Programme pour les responsables de la protection des renseignements personnels
Présentation
Contexte
La protection des renseignements personnels (PRP) est une responsabilité qui se partage au sein des organisations. Même si la législation prévoit que le plus haut responsable d’un ministère, d’un organisme public, d’une entreprise privée ou d’une organisation à but non lucratif doit répondre de tout ce qui est effectué au sein de son organisation au niveau de la PRP, il n’en demeure pas moins que plusieurs personnes sont tenues d’en maîtriser aussi les paramètres afin d’assurer que l’organisation pose les bonnes actions, de la collecte jusqu’à la destruction des renseignements personnels. Comme les obligations sont claires au niveau québécois, canadien et international, il devient prioritaire pour le propriétaire, l’administrateur, le plus haut responsable ou toute personne déléguée de bien comprendre ce qui en découle.
- Le premier axe est la gestion des risques, notamment au niveau de la fuite de données.
- Le deuxième axe repose sur le principe de transparence, amenée par la connaissance des flux informationnels de son organisation, par une communication et une sensibilisation adéquate.
- Le troisième axe utilise les principes de gouvernance, notamment une conception efficiente, l’audit, l’équilibrage d’indicateurs clés et des suivis d’amélioration continue.
- Le quatrième axe optimise l’encadrement par des processus, des outils technologiques et d’expertises appropriées.
- Le cinquième axe concerne le respect de la législation applicable et des principes de droit étranger pouvant potentiellement trouver application lorsqu’une organisation a des activités au-delà des frontières.
Objectifs
L’objectif principal de la formation est de vous fournir les outils nécessaires afin de devenir une personne ressource en matière de protection des renseignements personnels au sein de votre milieu de travail.
Cette formation vous permet de maîtriser les grands principes en matière de protection des renseignements personnels et que vous êtes en mesure de les appliquer dans des situations concrètes.
À la fin de la formation, la participante ou le participant sera en mesure de :
- Connaître les principales lois, règlements et normes applicables à la protection des renseignements personnels au Québec, au Canada et à l’international;
- Expliquer les principes en matière de protection des renseignements personnels;
- Concevoir une structure de gouvernance en matière de protection des renseignements personnels, incluant l’élaboration d’une politique de confidentialité;
- Utiliser des techniques permettant d’identifier et de gérer les risques en matière de protection des renseignements personnels;
- Distinguer les principales mesures de sécurité assurant la protection de la confidentialité des renseignements personnels;
- Appliquer les étapes fondamentales de la gestion des incidents de confidentialité et les obligations qui en découlent;
- Établir le fonctionnement et les requis d’un plan de communication efficace, notamment en situation de crise.
- Structurer un programme de protection des renseignements personnels.
Public cible
Toute personne qui se préoccupe de la protection des renseignements personnels, indépendamment du fait qu'il se retrouve dans le secteur public ou privé.
Il est suggéré que la personne possède:
- un diplôme d'études collégiales;
- deux années d'expérience de travail.
Cette formation est offerte en collaboration avec le Centre Laurent Beaudoin (École de gestion).
Note
- La documentation sera fournie sous format électronique.
- Un ordinateur disposant d’une caméra et d’un micro est nécessaire pour participer.
Contenu
Contenu
1- Connaître les principales lois, règlements et normes applicables à la protection des renseignements personnels au Québec, au Canada et à l’international.
- ISO 27701:2019
- LADOPPRP (Qc)
- LCCJTI (Qc)
- LPRPDÉ (Can)
- LPRPSP (Qc)
- Privacy-by-design
- RGPD (EU)
2- Expliquer les principes en matière de protection des renseignements personnels.
- CAN/CSA Q830-96
- ISO 29100:2011
- Principes OCDE
- Principes FAIR (USA)
3- Concevoir une structure de gouvernance en matière de protection des renseignements personnels, incluant l’élaboration d’une politique de confidentialité.
- Définition de la gouvernance
- Rôle d’administrateur
- Charte RACI
- Processus de gouvernance
- Qualité de l’information
- Structures de gouvernance
- Contenu d’une politique de confidentialité
4- Utiliser des techniques permettant d’identifier et de gérer les risques en matière de protection des renseignements personnels.
- Inventaire des renseignements personnels
- Évaluation de facteurs relatifs à la vie privée
- Gestion des tiers
5- Distinguer les principales mesures de sécurité assurant la protection de la confidentialité des renseignements personnels.
- Technologies
- Gestion des accès
- Détection des incidents
6- Comprendre les étapes fondamentales de la gestion des incidents de confidentialité et les obligations qui en découlent.
- Incidents de confidentialité vs incidents de sécurité
- Préparation en amont et exercices
- Étapes de gestion d’un incident
- Registre des incidents de confidentialité
- Notion de préjudice sérieux
- Obligations de notification
- Responsabilité légale
- Audit
7- Comprendre le fonctionnement et les requis d’un plan de communication efficace, notamment en situation de crise.
- Communications internes vs externes
- Identification des rôles et responsabilités
- Relations publiques
8- Structurer un programme de protection des renseignements personnels.
- Objectifs du programme
- Culture de l’organisation
- Rôle du Responsable de la protection des renseignements personnels
- Formation et sensibilisation
- Gestion documentaire
Personnes formatrices
ARIANE OHL-BERTHIAUME
Ariane Ohl-Berthiaume est avocate spécialisée dans les questions de droit à la vie privée, de protection des renseignements personnels, de cybersécurité et de technologies de l’information. Elle s’est jointe à l’équipe de ROBIC après avoir agi comme avocate et responsable de la protection des renseignements personnels dans une compagnie québécoise en pleine croissance spécialisée en cybersécurité.
Dans l’objectif de rendre les enjeux de protection des renseignements personnels et leurs sujets connexes accessibles pour tous, Ariane a publié plusieurs articles et animé des conférences variées afin de vulgariser différents aspects légaux en découlant.
Elle détient également les certifications CIPP/C et CIPM de l’International Association of Privacy Professionals (IAPP) et est Certified in Cybersecurity (CC) par l'(ISC)2.
MARYLISE CARON
Marylise Caron exerce au sein de la direction des affaires juridiques de l’Autorité des marchés financiers où elle œuvre principalement dans les dossiers relatifs aux Fintech, aux valeurs mobilières, aux technologies de l’information et à la protection des renseignements personnels. Elle accompagne régulièrement les équipes qui proposent des projets de développement réglementaire.
Diplômée de l’Université de Sherbrooke où elle a complété un baccalauréat en droit en 2004 ainsi qu’un diplôme de deuxième cycle en droit transnational et common law en 2005, elle conserve de nombreux liens avec le milieu académique en parallèle de sa pratique professionnelle comme avocate. En ce moment, elle complète une maîtrise en gouvernance, audit et sécurité des technologies de l’information à l’occasion de laquelle elle s’intéresse particulièrement aux enjeux entourant l’innovation. Elle agit comme chargée d’enseignement de deuxième cycle pour le cours DAT 820 – Aspects légaux et éthiques des T.I au sein de l'École de gestion de l'Université de Sherbrooke et détient la certification Lead Implementer ISO 37001.
Outre ses tâches professionnelles, elle demeure impliquée sur le conseil d’administration d’un organisme voué à la défense des consommateurs.
MICHAEL ALBERTSON
Monsieur Albertson est un expert en sécurité de l’information et en gouvernance. Depuis plus de 25 ans, il a réalisé différents mandats, notamment en protection des réseaux et en gestion des risques. Il connaît bien les différents aspects de gouvernance, dont la présentation des résultats d’audit aux instances clés.
PIERRE-MARTIN TARDIF
Pierre-Martin Tardif a été initié à la cybersécurité en 2003 et a occupé différents postes incluant des responsabilités de cybersécurité. Il est certifié en audit (CISA et en gouvernance (CGEIT) par l’ISACA, dont il est un membre actif. Il enseigne à des étudiantes et étudiants universitaires de tous les cycles, dans les programmes de gouvernance, audit et sécurité des TI, de gestion des systèmes d’information et de l’intelligence d’affaires.
Tarifs et horaires
Tarifs
Types d'inscriptionPrix
Inscription régulière à 30 jours ou moins avant la formation 3 150,00 $
Inscription hâtive à 30 jours ou plus avant la formation 2 835,00 $
Inscription UdeS pour étudiant, diplômé ou employé 2 835,00 $
Note : Les prix indiqués sont pour une personne et ne comprennent pas les taxes.
Politique d'annulation et d'abandon
Horaire
Formation à distance
7 février au 9 mai 2025
Douze séances de 3,5 h de 8 h 30 à 12 h 00
1. Vendredi 7 février 2025
2. Vendredi 14 février 2025
3. Vendredi 21 février 2025
4. Vendredi 28 février 2025
5. Vendredi 14 mars 2025
6. Vendredi 21 mars 2025
7. Vendredi 28 mars 2025
8. Vendredi 4 avril 2025
9. Vendredi 11 avril 2025
10. Vendredi 25 avril 2025
11. Vendredi 2 mai 2025
12. Vendredi 9 mai 2025