Après les modifications de la loi informatique et Libertés apportées par la loi du 20 juin 2018, la CNIL est aujourd’hui dotée d’une nouvelle compétence en matière de certification. C’est sur la base de cette nouvelle compétence que la CNIL a mis en place 2 référentiels portant sur la certification des compétences du DPO.

  • Le premier est un référentiel de certification qui précise les conditions préalables à remplir par le candidat à la certification et les compétences et savoir-faire qu’il faut pour être un « Certifié DPO ». En effet, pour être certifié DPO, le candidat doit justifier d’au moins deux ans d’expérience professionnelle, tous secteurs confondus, et valider 35 heures de formation sur la protection des données. Cette formation peut-être qualifiée par les organismes de certification pour préparer à l’examen, comme Bureau Véritas certification et APAVE certification.

Autre alternative, le candidat devra justifier de 2 ans d’expérience en lien avec la protection des données.

  • Le second est un référentiel d’agrément, il est destiné aux organismes souhaitant être habilités par la CNIL à certifier les compétences d’un DPO en se basant sur le référentiel de certification.

Référentiel d’agrément : la possibilité pour un tiers de délivrer des « Certificats DPO »

La CNIL est l’organisme fondamental en matière de protection des données. Elle a 6 missions principales :

  • Recenser les fichiers : donner un avis sur les traitements automatisés ;
  • Contrôler et surveiller la sécurité des systèmes d’information ;
  • Réglementer (élaborer les normes concernant les traitements les plus courants) ;
  • Instruire les réclamations ;
  • Informer les personnes concernées en cas d’usage anormal de leurs données ;
  • Encadrer et garantir le droit d’accès aux fichiers informatiques ;

C’est dans le cadre de ces missions que la CNIL a mis en place en place le référentiel d’agrément. Pour faire simple, ce référentiel permet à un organisme tiers, c’est-à-dire autre que la CNIL, de certifier un DPO sur la base du référentiel conçu par cette dernière.

Obtention de l’agrément certification

Les organismes souhaitant délivrer un « certificat DPO » sur la base du référentiel d’agrément doivent en faire la demande auprès de la CNIL. Elle ne prend une décision qu’après une phase d’instruction et d’échanges. C’est durant cette phase que seront étudiés divers éléments, dont la méthode d’évaluation proposée par l’organisme.

Depuis ce jour, plusieurs organismes ont déjà obtenu l’agrément de la CNIL. Toute personne désirant certifier ses compétences de DPO peut participer aux examens qu’ils proposent.

L’examen prend la forme d’une épreuve écrite d’une durée de 2 heures consistant en un questionnaire à choix multiple composé d’au moins 100 questions. Le questionnaire est divisé en 3 parties :

  • Réglementation en matière de protection des données et mesures prises pour la mise en conformité : 50 % des questions ;
  • Responsabilité : 30 % des questions ;
  • Sécurité : 20 % des questions ;

Pour obtenir sa certification, le DPO doit obtenir un score global de 75 % avec un minimum de 50 % de bonnes réponses sur chaque partie. Le certificat délivré porte la mention « Délégué à la protection des données certifiée conformément au référentiel de certification des compétences du DPO de la CNIL ». La certification est valable 3 ans après sa délivrance et peut être renouvelée avant cette période sous certaines conditions.

Certification et agrément non obligatoire

Il est important de noter que la certification n’est pas obligatoire pour exercer la fonction de DPO. Malgré tout, le certificat reste un gage de confiance pour les entreprises recourant au service d’un DPO.

En ce qui concerne les organismes certificateurs, l’agrément de la CNIL n’est également pas obligatoire pour eux. Ils peuvent très bien certifier des DPO sur la base de leur propre référentiel de certification.