Protection des données, RGPD, AI Act et Gouvernance

JOUR 1 – PLAN
Cadre juridique & gouvernance des traitements (RGPD + AI Act)
1.1 Fondamentaux du droit de la protection des données
Les enjeux liés à la sécurité des données
Définitions clés (donnée personnelle, traitement, responsable, sous-traitant…)
LIL et articulation avec le RGPD (origines et évolutions des lois, structure du RGPD).
Champ d’application matériel et territorial
Autres textes relatifs à la protection de la vie privée
Introduction au principe d’accountability
TD : Quiz de positionnement
1.2 Les Acteurs, gouvernance et gestion des risques
Organismes européens et nationaux faisant autorité (Commission Européenne, CEPD, Parlement Européen, conseils des ministres de l’UE)
Les autorités de contrôles 
Le Responsable du traitement 
Sous-traitant
Le DPO (son métier, son rôle et fonctions)
1.3 Les grands principes du RGPD
Licéité, loyauté, transparence
Limitation des finalités
Minimisation
Exactitude
Limitation de la conservation
Intégrité et confidentialité
Responsabilité (Accountability)
Étude de cas : analyse de conformité d’un traitement
1.4 Introduction à l’AI Act (Nouveau module)
Objectifs et architecture du règlement IA
Articulation RGPD / AI Act
Classification des systèmes d’IA :
Risque inacceptable
Haut risque
Risque limité
Risque minimal
Notion de fournisseur vs déployeur des systèmes d’IA
Obligations selon le niveau de risque
Atelier : classifier un système IA

JOUR 2 – PLAN → DO
Licéité des traitements & droits des personnes (y compris IA)
2.1 Validité d’un traitement
Bases juridiques
Consentement (validité, retrait, preuve)
Intérêt légitime
Catégories particulières
Données relatives aux condamnation pénales et aux infractions
Cas pratiques
2.2 Droits des personnes concernées
Transparence et information
Droit d’accès
Rectification
Effacement (droit à l’oubli)
Portabilité
Limitation du traitement ou des droits
Opposition
2.3 Décisions automatisées et IA
Article 22 RGPD
Profilage
Droit à l’intervention humaine
Explicabilité des algorithmes
Exigences AI Act pour systèmes à haut risque
Étude de cas : système IA RH / scoring bancaire
2.4 Transferts des données personnelles
Au sein de l’Europe (pays transfrontaliers)
Hors de l’Europe 
Décision d’adéquation
Clauses contractuelles types
BCR
Dérogations
Impact du Cloud et IA générative

JOUR 3 – Acteurs, gouvernance & gestion des risques (RGPD + IA)
3.1 Acteurs et responsabilités
Responsable de traitement
Sous-traitant
Co-responsabilité
DPO
CEPD
Autorités de contrôle
3.2 Analyse de risques & DPIA
Notion de risque sur les droits et libertés
Méthodologie CNIL
Analyse d’impact (AIPD / DPIA)
Cas des systèmes IA à haut risque (AI Act)
Documentation et traçabilité
Atelier : réaliser une mini AIPD (étude de cas)
3.3 Gouvernance IA (Nouveau module stratégique)
Politique interne IA
Cartographie des systèmes IA
Registre des traitements enrichi IA
Documentation technique (AI Act)
Data gouvernance et qualité des données

JOUR 4 – DO → CHECK
Mesures techniques et organisationnelles
4.1 Mesures techniques (CNIL + AI Act)
Privacy by design / by default
Chiffrement
Pseudonymisation
Anonymisation (et limites)
Gestion des accès
Journalisation
Tests et validation des systèmes IA
Robustesse, cybersécurité, biais algorithmiques
4.2 Mesures organisationnelles
Politique de sécurité
Sensibilisation des collaborateurs
Gestion des sous-traitants
Comité éthique IA
Documentation continue
4.3 CHECK – Audit et contrôle
Audit interne
Indicateurs de conformité
Monitoring des systèmes IA
Tests de biais
Revues périodiques
Documentation probatoire
Cas pratique : audit d’un système IA

JOUR 5 – ACT
Amélioration continue & préparation examen
5.1 ACT – Procédures de violation
Détection et analyse
Procédure de déclaration Autorité de contrôle
Information personnes concernées
5.2 ACT – Amélioration continue
Mise à jour des analyses de risques
Révision des politiques
Veille réglementaire
Retour d’expérience incidents
Plan d’action correctif
5.3 Synthèse globale PDCA: Plan-Do-Check-Act
5.4 Examen blanc
Quiz global
Étude de cas complète (RGPD + IA)
Correction commentée