Onglets principaux
Diplôme d'université Délégué à la protection des données Data Protection Officer (DPO)
Diplôme d'université Délégué à la protection des données Data Protection Officer (DPO)
2024/2025
Direction: M. Pierre-Emmanuel AUDIT
Diplôme d’université (DU) - Droit
Diplôme d’Université
1 an (à partir de janvier)
Formation continue
► Présentation
► Objectifs
Présentation de la formation
La fonction de Data Protection Officer occupe une nouvelle place, essentielle, au sein de l'entreprise. Son importance primordiale vient d'être soulignée par LinkedIn, qui l'a classé n°1 des métiers les plus recherchés en France. Le DPO devient un acteur stratégique, en liaison directe avec le plus haut niveau de direction de l'entreprise. Le DPO doit aussi interagir avec le responsable conformité, le directeur juridique, le directeur des services informatiques, le directeur de l'innovation et le directeur des ressources humaines. Au regard notamment des sanctions encourues (jusqu’à 4% du chiffre d’affaires), la conformité en matière de protection des données à caractère personnel est devenu tout aussi importante pour une entreprise que la conformité en matière d'anti-corruption et de droit de la concurrence. Le RGPD ayant au demeurant une portée extraterritoriale, son champ d’application mondiale garantit aux DPOs une forte employabilité dans tout pays amené à traiter de données à caractère personnel se rapportant à des personnes situées sur le territoire de l’Union européenne.
La formation délivrée au Centre de formation permanente de l'université Paris Panthéon-Assas, crée à l'origine par Bénédicte FAUVARQUE-COSSON et Winston MAXWELL (anciens directeurs du DU DPO), permet d'acquérir toutes les compétences nécessaires à l'exercice du métier de Délégué à la Protection des Données, depuis les fondamentaux du RGPD jusqu'à ses difficultés d'application dans des secteurs particuliers comme celui de la santé ou de la banque. La formation est assurée en grande partie par des praticiens aguerris au métier de DPO et aux subtilités de ce métier, qu'il s'agisse de négocier des contrats entre acteurs du traitement des données, d'établir une politique de sensibilisation des salariés au sein de l'entreprise, de mettre en oeuvre des aspects élémentaires du RGPD tels qu'un registre de traitement ou une Analyse d'Impact Relative à la Protection des Données (AIPD), ou encore de gérer les rapports avec l'autorité de contrôle. Le DU DPO de l'université Paris Paris Panthéon-Assas a également la chance de compter, parmi ses intervenants, des membres de la Commission nationale de l'informatique et des libertés (CNIL) venant exposer concrètement la politique du gendarme des données en matière de conformité et de sanction.
La qualité exceptionnelle des intervenants, comme la richesse des thèmes abordés, font résolument du DU DPO de l'université Paris Panthéon-Assas une formation de premier choix pour devenir Data Protection Officer.
Certification inscrite au Répertoire Spécifique de France Compétences qui référence les certifications finançables par le Compte personnel de formation (CPF) :
Le DU DPO constitue également en lui-même une certification au sens du répertoire spécifique de France compétences, ce qui a pour effet de rendre le DU finançable via le Compte personnel de formation.
Cette certification vise à répondre aux obligations que les services publics et certaines personnes de droit privé doivent respecter en matière de protection des données personnelles afin d’être conforme au nouveau Règlement Général sur la Protection des Données (RGPD). D’après l’article article 37 de ce règlement, la désignation d’un DPO est obligatoire dans tout organisme public ou autorité publique, pour toute entreprise qui procède à un suivi de personnes ou qui traite des données sensibles (comme des données de santé) à grande échelle. Cette certification va en outre dans le sens des recommandations de l'OCDE et de la CNIL pour lesquelles, même si l’obligation ne s’applique pas encore à tous les organismes, la désignation d’un DPO est fortement recommandée. Bien que le RGPD soit entré en vigueur en 2018, la plupart des entreprises françaises ne dispose encore pas encore d'un DPO et, lorsqu’il n’est pas requis, ne dispose pas des connaissances essentielles sur manière dont il convient de traiter les données à caractère personnel ; cette certification répond ainsi à des besoins actuels et futurs. La personne qui a vocation à devenir DPO n’a pas de profil type et peut être une personne issue du domaine technique, juridique ou autre. Le DPO peut donc être désigné parmi l’un des employés déjà en poste s’il a les compétences spécialisées du droit et des pratiques en matière de protection des données.
Compétences visées :
- Mentionner les principes de licéité et loyauté du traitement, de limitation des finalités, de minimisation des données, d'exactitude des données, de conservation limitée des données, d'intégrité, de confidentialité et de responsabilité ;
- Identifier la base juridique correcte d'un traitement ;
- Traiter les données sensibles de l’article 10 du RGPD ;
- Prendre des mesures appropriées sur le contenu d’informations à fournir aux personnes concernées ;
- Rédiger des procédures pour recevoir et gérer les demandes d'exercice des droits des personnes concernées : droit d’accès, rectification et effacement, droit à la limitation du traitement, droit à la portabilité des données, droit d’opposition ;
- Faire appliquer le cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles ;
- Identifier l'existence de transferts de données hors Union européenne et déterminer les instruments juridiques de transfert susceptibles d'être utilisés ;
- Mettre en œuvre une politique ou des règles internes en matière de protection des données ;
- Organiser et participer à des audits en matière de protection des données ;
- Mettre en place le registre d'activités de traitement et de la documentation des violations de données ainsi que de la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données ;
- Trouver des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement ;
- Participer à l'identification des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement ;
- Distinguer les violations de données personnelles nécessitant une notification à l'autorité de contrôle et celles nécessitant une communication aux personnes concernées ;
- Effectuer une analyse d'impact relative à la protection des données (AIPD) si cela est nécessaire ;
- Conseiller en matière d'analyse d'impact relative à la protection des données (en particulier sur la méthodologie, l'éventuelle sous-traitance, les mesures techniques et organisationnelles à adopter) ;
- Gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier) ;
- Elaborer et mettre en œuvre des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données ;
- Assurer la traçabilité de ses activités en tant que DPO, notamment à l'aide d'outils de suivi ou de bilan annuel.
Intervenants de la formation
Liste à jour sur le site du DU DPO : https://du-dpo.u-paris2.fr/fr
► Admission
Bac +4
► Profil recommandé
Salarié ou demandeur d’emploi, titulaire d’un bac +4 ou Bac +3 et justifiant d’au moins trois ans d’expérience professionnelle.
Cette formation adopte une perspective interdisciplinaire : elle est animée par des enseignants chercheurs issus de plusieurs disciplines représentées au sein de Panthéon-Assas université (droit, sciences de gestion, science politique, sciences économiques, etc.) et par des intervenants professionnels exerçant des responsabilités dans le monde du numérique.
Elle mène à l’obtention d’un diplôme universitaire et elle est idéale pour des personnes qui ont déjà une expérience professionnelle en droit et/ou management et qui souhaitent obtenir une formation complémentaire centrée sur le numérique.
► Organisation des études
Les cours se déroulent de janvier à décembre, un vendredi et un samedi par mois.
Les enseignements représentent un volume annuel de 120 heures et sont dispensés en présentiel, en français et en anglais.
► Programme
1. Module introductif (17h, dont 4 optionnelles)
- La protection des données : quelle régulation pour quels enjeux ? (2h)
- Les notions clés du RGPD (2h)
- La confidentialité des données : cadre juridique et portée (1h)
- Présentation de la CNIL (2h)
- L’approche de la CNIL en matière de compliance : la co-régulation économique (2h)
- Bases juridiques fondamentales (option, 4h)
- Peut-on encore protéger les données personnelles à l'ère du numérique ? (2h)
- Cloud Act et eDiscovery (2h)
2. Le RGPD : Aspects généraux (16h)
- Les grands principes du RGPD (4h)
- L'application territoriale du RGPD et les transferts internationaux (4h)
- Relations entre responsables de traitement et sous-traitants (1h)
- Techniques de rédaction de clauses contractuelles RGPD (3,5h)
- Construire un plan d'archivage et choisir une durée de conservation (2h)
- Utilisation de données personnelles : focus sur l'email marketing (1,5h)
3. L’entreprise à l’épreuve du RGPD (16h)
- Les règles d’entreprise contraignantes (« BCR ») (3h)
- Rôle et éthique des DPO dans la transformation numérique de l'entreprise (2h)
- Le compliance officer dans ses interactions avec le top management (2h)
- Sensibilisation du management et des salariés. Mise en situation (2h)
- La mise en œuvre de la fonction de DPO au niveau d'un groupe d'entreprise (4h)
- Déploiement opérationnel d'un programme d'éthique et de compliance (3h)
4. Cybersécurité et intelligence artificielle (23h)
- Concepts fondamentaux en informatique (2h)
- Introduction à la "data science" et technique (5 h)
- Panorama des cybermenaces (4 h)
- Sécurité informatique : points fondamentaux pour un DPO (2 h)
- Sécurité et DPO, cybersécurité, cryptologie (4 h)
- Intelligence artificielle : déontologie (4 h)
- Assurance et cybersécurité (2h)
5. Le RGPD : Aspects sectoriels (12,5h)
- Les enjeux des données personnelles pour un réseau social (3h)
- Le RGPD dans la banque / assurance : introduction générale (2h)
- Le RGPD dans la banque / assurance : exemples de mise en œuvre pratique (2h)
- Le RGPD et les données de santé : connaissances fondamentales (2h)
- Le RGPD dans les entreprises de santé : l'exemple de Sanofi (2h)
- Le marché du courtage des données personnelles et l’opt-in partenaires (1,5h)
6. Module contentieux (16h, dont 4 optionnelles)
- Le DPO face à une procédure pénale (2h)
- L'action collective et le RGPD (2h)
- Le contentieux international de la responsabilité RGPD (option, 4h)
- Gestion du contentieux CNIL : conseils et retour d’expérience d’un DPO (3h)
- Stratégies et moyens d'action de la CNIL (3h)
- Le droit à l'effacement et ses limites : l'exemple du déréférencement (2h)
7. Module pratique (17,5 h)
- Comment structurer un programme de mise en conformité. Mise en situation (3h)
- Les outils du DPO : Data Protection management system & toolkit (3h)
- Pièges et erreurs à ne pas commettre par un DPO (2h)
- Cas pratiques sur les techniques du big data et les objets connectés (3h)
- Cas pratiques (6,5 h)
8. Grands témoins (6h)
- Ces heures sont réservées à l’interventions d’invités qui viendront témoigner de leur expérience ou points de vue sur la protection des données personnelles au regard de l’actualité et de leur compétence particulière.
► Plus d'informations
http://cfp.assas-universite.fr/fr/formations/offre-de-formation/diplome-duniversite-delegue-protection-donnees-data-protection-officer► Candidatures
Seconde période de candidature ouvrira du 1er au 30 septembre 2024
Rentrée en janvier 2025
► Contact
► Coût de la formation
5 500 € + les droits d'inscription à l'université.
► Certifications
Code répertoire spécifique : RS 5144
Ce diplôme est éligible au Compte Personnel de Formation (CPF)
[[{"fid":"58258","view_mode":"default","fields":{"format":"default","field_file_image_alt_text[und][0][value]":false,"field_file_image_title_text[und][0][value]":false},"type":"media","field_deltas":{"2":{"format":"default","field_file_image_alt_text[und][0][value]":false,"field_file_image_title_text[und][0][value]":false}},"attributes":{"class":"media-element file-default","data-delta":"2"}}]]
► TÉMOIGNAGES ANCIENS ÉTUDIANTS
Présentation
Objectifs
Présentation de la formation
La fonction de Data Protection Officer occupe une nouvelle place, essentielle, au sein de l'entreprise. Son importance primordiale vient d'être soulignée par LinkedIn, qui l'a classé n°1 des métiers les plus recherchés en France. Le DPO devient un acteur stratégique, en liaison directe avec le plus haut niveau de direction de l'entreprise. Le DPO doit aussi interagir avec le responsable conformité, le directeur juridique, le directeur des services informatiques, le directeur de l'innovation et le directeur des ressources humaines. Au regard notamment des sanctions encourues (jusqu’à 4% du chiffre d’affaires), la conformité en matière de protection des données à caractère personnel est devenu tout aussi importante pour une entreprise que la conformité en matière d'anti-corruption et de droit de la concurrence. Le RGPD ayant au demeurant une portée extraterritoriale, son champ d’application mondiale garantit aux DPOs une forte employabilité dans tout pays amené à traiter de données à caractère personnel se rapportant à des personnes situées sur le territoire de l’Union européenne.
La formation délivrée au Centre de formation permanente de l'université Paris Panthéon-Assas, crée à l'origine par Bénédicte FAUVARQUE-COSSON et Winston MAXWELL (anciens directeurs du DU DPO), permet d'acquérir toutes les compétences nécessaires à l'exercice du métier de Délégué à la Protection des Données, depuis les fondamentaux du RGPD jusqu'à ses difficultés d'application dans des secteurs particuliers comme celui de la santé ou de la banque. La formation est assurée en grande partie par des praticiens aguerris au métier de DPO et aux subtilités de ce métier, qu'il s'agisse de négocier des contrats entre acteurs du traitement des données, d'établir une politique de sensibilisation des salariés au sein de l'entreprise, de mettre en oeuvre des aspects élémentaires du RGPD tels qu'un registre de traitement ou une Analyse d'Impact Relative à la Protection des Données (AIPD), ou encore de gérer les rapports avec l'autorité de contrôle. Le DU DPO de l'université Paris Paris Panthéon-Assas a également la chance de compter, parmi ses intervenants, des membres de la Commission nationale de l'informatique et des libertés (CNIL) venant exposer concrètement la politique du gendarme des données en matière de conformité et de sanction.
La qualité exceptionnelle des intervenants, comme la richesse des thèmes abordés, font résolument du DU DPO de l'université Paris Panthéon-Assas une formation de premier choix pour devenir Data Protection Officer.
Certification inscrite au Répertoire Spécifique de France Compétences qui référence les certifications finançables par le Compte personnel de formation (CPF) :
Le DU DPO constitue également en lui-même une certification au sens du répertoire spécifique de France compétences, ce qui a pour effet de rendre le DU finançable via le Compte personnel de formation.
Cette certification vise à répondre aux obligations que les services publics et certaines personnes de droit privé doivent respecter en matière de protection des données personnelles afin d’être conforme au nouveau Règlement Général sur la Protection des Données (RGPD). D’après l’article article 37 de ce règlement, la désignation d’un DPO est obligatoire dans tout organisme public ou autorité publique, pour toute entreprise qui procède à un suivi de personnes ou qui traite des données sensibles (comme des données de santé) à grande échelle. Cette certification va en outre dans le sens des recommandations de l'OCDE et de la CNIL pour lesquelles, même si l’obligation ne s’applique pas encore à tous les organismes, la désignation d’un DPO est fortement recommandée. Bien que le RGPD soit entré en vigueur en 2018, la plupart des entreprises françaises ne dispose encore pas encore d'un DPO et, lorsqu’il n’est pas requis, ne dispose pas des connaissances essentielles sur manière dont il convient de traiter les données à caractère personnel ; cette certification répond ainsi à des besoins actuels et futurs. La personne qui a vocation à devenir DPO n’a pas de profil type et peut être une personne issue du domaine technique, juridique ou autre. Le DPO peut donc être désigné parmi l’un des employés déjà en poste s’il a les compétences spécialisées du droit et des pratiques en matière de protection des données.
Compétences visées :
- Mentionner les principes de licéité et loyauté du traitement, de limitation des finalités, de minimisation des données, d'exactitude des données, de conservation limitée des données, d'intégrité, de confidentialité et de responsabilité ;
- Identifier la base juridique correcte d'un traitement ;
- Traiter les données sensibles de l’article 10 du RGPD ;
- Prendre des mesures appropriées sur le contenu d’informations à fournir aux personnes concernées ;
- Rédiger des procédures pour recevoir et gérer les demandes d'exercice des droits des personnes concernées : droit d’accès, rectification et effacement, droit à la limitation du traitement, droit à la portabilité des données, droit d’opposition ;
- Faire appliquer le cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles ;
- Identifier l'existence de transferts de données hors Union européenne et déterminer les instruments juridiques de transfert susceptibles d'être utilisés ;
- Mettre en œuvre une politique ou des règles internes en matière de protection des données ;
- Organiser et participer à des audits en matière de protection des données ;
- Mettre en place le registre d'activités de traitement et de la documentation des violations de données ainsi que de la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données ;
- Trouver des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement ;
- Participer à l'identification des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement ;
- Distinguer les violations de données personnelles nécessitant une notification à l'autorité de contrôle et celles nécessitant une communication aux personnes concernées ;
- Effectuer une analyse d'impact relative à la protection des données (AIPD) si cela est nécessaire ;
- Conseiller en matière d'analyse d'impact relative à la protection des données (en particulier sur la méthodologie, l'éventuelle sous-traitance, les mesures techniques et organisationnelles à adopter) ;
- Gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier) ;
- Elaborer et mettre en œuvre des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données ;
- Assurer la traçabilité de ses activités en tant que DPO, notamment à l'aide d'outils de suivi ou de bilan annuel.
Intervenants de la formation
Liste à jour sur le site du DU DPO : https://du-dpo.u-paris2.fr/fr
Salarié ou demandeur d’emploi, titulaire d’un bac +4 ou Bac +3 et justifiant d’au moins trois ans d’expérience professionnelle.
Cette formation adopte une perspective interdisciplinaire : elle est animée par des enseignants chercheurs issus de plusieurs disciplines représentées au sein de Panthéon-Assas université (droit, sciences de gestion, science politique, sciences économiques, etc.) et par des intervenants professionnels exerçant des responsabilités dans le monde du numérique.
Elle mène à l’obtention d’un diplôme universitaire et elle est idéale pour des personnes qui ont déjà une expérience professionnelle en droit et/ou management et qui souhaitent obtenir une formation complémentaire centrée sur le numérique.
Organisation de la formation
Les cours se déroulent de janvier à décembre, un vendredi et un samedi par mois.
Les enseignements représentent un volume annuel de 120 heures et sont dispensés en présentiel, en français et en anglais.
Programme
1. Module introductif (17h, dont 4 optionnelles)
- La protection des données : quelle régulation pour quels enjeux ? (2h)
- Les notions clés du RGPD (2h)
- La confidentialité des données : cadre juridique et portée (1h)
- Présentation de la CNIL (2h)
- L’approche de la CNIL en matière de compliance : la co-régulation économique (2h)
- Bases juridiques fondamentales (option, 4h)
- Peut-on encore protéger les données personnelles à l'ère du numérique ? (2h)
- Cloud Act et eDiscovery (2h)
2. Le RGPD : Aspects généraux (16h)
- Les grands principes du RGPD (4h)
- L'application territoriale du RGPD et les transferts internationaux (4h)
- Relations entre responsables de traitement et sous-traitants (1h)
- Techniques de rédaction de clauses contractuelles RGPD (3,5h)
- Construire un plan d'archivage et choisir une durée de conservation (2h)
- Utilisation de données personnelles : focus sur l'email marketing (1,5h)
3. L’entreprise à l’épreuve du RGPD (16h)
- Les règles d’entreprise contraignantes (« BCR ») (3h)
- Rôle et éthique des DPO dans la transformation numérique de l'entreprise (2h)
- Le compliance officer dans ses interactions avec le top management (2h)
- Sensibilisation du management et des salariés. Mise en situation (2h)
- La mise en œuvre de la fonction de DPO au niveau d'un groupe d'entreprise (4h)
- Déploiement opérationnel d'un programme d'éthique et de compliance (3h)
4. Cybersécurité et intelligence artificielle (23h)
- Concepts fondamentaux en informatique (2h)
- Introduction à la "data science" et technique (5 h)
- Panorama des cybermenaces (4 h)
- Sécurité informatique : points fondamentaux pour un DPO (2 h)
- Sécurité et DPO, cybersécurité, cryptologie (4 h)
- Intelligence artificielle : déontologie (4 h)
- Assurance et cybersécurité (2h)
5. Le RGPD : Aspects sectoriels (12,5h)
- Les enjeux des données personnelles pour un réseau social (3h)
- Le RGPD dans la banque / assurance : introduction générale (2h)
- Le RGPD dans la banque / assurance : exemples de mise en œuvre pratique (2h)
- Le RGPD et les données de santé : connaissances fondamentales (2h)
- Le RGPD dans les entreprises de santé : l'exemple de Sanofi (2h)
- Le marché du courtage des données personnelles et l’opt-in partenaires (1,5h)
6. Module contentieux (16h, dont 4 optionnelles)
- Le DPO face à une procédure pénale (2h)
- L'action collective et le RGPD (2h)
- Le contentieux international de la responsabilité RGPD (option, 4h)
- Gestion du contentieux CNIL : conseils et retour d’expérience d’un DPO (3h)
- Stratégies et moyens d'action de la CNIL (3h)
- Le droit à l'effacement et ses limites : l'exemple du déréférencement (2h)
7. Module pratique (17,5 h)
- Comment structurer un programme de mise en conformité. Mise en situation (3h)
- Les outils du DPO : Data Protection management system & toolkit (3h)
- Pièges et erreurs à ne pas commettre par un DPO (2h)
- Cas pratiques sur les techniques du big data et les objets connectés (3h)
- Cas pratiques (6,5 h)
8. Grands témoins (6h)
- Ces heures sont réservées à l’interventions d’invités qui viendront témoigner de leur expérience ou points de vue sur la protection des données personnelles au regard de l’actualité et de leur compétence particulière.
Contrôle des connaissances
Article 1er :
- Une étude de cas écrite visant à rédiger un rapport de synthèse de diagnostic de conformité comme cela pourrait être demandé dans une situation professionnelle
- Une présentation orale (individuelle ou en groupe) sur une problématique rencontrée dans un contexte professionnel
Article 2 :
Une note de 10/20 est requise pour l’obtention du diplôme universitaire.
Le diplôme comporte les mentions suivantes, selon la note obtenue :
- À partir de 10 : mention passable
- À partir de 13 : mention assez bien à partir de 15 : mention bien
- À partir de 17 : mention très bien.