· Web viewSlides + exercices, cas pratiques, QCM, commentaires, ppt, test… Exigences relatives à la présentation des dispositions pénales associés au non-respect du Règlement

Délibération n°2017-220 du 13 juillet 2017 portant modification du

référentiel pour la délivrance de labels en matière de formation relative à la protection des personnes à l’égard du traitement des données à caractère

personnel

Version du formulaire : Septembre 2017

Modalités de candidature1. Le présent formulaire doit être dûment rempli pour demander la

délivrance d’un label à une formation relative à la protection des personnes à l’égard du traitement des données à caractère personnel.

Il permet d’expliquer comment chaque exigence du référentiel d’évaluation des formations est satisfaite et de présenter ou de référencer les éléments permettant de le justifier.

FORMULAIRE DE DEMANDE

DE DELIVRANCE D’UN LABEL

POUR UNE FORMATION

2. Il est ainsi possible de compléter le formulaire par des éléments de justification, en respectant les conditions suivantes : tout document joint en tant que justification doit respecter la

convention de nommage suivante (personnaliser les libellés entre crochets et retirer les crochets) :LabelsCNIL-Formation-[nom du demandeur]-[libellé court désignant le document]-[année]-[mois]-[jour].[suffixe]

tout document électronique doit être lisible par les logiciels de bureautique ou multimédia courants (.doc, .pdf, .txt, .rtf, .jpg…).

3. Le formulaire dûment rempli doit être envoyé à la CNIL avec l’ensemble des éléments de justification en pièces jointes :

soit par le biais du formulaire de dépôt en ligne soit par courrier postal à l'adresse suivante :

Commission Nationale de l'Informatique et des Libertés

3 Place de Fontenoy

TSA 80715

75334 Paris cedex 07

Les informations recueillies font l’objet d’un traitement informatique destiné à permettre à la CNIL l’instruction des demandes de label qu’elle reçoit. Elles sont destinées aux membres et services de la CNIL. Vous pouvez exercer votre droit d’accès et de rectification aux informations qui vous concernent en vous adressant à

La CNIL, 3 Place de Fontenoy – TSA 80715 - 75334 Paris cedex 07

2

1. Informations administratives1

Les informations suivantes sont nécessaires pour échanger avec la CNIL dans le cadre de l’évaluation de la formation, notamment en cas de compléments d’informations nécessaires à l’instruction de la demande.

1.1.Organisme demandeurN° SIREN2 + NIC3 Code NAF4 *Nom de l’organisme Sigle (le cas échéant) *Adresse *Code postal *Localité

1.2.Contact5

Civilité *Nom *Prénom Service *Adresse *Code postal *Localité Téléphone Télécopie *Adresse électronique

2. Informations relatives à la formation6

Les informations suivantes sont nécessaires pour identifier la formation qui fait l’objet de la demande de délivrance de label et délimiter son périmètre.

Désignation de la formation Présentation de la formation

1 Les champs précédés d'un astérisque sont obligatoires.2 Système d’Identification du Répertoire des Entreprises.3 Numéro Interne de Classement.4 Nomenclature des Activités Françaises.5 À même de communiquer à la CNIL les compléments d’information nécessaires à l’instruction de la demande.6 Tous les champs sont obligatoires.

3

3. Satisfaction des exigences du référentielL’évaluation des formations sera faite au regard des tableaux suivants. Elle pourra être complétée via des échanges entre les évaluateurs et le demandeur.

3.1.Référentiel d’évaluation de l’activité de formation7

Exigences Moyens mis en œuvre (500 caractères maximum)

Eléments de justification (exemples ci-après ; modifier

cette colonne selon les éléments envoyés)

Exigences relatives au respect de la réglementation applicable en matière de protection des données par l’organisme de formation

EM01.L’organisme de formation a mis en place une démarche visant à s’assurer de la conformité à la règlementation applicable en matière de protection des données de l’ensemble des traitements qu’il met en œuvre pour l’ensemble de ses activités, dont la formation.

Désignation CILAudit des traitementsProcédure formalisée avec personne référente

EM02.L’organisme de formation a procédé aux formalités préalables relatives aux traitements mis en œuvre au titre de la gestion de son personnel et de l’ensemble de ses activités, dont la formation.

Liste des formalitésCopie des récépissés et des déclarations

7 Tous les champs sont obligatoires.




EM03. L’organisme de formation informe, dans le respect des dispositions de la règlementation applicable en matière de protection des données, les personnes concernées par les traitements qu’il met en œuvre.

Information des salariés (contrat de travail, panneau d’affichage, charte…)Information des clients (formulaire, courriers, courriels…)Information des apprenants (mention sur fiche d’évaluation, questionnaire de satisfaction…)

EM04.L’organisme de formation met en place une procédure destinée à gérer les demandes et les réclamations des personnes dont il traite les données.

Procédure interne formalisée de transmission et de gestion des demandes (service dédié, CIL…)

Exigences relatives à l’identification des besoins de formation

EM05.L’organisme de formation dispose d’une procédure pour tenir compte des besoins des apprenants et de leur commanditaire lors de la conception du contenu de la formation et du processus de formation (par

Réunions préparatoires (réunion de cadrage)Fiche préalable d’expression des besoinsComité de pilotage

5




exemple : formulaire de recueil de besoin, étude de marché réunion préparatoire à l’organisation de la formation…).

Tableau d’analyse des besoinsValidation par les apprenants des besoins suggérés par le commanditaireOutil en ligne de recueil des demandes

EM06.L’organisme de formation dispose d’une procédure pour s’assurer que les méthodes et supports de formation utilisés sont appropriés pour atteindre les objectifs énoncés (par exemple : consultation de professionnels de la protection des données, enquête de satisfaction…).

Quiz de validation des acquisEnquête de satisfactionQuestionnaire d’auto-évaluationFeuille d’appréciation de l’adéquation du contenu aux attentes

EM07.L’organisme de formation dispose d’une procédure pour que le contenu de la formation et le processus de formation tiennent compte des résultats de la formation (par exemple : évaluation des apprenants, analyse des questionnaires de satisfaction).

Analyse des retours (enquête de satisfaction, méthode d’analyse, plan de progrès, rosace d’évaluation…)Evaluation des apprenantsTour de tablePolitique de qualité

6




Examen final

7

Exigences relatives au processus de conception de la formation

EM08.L’organisme de formation doit mettre au point et documenter un curriculum et les moyens d’évaluation appropriés de la formation.

Curriculum (fiche, catalogue, site web, plan d’étude…) avec :- les objectifs- le contenu- Les résultats de

l’apprentissage- Les méthodes d’examenProcessus d’évaluation

EM09.L’organisme de formation dispose de méthodes de formation qui répondent aux objectifs et aux exigences du curriculum et tiennent compte des besoins des apprenants.

Fiche suiveuse (fiche d’analyse des besoins)Prise en compte des fiches d’expression des besoinsSupport d’exercices corrigésProcédure sur la conception de la formationPrise en compte des questionnaires de satisfaction + actions correctivesComité de révision

8

EM10.L’organisme de formation dispose de procédures destinées à revoir et mettre à jour le contenu de la formation tant en fonction des besoins et retours des apprenants et de leur commanditaire, que de l’actualité, de l’évolution de la législation et du développement des techniques.

Processus d’analyse (adaptation des supports en fonction des retours)Procédure de mise à jour des supports de formation (retour + jurisprudence, législation…)Comité de pilotage

Exigences relatives à la compétence et à l’évaluation des formateurs

EM11.L’organisme de formation s’assure que son personnel et ses formateurs possèdent les compétences requises pour identifier les besoins des apprenants, concevoir la formation et délivrer son contenu (par exemple : en auditionnant le formateur, en assistant à une session de formation…).

CV des formateursFiche de poste avec la qualité requise mentionnéeDiplôme et certificat du formateurLettre d’engagement (uniquement quand formateur est un dirigeant)

EM12.L’organisme de formation s’assure que les formateurs ont une expérience professionnelle de trois ans au minimum dans le secteur de la protection des données.

CV des formateursFiche de poste avec la qualité requise mentionnéeDiplôme et certificat du formateurLettre d’engagement

9

(uniquement quand formateur est un dirigeant)Stages non acceptés

EM13.L’organisme de formation s’assure que les formateurs ont effectué deux formations au minimum dans les deux dernières années.

CV des intervenants/formateursMention d’information sur la fiche suiveuseFiche d’évaluation initiale du formateurFiche de poste avec la qualité requise mentionnéeLettre d’engagement2 formations I&L

EM14.L’organisme s’assure que les formateurs disposent des compétences clés requises et que ces compétences sont entretenues.

Fiche d’évaluation annuelle des compétencesLettre d’engagement (uniquement quand formateur est un dirigeant)

EM15.L’organisme de formation met en place des dispositifs d’évaluation des compétences de son personnel et des intervenants. Ce processus est documenté.

Manuel qualitéEntretiens annuelsQuestionnaire d’évaluation avec retours des apprenants sur le formateur + méthode d’analyse des questionnaires

10

Procédure d’évaluation de compétences

EM16.L’organisme de formation dispose d’une procédure pour demander un retour aux apprenants sur les méthodes, les ressources employées, ainsi que sur leur efficacité à produire les résultats de la formation convenus.

Questionnaire/enquête de satisfactionFeuille d’appréciation

EM17.L’organisme de formation s’assure que les procédures d’évaluation choisies et mises en œuvre fournissent des informations fiables sur les compétences de son personnel et des intervenants.

Réunion de travail avec les intervenants externesDiplômeCVFiche d’évaluation des compétences + méthode d’analyse des fichesRetour des apprenants + méthode d’analyse

Exigences relatives aux conditions de réalisation de la formation

EM18.L’organisme de formation informe l’apprenant et son commanditaire des objectifs de la formation, de son format, des instruments pédagogiques utilisés et,

Curriculum (fiche, catalogue, site web, plan d’étude…) avec :- les objectifs- le format (jour, tutoriel,

organisation)

11

le cas échéant, des critères d’évaluation utilisés pour l’évaluation.

- les instruments pédagogiques (supports)

- critères (méthodes d’examen, processus d’évaluation)

EM19.L’organisme de formation informe l’apprenant et son commanditaire des pré-requis comme les qualifications et l’expérience professionnelle nécessaires à l’apprentissage.

Fiche, catalogue, site web, plan d’étude…comprenant :

- Les pré-requis- Ou l’indication de

l’absence de pré-requis

EM20.L’organisme de formation s’assure que les ressources de la formation sont disponibles et accessibles aux apprenants.

Classeur remis aux apprenants en début de formationSupport de formation remis aux apprenantsPossibilité d’accès à une version électronique du supportFiche d’émargement attestant la remise des supports

12

3.2.Référentiel d’évaluation du contenu du module principal de la formation8

Les exigences suivantes doivent impérativement être satisfaites pour obtenir le label. Elles composent le module principal de la formation :




Exigences relatives à la présentation des principes et des définitions

EC01.

La formation permet de connaître et de comprendre les notions de

- Données à caractère personnel- Traitement- Limitation du traitement- Profilage- Pseudonymisation- Fichier- Responsable de traitement - Sous-traitant- Destinataire- Tiers- Consentement- Violation de données à

caractère personnel- Données génétiques- Données biométriques

Slides + exercices, cas pratiques, QCM, commentaires, ppt, test…

8 Tous les champs sont obligatoires.

13




- Données concernant la santé- Etablissement principal- Représentant- Règles d’entreprise

contraignantes- Autorité de contrôle concernée - Traitement transfrontalier

EC02. La formation permet de connaître et de comprendre le champ d’application matériel et géographique du règlement européen de la protection des données.


Exigences relatives à la présentation des conditions de licéité des traitements

EC03. La formation permet de connaître et de comprendre le principe de licéité du traitement.


EC04. La formation permet de connaître et de comprendre le principe de limitation des finalités.


EC05. La formation permet de connaître et de comprendre le principe

Slides + exercices, cas pratiques, QCM, commentaires,

14




de minimisation des données. ppt, test…

EC06. La formation permet de connaître et de comprendre le principe d’exactitude des données.


EC07. La formation permet de connaître et de comprendre le principe de la conservation limitée des données.


EC08. formation permet de connaître et de comprendre les principes d’intégrité et de confidentialité.


EC09. La formation permet de connaître et de comprendre la notion de consentement, sa nécessité dans le contexte de mise en œuvre d’un traitement, les modalités de son retrait, les exceptions à son recueil ainsi que les spécificités liées aux enfants.


EC10. La formation permet de connaître et de comprendre les


15




catégories particulières de données et les conditions dans lesquelles elles peuvent être traitées

EC11. La formation permet de connaître et de comprendre les données relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes.


Exigences relatives à la présentation des droits des personnes à l’égard des traitements de données à caractère personnel

EC12. La formation permet de connaître et de comprendre le droit à l’information des personnes concernées par un traitement et les obligations qui en résultent pour le responsable de traitement.


EC13. La formation permet de connaître et de comprendre le droit d’opposition des personnes, les modalités de son exercice et les obligations qui en résultent pour le


16




responsable de traitement.

EC14. La formation permet de connaître et de comprendre le droit d’accès dont disposent les personnes concernées par un traitement et les obligations qui en résultent pour le responsable de traitement.


EC15. La formation permet de connaître et de comprendre le droit à la rectification et à l’effacement dont disposent les personnes concernées par un traitement et les obligations qui en résultent pour le responsable de traitement.


EC16. La formation permet de connaître et de comprendre le droit à la limitation du traitement dont disposent les personnes concernées par un traitement et les obligations qui en résultent pour le responsable de traitement.


17




EC17. La formation permet de connaître et de comprendre le droit à la portabilité des données dont disposent les personnes concernées par un traitement.


18

3.3.Référentiel d’évaluation du contenu des modules complémentaires de la formation9

Les exigences suivantes constituent correspondent à des modules optionnels qui peuvent compléter le module principal :

ExigencesMoyens mis en œuvre

(500 caractères maximum)

Eléments de justification (exemples ci-après ; modifier cette

colonne selon les éléments envoyés)

Exigences relatives à la présentation de la CNIL et de ses missions

ES01. La formation permet de connaître et de comprendre le statut et la composition de la CNIL.


ES02. La formation permet de connaître et de comprendre l’organisation de la Commission plénière, restreinte et des services.


ES03. La formation permet de connaître et de comprendre les différentes missions de la CNIL.


9 Les champs sont optionnels.

19

Exigences relatives à la présentation des formalités préalables à la mise en œuvre des traitements

ES04. La formation permet de connaître et de comprendre les conditions de la consultation préalable de l’autorité de contrôle, le régime d’autorisation préalable ainsi que les éventuelles formalités particulières.


ES05. La formation permet de connaître et de comprendre les modalités selon lesquelles les formalités préalables à la mise en œuvre d’un traitement doivent être accomplies auprès de l’autorité de contrôle et la manière dont elle les instruit.


Exigences relatives à la présentation de l’encadrement des transferts de données hors de l’Union européenne

ES06. La formation permet de connaître et de comprendre les principes relatifs au transfert de données hors de l’Union européenne.


ES07. La formation permet de connaître et de comprendre les différents moyens destinés à encadrer les transferts de données.


ES08. La formation permet de connaître et de comprendre les formalités préalables


20

applicables à un transfert de données hors de l’Union européenne.

ES09. La formation permet de connaître et de comprendre les obligations du responsable de traitement concernant l’information des personnes concernées par le transfert hors de l’Union européenne de leurs données.


Exigences relatives à la présentation du rôle du délégué à la protection des données

ES10. La formation permet de connaître et de comprendre les cas de désignation obligatoire d’un délégué à la protection des données et les différents types et modalités de désignation


ES11. La formation permet de connaître et de comprendre l’expertise et les compétences attendues du délégué à la protection des données


ES12. La formation permet de connaître et de comprendre les fonction et missions du délégué à la protection des données.


ES13. La formation permet de connaître et de comprendre le rôle du délégué à la protection des données dans la tenue du


21

registre.

ES14. La formation permet de connaître et de comprendre le rôle du délégué à la protection des données dans l’étude des risques.


ES15. La formation permet de connaître et de comprendre les relations entre la CNIL et le Délégué à la protection des données.


ES16. La formation permet de connaître et de comprendre les conditions et la procédure relative à la fin de mission du délégué à la protection des données.


Exigences relatives à la présentation de l’encadrement des traitements dans le domaine de la santé

ES17. La formation permet de connaître et de déterminer le régime de formalités préalables applicable aux traitements ayant pour objet la recherche, l’étude ou l’évaluation dans le domaine de la santé (chapitre IX)


ES18. La formation permet de connaître et de comprendre le contenu du dossier à présenter à la CNIL.


22

ES19. La formation permet de connaître et de comprendre les conditions dans lesquelles un traitement de données à caractère personnel ayant pour objet la recherche, l’étude ou l’évaluation dans le domaine de la santé doit être mis en œuvre pour respecter les dispositions du règlement européen et de la loi I&L 2.


ES20. La formation permet de connaître et de comprendre les cas dans lesquels la Commission peut, pour les traitements de recherche, d’étude ou d’évaluation dans le domaine de la santé, adopter des méthodologies de référence.


ES21. La formation permet de connaître et de comprendre les droits des personnes qui participent à une recherche, étude ou évaluation dans le domaine de la santé et notamment le droit à l’information, avec, dans certains cas, le recueil de leur consentement, et les obligations qui en résultent pour le responsable de traitement.


ES22. La formation permet de connaître et de comprendre, pour les traitements de recherche, d’étude ou d’évaluation dans le


23

domaine de la santé, les cas dans lesquels il peut être dérogé à l’obligation d’information prévue par le règlement et la loi Informatique et Libertés.

ES23. La formation permet de connaître et de comprendre les conditions de sécurité à mettre en œuvre pour garantir la confidentialité des informations traitées par le traitement.


24

Exigences relatives à la présentation du pouvoir de contrôle a posteriori de la CNIL

ES24. La formation permet de connaître et de comprendre les différentes formes de contrôles a posteriori pouvant être effectués par la CNIL, y compris lorsque ces contrôles s’inscrivent dans le cadre d’une procédure de coopération.


ES25. La formation permet de connaître et de comprendre le formalisme associé à une procédure de contrôle, y compris lorsque ces contrôles s’inscrivent dans le cadre d’une procédure de coopération.


ES26. La formation permet de connaître et de comprendre les modalités pratiques d’exercice d’une procédure de contrôle, y compris lorsque ces contrôles s’inscrivent dans le cadre d’une procédure de coopération.


ES27. La formation permet de connaître et de comprendre les droits et les obligations du responsable de traitements et des représentants de la CNIL dans le cadre d’une procédure de contrôle, y compris lorsque ces contrôles s’inscrivent dans le cadre d’une procédure de coopération.


25

ES28. La formation permet de connaître et de comprendre les suites consécutives à un contrôle, y compris lorsque ces contrôles s’inscrivent dans le cadre d’une procédure de coopération.

Slides + exercices, cas pratiques, QCM, commentaires, ppt, test…test…

Exigences relatives à la présentation du pouvoir de sanction de la CNIL

ES29. La formation permet de connaître et de comprendre les différentes procédures de sanction pouvant être mises en œuvre par la CNIL.


ES30. La formation permet de connaître et de comprendre le fonctionnement de la Commission réunie en formation restreinte et le déroulement d’une séance.


ES31. La formation permet de connaître et de comprendre le formalisme associé à une procédure de sanction, les droits et les obligations du responsable de traitement mis en cause et les voies de recours.


ES32. La formation permet de connaître et de comprendre les conditions de publication et de publicité des sanctions.


Exigences relatives à la présentation des dispositions pénales associés au non-respect du

26

Règlement européen Généarl sur la Protection des Données

ES33. La formation permet de connaître et de comprendre les conditions dans lesquelles un délit d’entrave à l’action de la CNIL est constitué.


ES34.

La formation permet de connaître et de comprendre les sanctions pénales relatives au non-respect des dispositions de la loi Informatique et Libertés et du Règlement Général à la Protection des Données relatives

- au caractère loyal et licite de la collecte de données

- aux droits d’accès, de rectification ou d’opposition de la personne

- à l’information des personnes- aux formalités préalables- à la sécurité des données- à la durée de conservation des

données- à la finalité des traitements- à la conservation de données

sensibles en l’absence de consentement exprès des personnes concernées ;

- à l’obligation de notification des failles de sécurité


27

28

Documents

· Web viewSlides + exercices, cas pratiques, QCM, commentaires, ppt, test… Exigences relatives à la présentation des dispositions pénales associés au non-respect du Règlement