En clair, pour mieux identifier les compétences et savoir-faire du délégué à la protection des données, la CNIL a adopté deux référentiels. Le premier, de certification, fixe les conditions à remplir par un candidat à la fonction de DPO (délégué à la protection des données ) et la liste des 17 compétences et savoir-faire attendus associés. Le second référentiel, d'agrément, fixe les critères applicables aux organismes souhaitant être habilités par la CNIL en vue de certifier les compétences d'un DPO, sur la base de son référentiel de certification.
La certification des personnes physiques
La CNIL précise que la certification n’est pas obligatoire pour exercer les fonctions de délégué à la protection des données. Ce n’est pas non plus un préalable nécessaire à la désignation auprès de la CNIL. Inversement, il n’est pas exigé d’être désigné en tant que délégué pour être candidat à la certification des compétences du DPO.
Il s’agit d’un mécanisme volontaire permettant aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du DPO prévues par le règlement. Acteur clé de la conformité au RGPD, le DPO doit en effet disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données. Le certificat constitue un vecteur de confiance à la fois pour l’organisme faisant appel à ces personnes certifiées mais également pour ses clients, fournisseurs, salariés ou agents.
Parmi les 17 compétences requises, le candidat doit notamment :
- Connaître et comprendre les principes de licéité du traitement, de limitation des finalités, de minimisation des données, d'exactitude des données, de conservation limitée des données, d'intégrité, de confidentialité et de responsabilité ;
- Savoir identifier la base juridique d'un traitement ;
- Savoir déterminer les mesures appropriées et le contenu de l'information à fournir aux personnes concernées ;
- Savoir établir des procédures pour recevoir et gérer les demandes d'exercice des droits des personnes concernées ;
- Connaître le cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles ;
- Savoir identifier l'existence de transferts de données hors Union européenne et savoir déterminer les instruments juridiques de transfert susceptibles d'être utilisés.
- Savoir élaborer et mettre en œuvre une politique ou des règles internes en matière de protection des données ;
- Savoir organiser et participer à des audits en matière de protection des données ;
- Connaître le contenu du registre d'activités de traitement, du registre des catégories d'activités de traitement et de la documentation des violations de données ainsi que de la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données ;
- Savoir identifier des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement ;
- Savoir participer à l'identification des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement ;
- Savoir identifier les violations de données personnelles nécessitant une notification à l'autorité de contrôle et celles nécessitant une communication aux personnes concernées.
- Savoir déterminer s'il est nécessaire ou non d'effectuer une analyse d'impact relative à la protection des données (AIPD) et sait en vérifier l'exécution ;
- Savoir dispenser des conseils en matière d'analyse d'impact relative à la protection des données (en particulier sur la méthodologie, l'éventuelle sous-traitance, les mesures techniques et organisationnelles à adopter) ;
- Savoir gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier) ;
- Savoir élaborer, mettre en œuvre et être en capacité de dispenser des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données ;
- Savoir assurer la traçabilité de ses activités, notamment à l'aide d'outils de suivi ou de bilan annuel.
Pour accéder à l'épreuve écrite, le candidat au statut de DPO devra nécessairement justifier d'une expérience professionnelle de 2 ans minimum dans des projets, activités ou tâches liés à des missions de DPO ou bien de n'importe quelle autre activité professionnelle (2 ans ou plus) complétée par une formation d'au moins 35 heures en protection des données personnelles. A noter que cette certification n'est pas obligatoire pour exercer les fonctions de DPO. « Il s’agit d’un mécanisme volontaire permettant aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du DPO prévues par le règlement », précise la CNIL.
La CNIL précise qu’elle ne va pas délivrer elle-même de certification DPO. Ce sont les organismes certificateurs, lorsqu’ils auront été agréés par la CNIL, qui délivreront la certification aux personnes remplissant les conditions préalables et ayant réussi l’épreuve écrite. La certification ne sera donc possible que lorsque les premiers agréments auront été délivrés par la CNIL aux organismes certificateurs. Les personnes intéressées par cette certification pourront alors se rapprocher de ces organismes en vue d’être certifiées.
L’agrément des organismes certificateurs par la CNIL
Les organismes certificateurs qui souhaitent délivrer une certification de compétences sur la base du référentiel d’agrément de la CNIL peuvent déposer une demande d’agrément auprès de la CNIL. La demande devra respecter les exigences prévues dans le référentiel d’agrément.
Dans l’attente de l’élaboration d’un programme d’accréditation spécifique portant sur la certification de DPO avec le COFRAC, les organismes certificateurs candidats à l’agrément de la CNIL doivent être agréés par un organisme d’accréditation au regard de la norme ISO/CEI 17024:2012 (Évaluation de la conformité – Exigences générales pour les organismes de certification procédant à la certification de personnes) dans un domaine existant.
Le fonctionnement de ce dispositif fera l’objet, au plus tard dans un délai de deux ans à compter de son entrée en vigueur, d’une évaluation en vue d’adapter, le cas échéant, les exigences des référentiels. Les éventuelles modifications du référentiel d’agrément ou du référentiel de certification seront sans incidence sur les certifications ou les agréments qui auront déjà été délivrés.
Ces référentiels pourront être partagés avec les autres autorités de protection européennes au sein du CEPD (Comité européen de la protection des données).
L’agrément de la CNIL n’est obligatoire que pour les organismes qui souhaitent délivrer une certification DPO sur la base du référentiel élaboré par la CNIL. Cela signifie que tout organisme peut néanmoins certifier des DPO sur la base de son propre référentiel de certification, non approuvé par la CNIL, comme c’est déjà le cas aujourd’hui.
Sources : CNIL, Legifrance
Voir aussi :
Projet de loi des finances 2019 : le gouvernement accorde 15 postes supplémentaires à la CNIL, pour mieux gérer son activité relative au RGPD
Biométrie sur le lieu de travail : la CNIL lance une consultation publique sur le futur règlement type, dans l'environnement professionnel
La CNIL met en demeure les entreprises Teemo et Fidzup, car leurs applis de tracking publicitaire pistent illégalement les utilisateurs
RGPD : la Quadrature du Net et 12 000 internautes déposent des plaintes à la CNIL, pour attaquer les GAFAM en recours collectif
La CNIL a présenté son rapport d'activité sur l'année 2017, la Commission note une augmentation de 59 % de son audience