PROGRAMME DE LA FORMATION

1 Introduction

  • Sommaire et objectifs de la formation
  • Introduction générale à la PIA avec l’infographie de la CNIL
  • Qu’est-ce qu’une PIA (ou DPIA) ?
  • L’analyse d’impact dans le RGPD
  • Les 5 raisons de mener une PIA
  • Les documents fournis par la CNIL (guides & études de cas)

2 PIA et conformité RGPD

  • Les critères d’acceptabilité d’une PIA
  • Les sanctions prévues concernant la PIA
  • Caractère obligatoire de la PIA et notions de risque élevé
  • Les critères pertinents pour déterminer si un risque est élevé
  • Exemples de PIA obligatoires et facultatives
  • QUID des traitements existants avant le 25 mai 2018 ?
  • Les 4 exceptions au caractère obligatoire d’une PIA
  • Synthèse pour déterminer si une PIA doit être réalisée

3 Réalisation d’une PIA

  • Réalisation et matrice RACI d’une PIA
  • Le recueil de l’avis des personnes concernées
  • Quelle méthodologie pour mener une PIA ?
  • La publication d’une PIA
  • Quand faut-il consulter la CNIL ?
  • Synthèse du processus PIA

4 Techniques et méthodologie d’analyse de risques

  • La gestion des risques dans l’ISO 27005
  • Définitions (menaces, risques, analyse de risque, impacts,…)
  • La modélisation du risque IT
  • Valorisation des risques et seuils de tolérance
  • Les 4 options de traitement des risques selon l’ISO 27005
  • Modélisation d’une PIA et cartographie des risques associés

5 Mise en œuvre d’une PIA

  • La démarche générale d’une PIA
  • Etape 1 : le contexte
  • Etape 2 : les principes fondamentaux
  • Etape 3 : la gestion des risques
  • Echelles de valorisation (vraisemblance et impact)
  • Les mesures de sécurité
  • Etape 4 : Validation de la PIA

6 Etude de cas (SECURESYS / Safekid)

  • Réalisation complète d’une PIA sur la base d’une société fictive (SECURESYS) qui souhaitent commercialiser une montre GPS (Safekid) destinée à rassurer les parents en leur permettant de savoir à tout moment où se trouve leur enfant. Pour compliquer, un peu les choses, le responsable du traitement (SECURESYS) a fait le choix de s’appuyer sur une solution Cloud (Iaas Public) pour traiter toutes les données à caractère personnel de son offre.