RGPD : la Cnil ouvre vraiment la voie à la certification des DPO

Clément Bohic,
LégislationRégulationsSécurité
ue-donnees-non-personnelles

La Cnil a adopté deux référentiels qui porteront la certification des compétences des délégués à la protection des données personnelles.

Décisions individuelles automatisées, consentement des mineurs, droit à la réparation… Autant d’éléments sur lesquels les candidats à la certification de DPO sont susceptibles d’être interrogés.

La certification en question est celle basée sur les référentiels que la Cnil a adoptés en date du 20 septembre 2018.

Les délibérations de la commission ont été publiées ce jeudi 11 octobre au Journal officiel.

Les deux référentiels en annexe couvrent respectivement la certification des compétences du DPO et l’agrément des organismes habilités à délivrer cette certification.

Le mécanisme est dit « volontaire » au sens où il ne conditionne pas l’exercice du DPO (délégué à la protection des données personnelles).

Ce dernier est chargé de mettre en œuvre, au sein de l’organisme qui l’a désigné, la conformité vis-à-vis du RGPD. Sa désignation est obligatoire pour les autorités ou les organismes publics. Elle l’est aussi pour ceux amenés à traiter des données dites « sensibles » et/ou à « réaliser un suivi régulier et systématique des personnes à grande échelle ».

Des QCM pour les DPO

La Cnil liste 17 compétences et savoir-faire attendus.

Il y a d’abord la connaissance de principes : licéité du traitement, limitation des finalités, exactitude des données…

Ensuite, les capacités d’identification : base juridique d’un traitement, existence de transferts hors UE, violation de données personnelles nécessitant une notification à l’autorité de contrôle…

Enfin, l’aptitude à prendre des mesures : élaboration et mise en œuvre de règles internes, organisation et participation à des audits, réalisation de programmes de formation et de sensibilisation du personnel…

Ces compétences seront évaluées par le biais d’un QCM d’au moins 100 questions. 50 % traiteront de la réglementation générale ; 30 %, de la responsabilité : 20 %, des mesures techniques et organisationnelles.

L’épreuve sera considérée comme réussie si au moins 75 % des réponses sont exactes, avec un score minimum de 50 % dans chacun des trois domaines.

Les candidats à la certification devront posséder au moins deux ans d’expérience professionnelle. Soit dans des projets, activités ou tâches en lien avec les missions du DPO, soit dans un autre secteur, auquel cas il faudra avoir suivi une formation d’au moins 35 h en matière de protection des données personnelles.

Pour ce qui est des organismes certificateurs, ils devront être accrédités ISO/CEI 17024:022 (« Évaluation de la conformité – Exigences générales pour les organismes de certification procédant à la certification de personnes) dans un domaine existant.

Il leur faudra, en plus d’un rapport annuel, communiquer, tous les six mois à compter de la délivrance de l’agrément, les statistiques de réussite de l’épreuve écrite. Ainsi que le registre actualisé des personnes certifiées DPO (valable trois ans).

Lire aussi :

RGPD : la Cnil actualise son modèle de registre de traitements pour les PME

FaceApp : le phénomène interpelle la Cnil

RGPD : la Cnil a le consentement du GESTE mais pas de La Quadrature du Net

Clément Bohic
Auteur : Clément Bohic
Lire la biographie de l´auteur  Masquer la biographie de l´auteur