique protection des données personnelles et IT chez Sanofi.

Florence CHAFIOL est associée au sein du département Technologies, Propriété Intellectuelle, Media du cabinet August Debouzy. Elle y dirige l’activité Data Protection/Privacy et a développé une pratique très reconnue sur toutes les questions liées aux données à caractère personnel, tant pour des entreprises françaises qu’étrangères, dans le cadre de leur mise en conformité ou pour des lancements de produits ou nouveaux projets. Elle assiste également ses clients ayant fait l’objet de contrôles dans la gestion de leurs contentieux devant la Section Contentieuse de la CNIL. Elle a participé à la rédaction du livre blanc « Entreprises : les clés d’une application réussie du RGPD » aux côtés du CIGREF, de Tech’in France et de l’AFAI.

Mathias CHICHPORTICH est avocat-associé du cabinet FTMS. Il est spécialisé en droit pénal des affaires, en droit des médias et en droit des libertés publiques. En 2014, il est élu secrétaire de la Conférence des avocats du Barreau de Paris et intervient à ce titre au pénal dans les dossiers les plus complexes. Il traite régulièrement d’atteintes à la réputation et à l’image (diffamation, violation de la vie privée ou de la présomption d’innocence) et d’affaires en lien avec la sécurité des entreprises. Mathias CHICHPORTICH enseigne également au sein du diplôme Compliance Officer. Il est co-auteur de Mortelle transparence, un essai publié avec Denis OLIVENNES aux éditions Albin Michel.

Alexandre DIEULANGARD a dirigé des cellules de crises au sein du centre opérationnel de l’ANSSI pendant les 5 dernières années. Juriste en droit des NTIC et diplômé de l’École Normale Supérieure en géopolitique, il a travaillé pour une société d’intelligence économique en tant qu’analyste en cybercriminalité avant de rejoindre l’ANSSI. Il est co-fondateur et directeur général de Citalid Cybersécurité

Francis DONNAT est secrétaire général de France Télévisions depuis mai 2016. Diplômé de l’Institut d’études politiques (IEP) de Paris en 1993 puis de l’École nationale d’administration (ENA) en 1998 (promotion Valmy), il a été auditeur de 1998 à 2001. Il est maître des requêtes au Conseil d’Etat depuis 2001. Il a également été responsable du centre de documentation du Conseil d’Etat de 2002 à 2004. Il a, par la suite, été commissaire du gouvernement près les formations contentieuses du Conseil d’Etat (2004-2005) et référendaire à la Cour de justice de l’Union européenne de 2005 à 2012. Concernant sa carrière universitaire, Francis DONNAT a été maître de conférences, puis chargé de direction d’études à l’IEP de Paris (1998-2005) et enfin professeur associé à l’université de Strasbourg (2009-2012). De septembre 2012 à mai 2016, Francis Donnat occupait le poste de directeur des politiques publiques chez Google France.  

Stéphanie FABER, avocat, dirige les départements « Protection des Données Personnelles et Cybersécurité » et « Commercial, IP/IT» du cabinet Squire Patton Boggs à Paris. Elle est spécialisée en droit des affaires et a plus de 20 ans d’expérience. Son domaine de compétence couvre aussi bien la rédaction et négociation de contrats que le conseil  sur la stratégie ou les aspects règlementaires et la représentation de ses clients auprès des autorités de contrôle. Elle a développé une connaissance approfondie en protection des données personnelles et sur le RGPD. Sa clientèle et aussi bien française qu’internationale. Elle est membre de l’AFCDP,  l’ADPO, l’IAPP et de la commission économie numérique de la CCI. Elle intervient à des séminaires dans différents pays, donne des formations et écrit de nombreux articles en français et en anglais sur ces sujets. 

Bénédicte FAUVARQUE-COSSON, professeur agrégé de droit privé et de sciences criminelles, a fondé le DU DPO de l'université Paris 2 avec Winston MAXWELL. Elle a enseigné plusieurs années à l'université Paris 2 avant de devenir conseillère d'Etat en 2019.

Martine FRÈREBEAU est DPO Délégué - CP Data Privacy RGPD du Groupe La Poste, au sein de la branche Numérique.

Mathieu GIROL est responsable des partenariats internationaux de Return Path, entreprise experte en déliverabilité. Il était anciennement responsable de la sécurité de la plateforme email Orange.fr. Mathieu GIROL crée les ponts nécessaires entre la sécurité et le marketing afin de toujours servir les intérêts des utilisateurs.

Jennifer GODIN, Data Protection Officer, exerce au sein d’un groupe international. Ingénieur en Sciences du Traitement de l’Information (EISTI), elle justifie d’une expérience de près de 18 ans dans des activités d’audit, de conseil et formation en Gouvernance, Management des Risques et Sécurité de l’Information. Elle a exercé son activité au sein du Technology Risk Consulting d’Arthur Andersen, puis auprès du cabinet XS Pôle Sécurité du Groupe LEXSI (acquis par Orange Cyberdéfense). Après avoir été associée dans un cabinet de conseil en management de la sécurité, elle a fondé et géré, de 2009 à 2016, la société ENIGMA Services spécialisée dans le domaine de la Protection du Patrimoine Informationnel des entreprises, qui fut alors également organisme de formation agréé par LSTI pour délivrer les formations certifiantes Lead Auditor ISO 27001 et IS Risk Manager ISO 27005. Dans le cadre de l’accompagnement à la définition et l’implémentation de Systèmes de Mangement de la Sécurité de l’Information (SMSI) d’entreprises de tous secteurs d’activités en France et à l’étranger, elle a été amenée à réaliser des revues Sécurité et Conformité dans les projets et les contrats, et des diagnostiques de conformité aux législations et réglementations en vigueur en matière de protection des données personnelles. Elle occupe depuis 2017 le poste de DPO au sein d’un groupe français mondial où elle est en charge du programme de mise en conformité RGPD. Elle fait partie de la première promotion diplômée du DU Délégué à la Protection des Données (DPO) de l’université Paris 2 Panthéon-Assas.

Maria GOMRI est directrice juridique de Google France, Afrique du Nord et Moyen-Orient. Après une carrière d’avocate spécialisée en droit des nouvelles technologies, Maria Gomri a rejoint Google en 2006. Son équipe est composée de 15 juristes répartis en trois pôles chargés des partenariats et du lancement de produits en France, de la gestion du pré-contentieux, contentieux et relations avec les autorités de polices et de l'ensemble de ces sujets en Afrique du Nord et Moyen-Orient. Elle représente également Google auprès des cercles réglementaires en France.

Claude-Luce IMBAUD a un passé de concepteur/développeur dans le domaine de la défense, puis de pilotage d’affaires où la sécurité était prépondérante, lui ayant permis de s'intéresser très tôt à l’intégration de la sécurité dans les systèmes d’information. Aujourd’hui directeur de mission dans le pôle conseil en sécurité de Thales, il met à profit ces expériences en sécurité système d’information en accompagnant les clients de Thales dans leurs projets sensibles : réalisation d’analyse de risques SSI, audit, assistance à la constitution de dossier d’homologation SSI. Ces missions l'ont naturellement mené à s’intéresser à la protection des données à caractère personnel et à développer une offre pour assister les clients dans leur mise en conformité.

Emmanuel JOUFFIN est responsable du département veille réglementaire, au sein du groupe La Banque Postale. Il est docteur en droit privé de l’université Paris 1, enseignant au sein du master 2 Droit bancaire et financier de l’université Paris 1 et intervenant auprès de l’université Paris Dauphine. Vice-président de l’Association Nationale des Juristes de Banque, il est également membre du Comité éditorial de la Revue Banque & Droit.

Matthieu JUIF

Malik LAAZOUZI, agrégé de droit privé et sciences criminelles, est professeur à l'université Paris 2 Panthéon-Assas. Il y enseigne le Droit international privé des obligations, le droit de l'arbitrage international, le droit de l'arbitrage d'investissement et le droit des contrats internationaux privés et publics. Ses thèmes de recherche sont le droit international privé, le droit de l'arbitrage d'investissement et le droit de l'arbitrage international.

Pierre-Yves LASTIC est consultant sur le management de l'information et de la vie privée dans les sciences de la vie. Il a été le directeur adjoint du service chargé de la protection des données personnelles de Sanofi dans le monde entier. Il a étudié la biologie, les langues et l’informatique en France et en Allemagne, et est titulaire d’un doctorat ès sciences de l’université de Bayreuth. Après un premier poste universitaire, il a fait l’essentiel de sa carrière au sein de la R&D pharmaceutique, où il a occupé depuis presque 30 ans différentes fonctions de management, en particulier en gestion de données, biostatistique, gestion des études cliniques, gestion de l’information et protection des données.

Nathalie LANERET est directrice du Centre for Information Policy Leadership (CIPL) à Bruxelles. Le CIPL est un think-tank mondial qui travaille avec les leaders de l’industrie, les régulateurs et les décideurs politiques afin de développer des solutions globales et des bonnes pratiques pour la protection des données personnelles et l’utilisation responsable des données afin de favoriser le développement de la société de l’information moderne. Nathalie LANERET a plus de 20 ans d’expérience à la fois en tant que juriste et avocat. Elle était précédemment Group Data Protection Officer de Capgemini où elle était en charge de la gestion du réseau des DPO et de la définition de la stratégie du groupe pour la mise en place du Règlement Européen sur la Protection des Données Personnelles (RGPD). Avant de rejoindre Capgemini, elle a travaillé pour le Groupe 3M en tant que juriste spécialisée en contrats, droit de la concurrence, contentieux et conformité. Elle a débuté sa carrière en tant qu’avocate admise aux barreaux de Paris et de New York au sein du cabinet August & Debouzy. Elle est diplômée en droit européen de l’université Robert Schuman (Strasbourg, France) et en droit américain de l’université de Duke (Durham, USA). Nathalie est membre du comité européen de l’International Association of Privacy Professionals (IAPP) et du groupe d’experts du Code de Conduite des Cloud Infrastructure Service Providers in Europe (CISPE). Elle enseigne le droit et la pratique de la protection des données personnelles au sein de plusieurs universités et intervient régulièrement au cours de conférences en Europe sur les sujets liés à la sécurité et la protection des données personnelles.

Denise LEBEAU-MARIANNA est avocate-associée en charge de la pratique "Protection des données à caractère personnel et Cybersécurité" au sein du cabinet DLA Piper à Paris. Spécialisée en droit des technologies, elle assiste depuis plus de 20 ans ses clients dans les secteurs de l'automobile, le luxe, l'aéronautique, les produits de consommation, les médias, la banque et l'assurance tant sur leurs dossiers pré-contentieux que contentieux, ainsi que dans la mise en œuvre de leurs projets globaux de mise en conformité à la règlementation des données personnelles et leur programme de cybersécurité ainsi que sur leurs projets plus spécifiques de lutte contre la corruption, le blanchiment et la lutte contre le financement du terrorisme. Elle conseille également ses clients dans le domaine des données de santé et les projets de télémédecine en relation avec les autorités (CNIL, ASIP, HAS). Denise LEBEAU-MARIANNA est experte agréée EuroPriSe en données personnelles et certifiée CIPP/E. Elle est également chargée d'enseignement en données personnelles à Sciences Po et à l'université Paris 11 (université Jean Monnet - Sceaux).

Gwendal LE GRAND est directeur des technologies et de l’innovation à la Commission nationale de l’informatique et des libertés (CNIL). Il supervise le service de l’expertise technologique, le pôle innovation et prospective, le laboratoire d’innovation numérique (LINC) et le service de l’informatique interne. Il est coordinateur du sous-groupe technologie de l’EDPB (groupe des CNIL européennes), est officier de liaison de l’EDPB vers l’ISO/IEC JTC1/SC27/WG5 qui développe les normes internationales dans le domaine de la protection des données, et représente l’EDPB au Permanent Stakeholder Group de l’Agence européenne de cybersécurité (ENISA). Avant de rejoindre la CNIL, il était maître de conférences à Télécom Paristech. Gwendal LE GRAND est notamment titulaire d’un doctorat en informatique de l’université Pierre et Marie Curie (Paris), obtenu en 2001.

Jean LESSI est l'actuel secrétaire général de la CNIL. Il est diplômé de l’ENA (promotion 2007-2009 « Willy Brandt »), de l’Institut d’études politiques de Paris (Master affaires publiques) et de l’université Paris 2 Panthéon-Assas (licence de droit). Au Conseil d’Etat, il a occupé successivement les fonctions de rapporteur à la section du contentieux, puis à la section sociale, responsable du Centre de recherches et de diffusion juridiques et enfin rapporteur public à la section du contentieux (1ère chambre). Il a assuré auprès de la CNIL une mission d’appui juridique sur le règlement européen sur la protection des données.  

Sabine MARCELLIN est avocate au barreau de Paris, spécialisée en droit du numérique et de la cybersécurité. Cofondatrice du cabinet Aurore Legal, elle est diplômée DU DPO de l'université Paris 2 (2017) et de l’Inhesj (Institut national des hautes études de la sécurité et de la justice). Elle est également Lieutenant-colonel de la réserve citoyenne de la cyberdéfense de la gendarmerie. Créatrice du Guide Lamy Droit du Numérique,  elle est coauteur du Secret des Affaires (LexisNexis 2016 - 2019) et de la Protection des données personnelles (Editions Législatives – 2017).

Julie MARTINEZ est analyste au sein de l'équipe Data Privacy de Promontory (IBM) à Londres où elle conseille des groupes internationaux dans leur mise en conformité avec les nouvelles régulations applicables en matière de protection des données personnelles et de la vie privée. Ses missions principales consistent à proposer des services externalisés pour DPO. Julie est titulaire d'un master et deux LL.M. en droit européen des affaires et du numérique ainsi que du CRFPA.

Winston MAXWELL a co-fondé le DU DPO de l'université Paris 2 avec Bénédicte FAUVARQUE-COSSON. Depuis juin 2019, il est devenu directeur d’Études en droit et numérique au département SES dans l’équipe ECOGE à Telecom ParisTech. Winston MAXWELL était jusqu'alors avocat associé au cabinet Hogan Lovells, où il a conseillé des entreprises multinationales sur la réglementation applicable aux données (GDPR, cyber-sécurité, droits fondamentaux), aux plateformes internet, aux technologies blockchain, aux contenus audiovisuels en ligne (contenus haineux sur internet) et aux communications électroniques (IoT, neutralité de l’internet). Winston MAXWELL est diplômé de Cornell Law School et a obtenu un doctorat en sciences économiques à Télécom Paris (Smarter Internet Regulation Through Cost-Benefit Analysis, publié aux Presses des Mines en 2017). En 2019, il a été désigné avocat de l'année en protection des données personnelles et en droit des télécommunications.

Sophie NERBONNE est directrice de la conformité à la CNIL, direction dont l’activité consiste à co-construire une gamme élargie d’outils de régulation permettant une plus grande sécurité juridique dans un environnement incertain, dans une logique d’accompagnement des acteurs pour une innovation durable, intégrant dès la conception des produits et services la prise en compte des droits des personnes en matière de protection de leurs données. Diplômée de l’Institut d’études politiques de Paris et de l'université Paris 2 en droit, Sophie a tout d'abord acquis une expérience dans le secteur privé en étant juriste à la SODEXHO avant de rejoindre la CNIL, où elle a successivement pris en charge le secteur financier (banque et assurance) puis la responsabilité du service des affaires économiques à la direction juridique avant de devenir directrice adjointe des affaires juridiques, de l’expertise technique et des affaires internationales à la CNIL. Elle a suivi tout particulièrement les aspects européens et internationaux lors de la présidence du G29 par la Cnil en 2008-2009. Désignée experte auprès de la Commission européenne sur les questions de crédit, elle intervient régulièrement dans tous les cercles professionnels économiques sur l’ensemble des domaines touchant la protection des données personnelles.

Danièle NGUYEN est Group DPO chez Havas, un groupe leader dans le secteur de la  Publicité et les Médias, composé de plus de 600 agences représentant une soixantaine de pays et environ 20 000 collaborateurs. CIL dès 2007 et DPO Groupe chez Schneider Electric de 2010 à 2018 après un parcours dans la fonction RH, elle a suivi la formation ISEP (Mastère Protection des données personnelles) suite à sa nomination de DPO en 2010. Elle intervient comme enseignante dans le DU DPO de l'université Paris 2, est membre du Comité de pilotage du master Data Protection Management de l’Institut Mines-Télécom et Co-Chairs du Knowlegenet de IAPP Paris. Sa passion est de transmettre son expérience opérationnelle de la fonction de DPO : mise en place d’une gouvernance de la Protection des données personnelles, rédaction des Politiques, mise en place et déploiement des BCR, création et animation d’un réseau international de Référents, création et animation des formations, conception et pilotage du programme RGPD.

Béatrice OEUVRARD occupe la fonction de Public Policy Manager à Facebook France. Elle a auparavant travaillé chez Microsoft plus de 6 ans en tant que Senior Attorney, référente RGPD au sein du département des affaires externes, publiques et juridiques de Microsoft France. Elle est également en charge des demandes d’accès par les autorités, et des négociations commerciales cloud pour les grands comptes et le secteur public. Elle est titulaire d’un DEA de Propriété Intellectuelle, avec plus de 15 ans d’expérience dans l’industrie du numérique et des nouvelles technologies. Elle est également secrétaire de Point de Contact qui a notamment pour objectif le signalement de contenus manifestement illicites. Elle est aussi membre de l’AFJE depuis plusieurs années, dont elle pilote actuellement la taskforce Transformation Digitale.

Diane OUANDJI dirige et a fondé Stratechno, cabinet de conseil et formation en sécurité de l'information et protection des données. Diplômée de l'ENSIMAG et de l'université Joseph Fourier de Grenoble (Double diplôme Ingénieur télécom/master en cryptologie, codage et sécurité de l'information), Diane OUANDJI a occupé des postes très techniques puis évolué vers des fonctions d'AMOA, de gouvernance en sécurité de l'information et protection des données personnelles. En début de carrière, elle a travaillé sur le développement d'applications de signature électronique (signature des impôts en ligne), signature de contrat, authentification forte, ceci faisant appel à divers langages de programmations. Elle a ensuite évolué vers des missions de conseils en maîtrise d’œuvre et maîtrise d'ouvrage (pour la mise en place de PKI, de certification ISO 27001), d'assistance RSSI/CIL et depuis 2006 accompagne les entreprises à la mise en conformité au RGPD. Au travers du cabinet Stratechno, elle exerce les fonctions de RSSI, DPO externalisé et accompagne des entreprises à la mise en conformité au RGPD.

Yann PADOVA a rejoint Baker McKenzie en qualité de Partner en charge de l’activité de Protection des Données à Paris en juin 2017. Il est reconnu internationalement en droit des réseaux numériques, données personnelles et droit réglementaire. Yann PADOVA possède une vaste expérience en matière de protection des données (17 ans), après avoir été à la fois régulateur et avocat.

Martin PAILHES est en charge de la Practice IT / IP de la Fonction Juridique du Groupe BNP Paribas.

Bruno RASLE est le directeur exécutif de l’Association Française des Correspondants à la protection des Données à caractère Personnel (l'AFCDP), qui regroupe les Délégués à la protection des données (DPO) et tout professionnel de la conformité CNIL.

Juliette ROUILLOUX-SICRE est diplômée des universités Paris 2 Panthéon-Assas et Paris 1 Panthéon-Sorbonne. Initialement spécialisée en droit public des affaires ainsi qu’en défense, géostratégie et dynamiques industrielles, elle a rapidement intégré d’autres composantes du droit et pris des fonctions de management. Après près de 15 ans d’expérience en tant que directeur juridique au sein de différentes entités du Groupe Thales, elle est depuis 2017 déléguée à la Protection des Données dudit Groupe ainsi que directeur juridique cybersécurité. Elle est notamment chargée de la mise en conformité de toutes les entités du groupe Thales avec les nouvelles réglementations nationales et internationales en matière de protection des données personnelles.

Frédérique SAUVAUGE est avocate spécialisée en droit des affaires/fusions-acquisitions, anciennement directeur juridique d'un groupe de production audiovisuelle, membre de la promotion du DU DPO 2018.

Jérôme SEMIK est directeur des Risques et du Contrôle Interne du Groupe Lagardère depuis 2015 et délégué à la Protection des Données du même groupe depuis 2016. Diplômé de l’Ecole Supérieure de Commerce de Paris (1997), il a effectué sa carrière dans des fonctions d’audit, de contrôle interne et de gestion des risques au sein de divers établissements bancaires (notamment Crédit Agricole, ING) pendant 15 ans, avant de rejoindre le Groupe Lagardère en 2011, où il est notamment en charge de superviser le déploiement du dispositif de mise en conformité au Règlement Général sur la Protection des Données.

Philippe TASSI, diplômé de l’ENSAE et docteur en mathématiques, est directeur-général adjoint de Médiamétrie. Membre de l’Association Française de Marketing, de la Société Française de Statistique, d’ESOMAR et membre élu de l’International Statistical Institute (ISI), il a été professeur associé à l’université Paris 2 en sciences de gestion. Auteur ou co-auteur de nombreux ouvrages, articles et communications nationales et internationales sur les domaines des probabilités, statistique mathématique et sondages, il est spécialiste reconnu des data, que celles-ci soient issues de panels ou des bases digitales donnant naissance aux Big Data, particulièrement en stratégie de mesure d’audience des médias.

Bleiz TOURAILLE est responsable juridique, communication, information, technologies à la Société Générale.

 

Niveau d’entrée : Bac +4

La formation s'adresse prioritairement aux professionnels des entreprises et à des professionnels ayant une expérience d'au moins deux ans en entreprise, généralement dans la direction juridique, la direction informatique ou dans la direction compliance mais aussi dans d'autres directions : direction commerciale, direction clients, direction technique, éthique, etc.

Les candidats auront une formation d'au moins BAC +4 et maîtriseront l'anglais.

Pour le candidat non titulaire d'un BAC +4 et justifiant d'une expérience professionnelle dans le domaine, une procédure de validation des acquis professionnels peut être mise en place selon la réglementation. La maîtrise de l'anglais est indispensable.

Organisation de la formation

Les cours se déroulent de janvier à décembre, un vendredi et un samedi par mois.

Les enseignements représentent un volume annuel de 120 heures et sont dispensés en présentiel, en français et en anglais.

Programme

Module 1 : Protection des données (Data protection) : 25 heures

  • Rôle et éthique des DPO dans la transformation digitale de l'entreprise et enjeux mondiaux : mise en perspective (Etats- Unis, modèle APEC, Afrique, etc.) : 8h
  • Maîtriser les principes de la protection des données à caractère personnel découlant du règlement européen : 6h
  • Le Règlement européen : approfondissement des grands principes (portabilité, droits d'accès, d'effacement, etc.), procédures et autorités de contrôle, transferts internationaux de données, extraterritorialité du droit européen : 8h
  • Sensibilisation aux questions liées à la gestion des données de salariés au sein de l'entreprise : 3h

Module 2 : Gestion du risque (Risk management) : 25 heures

  • Prevenir le risque de non-conformité : prévention du risque de non-conformité en matière de corruption (lignes directrices SCPC : engagements des dirigeants, cartographie des risques, mise en place d'un programme d'éthique et de conformité, contrôle, sanctions), gestion du risque de non-conformité (tierces parties, etc.), mise en place des dispositifs liés aux programmes de conformité (procédures, alertes, etc.), contrôle et audit des programmes : 10h
  • Conduire un audit ou une enquête interne (procédure, indépendance des enquêteurs, garantie des salariés) : 4h
  • Procédures devant les autorités de contrôle. Gérer un contentieux devant la CNIL : 3h
  • Mise en œuvre de la fonction de DPO : préparer une étude d'impact (Privacy Impact Assessment), prise en compte du respect de la vie privée des la conception et paramètres par défaut (Privacy by design et privacy by default), gérer une violation des données (data breach), la capacité de rendre compte (Accountability) et la gestion des demandes d'accès/plaintes : 8h

Module 3 : Sécurité informatique : 15 heures

  • Fondamentaux de la sécurité informatique (confidentialité, intégrité, disponibilité) et analyse de la menace : 6h
  • Introduction à la cryptologie : anonymisation, pseudonymisation, chiffrement : 3h
  • Le DPO et la sécurité informatique : retours d'expériences (externalisation, mesures techniques et organisationnelles) : 6h

Module 4 : Etudes de cas par secteur : 18 heures

  • La gestion des données à caractère personnel au sein des collectivités publiques : 3h
  • La gestion des données à caractère personnel au sein des entreprises de santé (établissements de santé, industrie pharmaceutique) : 3h
  • La gestion des données à caractère personnel au sein des banques et sociétés d'assurance : 3h
  • La gestion des données dans le secteur de l'énergie : 3h
  • La gestion des données à caractère personnel au sein d'entreprises d'Internet (communications électroniques, plateformes, moteurs de recherche): 3h
  • La gestion des données dans l'industrie automobile et les véhicules connectés : 3h

Module 5 : Science des données (Data science) et Big data : 12 heures

  • Introduction à la data science et aux techniques. Cas pratiques sur les techniques du big data et les objets connectés

Module 6 : Gestion des contrats (Contract management) : 15 heures

  • Les acteurs : rôles et responsabilités respectifs des responsables de traitement et sous-traitants (data controller et data processor)
  • Application des clauses de règlements des differends, aspects internationaux. Compétence et pouvoir des arbitres et normes applicables. La question de l'ordre public
  • Techniques de rédaction des clauses : clauses relatives aux données personnelles, clauses d'information/privacy policies, clauses de consentement, clauses de sous-traitance, clauses de transferts des données, clauses de limitations de responsabilité

Module 7 : 10 heures

  • Présentations par des grands témoins. Mise en situation des participants à la formation

Contrôle des connaissances

Article 1er :

  • Une étude de cas écrite visant à rédiger un rapport de synthèse de diagnostic de conformité comme cela pourrait être demandé dans une situation professionnelle
  • Une présentation orale (individuelle ou en groupe) sur une problématique rencontrée dans un contexte professionnel

Article 2 :

Une note de 10/20 est requise pour l’obtention du diplôme universitaire.

Le diplôme comporte les mentions suivantes, selon la note obtenue :

  • À partir de 10 : mention passable
  • À partir de 13 : mention assez bien à partir de 15 : mention bien
  • À partir de 17 : mention très bien.