Bien le bonjour de Paris !
La CNIL vient de faire publier, au Journal Officiel du 11 octobre dernier, deux référentiels qui organisent la certification des Délégués à la Protection des Données (les DPO). Cette publication intervient à l’issue d’une large consultation organisée par la CNIL et au cours de laquelle toutes les organisations professionnelles intéressées ont pu s’exprimer et apporter leur contribution. Au total, indique la CNIL, près de 200 contributions lui ont été adressées.
Bien évidemment, l’IAPP a activement participé à ce processus. Paul Jordan, Directeur d’IAPP Europe, et moi avons eu de nombreux échanges fructueux avec la CNIL et nous sommes rendus dans ses locaux pour une réunion de travail.
La CNIL est la seconde autorité européenne à se lancer dans la certification de personnes, après son homologue espagnole en octobre 2017. La possibilité de certifier des personnes n’est pas expressément prévue par le RGPD, qui se réfère uniquement à celle visant des « opérations de traitement » mises en place par des responsables de traitement ou des sous-traitants. Il s’agit donc d’une innovation notable, qui a été introduite en droit français par la loi du 20 juin 2018.
Cette innovation correspond à un besoin du marché, en particulier français. En effet, selon certaines estimations, la mise en œuvre du RGPD nécessitera en France la désignation de près de 80 000 DPOs, dont la moitié dans le secteur public. Dans ce cadre, l’identification et la reconnaissance de DPOs authentiquement qualifiés est une nécessité pour les entreprises et les administrations à la recherche de tels profils. Et tout mécanisme de certification contribuant à répondre à ce besoin est le bienvenu.
Comme le précise la CNIL, cette certification n’est pas obligatoire mais facultative. Des personnes pourront exercer la fonction de DPO sans être certifiées et, inversement, des personnes certifiées pourront ne pas être DPO.
L’IAPP, qui a une longue pratique de la certification et qui est, en tant qu’organisation, d’ores et déjà certifiée ISO/IEC 17024, se félicite de l’élaboration par la CNIL de ces deux référentiels qui se fondent d’ailleurs sur cette même norme ISO. Tel est aussi le cas de la certification espagnole qui s’y réfère également.
Sur le fond, l’architecture retenue par la CNIL est la suivante. Tout d’abord, il convient de souligner que la CNIL ne certifiera pas elle-même les DPOs mais s’appuiera sur des organismes « agréés » dont ce sera la mission, ce qui est une possibilité prévue par le RGPD (Article 43).
Le premier référentiel (délibération n° 2018-317 du 20 septembre 2018) concerne donc ces organismes de certification des DPOs. Ce référentiel pose comme première exigence que l’organisme prétendant à l’agrément par la CNIL soit certifié ISO/IEC 17024. Le référentiel définit ensuite les modalités d’évaluation par l’organisme des compétences des candidats à la certification. Est ainsi prévue une épreuve écrite consistant en un questionnaire à choix multiple (QCM) en français comprenant au moins 100 questions dont 30% devra être formulée sous la forme de cas pratiques. L’IAPP se félicite de l’importance ainsi donnée aux cas pratiques, qui correspond d’ailleurs à sa propre méthodologie dans le cadre de ses certificats (CIPP-E et autres). Les organismes de certification devront permettre à des observateurs de la CNIL d'être présents pendant le déroulement des épreuves.
Le second référentiel (délibération n° 2018-318 du 20 septembre 2018) a pour objet de définir les critères que le candidat désireux d’être certifié devra remplir. Pour pouvoir accéder à la phase d'évaluation, le candidat devra : soit justifier d'une expérience professionnelle d'au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du DPO ; soit justifier d'une expérience professionnelle d'au moins 2 ans ainsi que d'une formation d'au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation. Le référentiel énumère ensuite les exigences de compétences et savoir-faire que les candidats devront posséder qui sont au nombre de 17. Ces exigences reprennent, de façon thématique, les diverses missions et obligations du DPO au titre du RGPD. A titre d’illustration, le candidat devra savoir établir des procédures pour gérer les demandes d'exercice des droits des personnes concernées, organiser et participer à des audits ou encore identifier les violations de données personnelles nécessitant une notification seulement à l'autorité de contrôle ou également aux personnes concernées.
Après l’Espagne et la France, on peut supposer que d’autres autorités de protection s’engageront dans cette même voie afin que la certification des DPOs accède à une dimension européenne et harmonisée.
Comments
If you want to comment on this post, you need to login.