Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD), plus de 13 000 délégués à la protection des données (DPO) ont été désignés dans les organismes publics, les associations et les entreprises, selon le dernier bilan réalisé par la Cnil. Pour rappel, le DPO est là pour conseiller le chef d’entreprise sur ses obligations légales en matière de protection des données, contrôler le respect de la réglementation, mais aussi coopérer avec l’autorité de contrôle, à savoir la Cnil. Il peut être interne ou externe à l’entreprise mais doit, dans tous les cas, disposer de compétences juridiques spécialisées et connaître les métiers et le fonctionnement de l’entreprise. C’est dans ce cadre que la Cnil vient de publier deux référentiels visant à permettre la certification d’un DPO et l’agrément des organismes aptes à délivrer cette certification.
À savoir : la certification « Cnil » n’est pas obligatoire pour exercer les fonctions de DPO.
Un DPO certifié « Cnil »
Le premier de ces référentiels présente les conditions permettant à un candidat d’être certifié. Pour y prétendre, celui-ci devra soit justifier d’une expérience professionnelle d’au moins 2 ans en rapport avec ses activités de DPO, soit d’une expérience de 2 ans (quelle qu’elle soit) et d’une formation de 35 h en matière de protection des données personnelles. Ensuite, le candidat devra réussir une épreuve écrite (QCM de 100 questions) portant sur la réglementation, la responsabilité et la sécurité. Il devra obtenir 75 % de réponses exactes pour être certifié. Cette certification n’étant valable que 3 ans.
Les organismes certificateurs
Ce n’est pas la Cnil qui délivrera les certifications, mais des organismes agréés par cette dernière. Le second référentiel vient d’ailleurs fixer les critères que doivent respecter les organismes pour être habilités à certifier les compétences des DPO. Ces derniers doivent ainsi fournir à la Cnil un dossier comprenant :
– un extrait de K-bis ;
– une attestation d’accréditation ISO/IEC 17024:2012 (exigences générales pour les organismes de certification procédant à la certification de personnes) ;
– une présentation du processus de certification mis en place ;
– une présentation du processus d’évaluation.
Les Echos Publishing 2018