Formation RGPD et BPM General Data Protection Regulation & Business Process Management

La transformation numérique, la dématérialisation, les nouveaux usages de communication avec les médias sociaux, la nécessité pour l’entreprise de s‘ouvrir toujours plus vers l’extérieur, accentuent de jour en jour l'exposition des données des salariés des entreprises.
La connexion des systèmes d'information avec l’extérieur, la mobilité des salariés et leurs nouvelles applications, augmentent considérablement le risque d'exploitation indue des informations personnelles de ces salariés.
Il est donc nécessaire de revoir certaines pratiques de sécurité et d'améliorer les échanges entre la DRH, en charge des données des salariés et la DSI, en charge du stockage de ces données.  
Le fonctionnement en silos que connaissent la plupart des entreprises - aussi bien en termes de systèmes d'information que d'échanges entre départements - ne facilite pas l'approche transverse nécessaire à ce besoin de protection des données. L’approche processus est un excellent moyen méthodologique pour améliorer la mise en place et le suivi de ces échanges.

Le Règlement Général sur la Protection des Données (RGPD), General Data Protection Regulation (GDPR en anglais), est un règlement européen par lequel le Parlement Européen, le Conseil de l'Union Européenne et la Commission Européenne cherchent à renforcer et à uniformiser la protection des données pour tous les pays de l'UE (Union européenne), contrôlant également le transfert de données en dehors de l'Union. Ses principaux objectifs sont de redonner aux citoyens le contrôle de leurs informations personnelles et d'unifier le cadre réglementaire pour les entreprises multinationales.
Adopté en avril 2016, il entrera en vigueur le 25 mai 2018, après une période transitoire de deux ans, et, contrairement à d'autres directives, il ne nécessite pas d'être incorporé aux législations nationales et est donc directement applicable.
Le GDPR prévoit des sanctions allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel, la pénalité appliquée étant la plus importante des deux.
Le GDPR stipule que les entreprises doivent désigner un délégué à la protection des données (DPO en anglais), responsable de la protection des données qui ne peut pas reporter à la DSI et qui n'est pas non plus le responsable du risque encouru.
Cette réglementation européenne affecte toutes les entreprises qui s'adressent aux clients et aux utilisateurs, même temporairement, se trouvant dans l'UE : ce qui compte n'est pas le siège de l'entreprise, mais les données personnelles qu'il traite.

Toutes les entreprises utilisent des processus pour développer leurs activités, qu’ils soient explicitement écrits ou non. Les processus permettent d’organiser le fonctionnement d’une organisation.
Adopter une vision processus dans une entreprise permet de décrire et d'améliorer son fonctionnement. Les processus peuvent être représentés sur papier ou avec des moyens informatiques via un logiciel de modélisation de processus.

Objectif opérationnel : 

Savoir appréhender le rapport entre RGPD et la cybersécurité.

Objectifs pédagogiques : 

Plus concrètement, à l'issue de cette formation RGPD et BPM vous aurez acquis les connaissances et les compétences nécessaires pour :

• La découverte de l'impact et de l'utilité de la vision processus dans le cadre du règlement européen GDPR
• La découverte de l'apport de la discipline BPM (Business Process Management) - ou gestion des processus métier - dans la protection des données de salariés des entreprises
• La découverte de la norme BPMN (Business Process Model & Notation) qui permet aux entreprises de décrire de façon structurée et efficace leurs processus
• Une méthodologie de mise en œuvre d'une démarche processus dans une entreprise. Étant donné la complexité de l'environnement des entreprises, cette mise en œuvre se fait par étapes
• Le rapport entre RGPD et cybersécurité.

Public :

Ce stage cible toute personne dont le service est concerné par l'arrivée du GDPR tels que les départements DRH, DSI, Marketing, Qualité...

Prérequis :

Cette formation GDPR et BPM ne nécessite aucun prérequis particulier.

Introduction au RGPD / GDPR

Présentation du règlement
Nouvelles exigences pour les entreprises
Exemples de processus liés à  GDPR :
-   Acquisition, accès et maintenance des données personnelles
-   Traitements GDPR habituels : réponses à des demandes d'accès, suppression des données à la demande
-   Traitements GDPR exceptionnels : notifications d'irrégularités

L'apport de la vision BPM à la mise en pratique du RGPD / GDPR

Le RGPD / GDPR pose effectivement une problématique d'organisation et de processus
BPM : de quoi s'agit-il ?
Les processus métier : leur classification

Modélisation de processus

Aborder la modélisation d'un processus.
Présentation de Signavio ™ Quick Model
Présentation de Bizagi ™ Modeler
Composantes de base de BPMN 2.0

Atelier : Modélisation simple d'un processus RGPD / GDPR

L'atelier peut porter sur le processus prévu dans la formation ou sur un processus à la demande des participants.  

Mise en œuvre par étapes

Audit de la situation actuelle en RGPD / GDPR
Modélisation simple de processus de RGPD / GDPR
Modélisation avancée de processus de RGPD / GDPR
Exécution de processus.
Suivi de processus avec un BAM (Business Activity Monitoring)

Atelier : Réflexion sur la mise en œuvre dans un cas concret. Liste de livrables à l'issue de cette réflexion

L'atelier peut porter sur le processus prévu dans la formation ou sur un processus à la demande des participants 

GDPR et Cybersécurité

Cybersécurité : son impact sur BPM
Types de processus en cybersécurité :
-   Opérationnels (ex : campagnes de tests d'intrusion)
-   De gouvernance (ex : revue d'un outil de gestion des risques)

Atelier : Réflexion sur les mesures à prendre en compte en matière de cybersécurité pour assurer le respect du RGPD / GDPR

Ce cours alterne théorique et pratique pour une meilleure assimilation des connaissances.