Pour mieux identifier les compétences et savoir-faire du délégué à la protection des données, la CNIL a adopté deux référentiels. Le premier, de certification, fixe les conditions à remplir par un candidat à la fonction de DPO et la liste des 17 compétences et savoir-faire attendus associés. Le second référentiel, d'agrément, fixe les critères applicables aux organismes souhaitant être habilités par la CNIL en vue de certifier les compétences d'un DPO, sur la base de son référentiel de certification.
« La certification de compétences de DPO de la CNIL permet aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du DPO prévues par le règlement européen sur la protection des données. C’est également un vecteur de confiance à la fois pour l’organisme faisant appel à ces personnes certifiées, ses clients, fournisseurs, salariés ou agents », indique la commission dans un communiqué. Parmi les 17 compétences requises, le candidat doit notamment organiser et participer à des audits en matière de protection des données, identifier des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement ou encore gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier).
La certification DPO pas délivrée par la CNIL mais des organismes agréés
Pour accéder à l'épreuve écrite, le candidat au statut de DPO devra nécessairement justifier d'une expérience professionnelle de 2 ans minimum dans des projets, activités ou tâches liés à des missions de DPO ou bien de n'importe quelle autre activité professionnelle (2 ans ou plus) complétée par une formation d'au moins 35 heures en protection des données personnelles. A noter que cette certification n'est pas obligatoire pour exercer les fonctions de DPO. « Il s’agit d’un mécanisme volontaire permettant aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du DPO prévues par le règlement », précise la CNIL.
A noter que la commission ne délivrera pas elle-même de certification DPO et qu'il faudra passer par des organismes certificateurs lorsque ces derniers auront été agréés. « Dans l’attente de l’élaboration d’un programme d’accréditation spécifique portant sur la certification de DPO avec le COFRAC, les organismes certificateurs candidats à l’agrément de la CNIL doivent être agréés par un organisme d’accréditation au regard de la norme ISO/CEI 17024:2012 », précise l'organisme. « L’agrément de la CNIL n’est obligatoire que pour les organismes qui souhaitent délivrer une certification DPO sur la base du référentiel élaboré par la CNIL. Cela signifie que tout organisme peut néanmoins certifier des DPO sur la base de son propre référentiel de certification, non approuvé par la CNIL, comme c’est déjà le cas aujourd’hui. »
Commentaire