RGPD : vers une certification des DPO
Publié par Philippe Leroy le | Mis à jour le
La Cnil veut accélérer la certification des délégués à la protection des données ( DPO) pour légitimer la bonne application du RGPD. Une formation qui reste facultative.
Après la mise en oeuvre du RGPD, la Cnil veut accélérer sur la certification des délégués à la protection des données ( DPO). Un choix « volontaire » pour les intéressés qui ne conditionnera pas l'exercice de leur mission.
Ces professionnels sont chargés de mettre en oeuvre la conformité de leur organisation vis-à-vis du RGPD. Leur désignation est obligatoire pour les autorités et/ou les organismes publics ainsi que pour les entreprises qui traitent des données dites « sensibles » et/ou à « réaliser un suivi régulier et systématique des personnes à grande échelle ».
Publiées le11 octobre au Journal officiel, les délibérations de la Cnil lancent la procédure de certification sur deux référentiels adoptés en septembre dernier. Le premier couvre la certification des compétences du DPO et le second traite de l'agrément des organismes habilités à délivrer cette certification.
DPO avec deux ans expérience
Pour prétendre à la certification, les candidats devront justifier d'au moins deux ans d'expérience professionnelle. Soit dans des projets, activités ou tâches en lien avec les missions du DPO, soit dans un autre secteur, auquel cas il faudra avoir suivi une formation d'au moins 35 h en matière de protection des données personnelles.
De leur côté, les organismes certificateurs devront être accrédités ISO/CEI 17024:022 (« Évaluation de la conformité - Exigences générales pour les organismes de certification procédant à la certification de personnes) dans un domaine existant.
Décisions individuelles automatisées, consentement des mineurs, droit à la réparation. les candidats à la certification de DPO devront embrasser de nombreux sujets : la Cnil liste 17 compétences et savoir-faire.
En premier lieu, la connaissance de principes de base: légalité du traitement des données, limitation des finalités, exactitude des données.
Ensuite, les mesures de responsabilité : base juridique d'un traitement, existence de transferts hors UE, violation de données personnelles nécessitant une notification à l'autorité de contrôle.
Enfin, l'aptitude à agir : élaboration et mise en oeuvre de règles internes, organisation et participation à des audits, réalisation de programmes de formation et de sensibilisation du personnel.
Tous ces sujets seront évalués à travers un questionnaire à choix multiple (QCM) comprenant une centaine de questions : 50 % sur la réglementation générale, 30 %, sur la responsabilité et 20 %, sur les mesures techniques et organisationnelles.
La certification, valable pour trois ans, sera accordée si au moins 75 % des réponses sont exactes, avec un score minimum de 50 % de bonnes réponses dans chacune des trois catégories.
La liste des DPO certifiés ainsi que les statistiques de réussite à l'examen devront être communiqués