Certification des compétences du DPO

Afin de permettre l’identification des compétences et savoir-faire du délégué à la protection des données (DPO), la CNIL adopte deux référentiels en matière de certification de DPO.

Une nouvelle compétence de la CNIL

La loi Informatique et Libertés, telle que modifiée par la loi du 20 juin 2018, donne à la CNIL une nouvelle compétence en matière de certification de personnes. La CNIL peut désormais adopter des référentiels de certification, et agréer les organismes chargés de délivrer cette certification.

A la suite d’une consultation publique et forte de son expérience dans l’accompagnement des Correspondants Informatique et Libertés (CIL), la CNIL adopte deux référentiels :

un référentiel de certification qui fixe notamment les conditions de recevabilité des candidatures et la liste des 17 compétences et savoir-faire attendus pour être certifié en tant que DPO.

un référentiel d’agrément qui fixe les critères applicables aux organismes qui souhaitent être habilités par la CNIL à certifier les compétences du DPO sur la base du référentiel de certification élaboré par la CNIL ;

Synthèse de la consultation publique

La consultation publique sur les projets de référentiels s’est déroulée entre le 23 mai et le 22 juin 2018. Près de 200 contributions ont été reçues provenant :

de DPO ou de futurs DPO ;
de responsables de traitement et de sous-traitants (entreprises, fédérations professionnelles, organismes de formation, associations, cabinets d’avocats et cabinets de conseil) ;
d’organismes de certification.

Les contributeurs représentent des secteurs d’activités très variés (banque, secteur public, santé, éducation, éditeur de logiciels, transport, distribution, enseignement supérieur).

Des réunions de travail ont également été organisées avec les trois associations professionnelles françaises de délégués (ADPO, AFCDP et UDPO) et une dizaine d’organismes de certification.

Cette consultation a permis d’enrichir la réflexion et de trouver le meilleur point d’équilibre entre les connaissances et compétences que doit détenir le DPO et les attentes des professionnels (organismes de certification, DPO, responsables de traitement, sous-traitant).

La certification des personnes physiques

La certification n’est pas obligatoire pour exercer les fonctions de délégué à la protection des données. Ce n’est pas non plus un préalable nécessaire à la désignation auprès de la CNIL. Inversement, il n’est pas exigé d’être désigné en tant que délégué pour être candidat à la certification des compétences du DPO.

Il s’agit d’un mécanisme volontaire permettant aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du DPO prévues par le règlement. Acteur clé de la conformité au RGPD, le DPO doit en effet disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données. Le certificat constitue un vecteur de confiance à la fois pour l’organisme faisant appel à ces personnes certifiées mais également pour ses clients, fournisseurs, salariés ou agents.

Les conditions préalables pour accéder à la certification sont précisées à l’exigence 1 du référentiel de certification.

La CNIL ne délivrera pas elle-même de certification DPO. Ce sont les organismes certificateurs, lorsqu’ils auront été agréés par la CNIL, qui délivreront la certification aux personnes remplissant les conditions préalables et ayant réussi l’épreuve écrite. La certification ne sera donc possible que lorsque les premiers agréments auront été délivrés par la CNIL aux organismes certificateurs. Les personnes intéressées par cette certification pourront alors se rapprocher de ces organismes en vue d’être certifiés.

L’agrément des organismes certificateurs par la CNIL

Les organismes certificateurs qui souhaitent délivrer une certification de compétences sur la base du référentiel d’agrément de la CNIL peuvent déposer une demande d’agrément auprès de la CNIL (modalités décrites dans les FAQ). La demande devra respecter les exigences prévues dans le référentiel d’agrément.

Dans l’attente de l’élaboration d’un programme d’accréditation spécifique portant sur la certification de DPO avec le COFRAC, les organismes certificateurs candidats à l’agrément de la CNIL doivent être agréés par un organisme d’accréditation au regard de la norme ISO/CEI 17024:2012 (Évaluation de la conformité – Exigences générales pour les organismes de certification procédant à la certification de personnes) dans un domaine existant.

Le fonctionnement de ce dispositif fera l’objet, au plus tard dans un délai de deux ans à compter de son entrée en vigueur, d’une évaluation en vue d’adapter, le cas échéant, les exigences des référentiels. Les éventuelles modifications du référentiel d’agrément ou du référentiel de certification seront sans incidence sur les certifications ou les agréments qui auront déjà été délivrés.

Ces référentiels pourront être partagés avec les autres autorités de protection européennes au sein du CEPD (Comité européen de la protection des données).

L’agrément de la CNIL n’est obligatoire que pour les organismes qui souhaitent délivrer une certification DPO sur la base du référentiel élaboré par la CNIL. Cela signifie que tout organisme peut néanmoins certifier des DPO sur la base de son propre référentiel de certification, non approuvé par la CNIL, comme c’est déjà le cas aujourd’hui.

[Infographie] La Certification DPO

Questions-réponses pour les candidats à la certification

Dois-je être certifié pour être désigné DPO ?
Non, la certification n’est pas obligatoire pour exercer les fonctions de délégué à la protection des données.
La certification de compétences de DPO est-elle ouverte aux personnes morales ?
Non, la certification de compétences de DPO de la CNIL est réservée aux personnes physiques.
Quels sont les avantages de la certification de compétences de DPO de la CNIL ?
La certification de compétences de DPO de la CNIL permet aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du DPO prévues par le règlement européen sur la protection des données. C’est également un vecteur de confiance à la fois pour l’organisme faisant appel à ces personnes certifiées, ses clients, fournisseurs, salariés ou agents.
Quelles sont les conditions préalables pour pouvoir passer l’examen de certification ?
Pour pouvoir accéder à l’épreuve écrite, le candidat doit remplir l’une des conditions préalables suivantes :
- justifier d’une expérience professionnelle d’au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du DPO s’agissant de la protection des données personnelles ; ou
- justifier d’une expérience professionnelle d’au moins 2 ans ainsi que d’une formation d’au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation.
En quoi consiste l’épreuve du référentiel ?
L’épreuve consiste en un QCM d’au moins 100 questions dont 30% sont énoncées sous forme de cas pratiques. Les questions portent sur 3 domaines (détail en annexe du référentiel d’agrément) et visent à tester les 17 compétences et savoir-faire listés dans le référentiel de certification (par exemple, savoir identifier la base juridique d’un traitement ou encore savoir élaborer et mettre en œuvre des programmes de formation et de sensibilisation du personnel).
L’épreuve est réussie si au moins 75% des réponses sont exactes (dont 50% de bonnes réponses dans chacun des domaines).
Combien de temps est valable ma certification de compétences ?
La certification est valable 3 ans à compter de sa délivrance.
Comment renouveler ma certification ?
A l’issue des 3 ans de validité, le renouvellement est possible à condition de réussir une nouvelle épreuve écrite de même format que l’épreuve initiale et de démontrer une expérience professionnelle d’au moins un an dans des projets, activités ou tâches en lien avec les missions du DPO.

ARTICLE PROVENANT DU SITE WEB DE LA CNIL: https://www.cnil.fr/fr/certification-des-competences-du-dpo-la-cnil-adopte-deux-referentiels