Le référentiel sur les compétences et le savoir-faire d’un DPO :
Tout d’abord, le premier référentiel rendu par la CNIL porte sur les conditions de recevabilité des candidatures. La CNIL précise toutefois que la certification n’est absolument pas obligatoire afin de pouvoir exercer la fonction de DPO, il s’agit simplement d’une preuve authentique permettant aux personnes qui le souhaitent de démontrer que ces dernières disposent des compétences et du savoir-faire indispensable à la fonction du DPO. En effet, le DPO doit avant tout disposer de connaissances spécialisées en droit ainsi que des pratiques en matière de protection des données. Cette certification est alors une occasion de rassurer toute personne physique ou morale faisant appel à un DPO sur l’étendue de sa capacité à comprendre et à travailler sur la protection des données à caractère personnel.
Ainsi, dans ce référentiel, la CNIL énonce 17 compétences et savoir-faire considérés comme nécessaires telles que :
Identifier la base juridique d’un traitement de données
Déterminer les mesures appropriées et le contenu de l’information à fournir aux personnes concernées
Gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action
Etc.
Néanmoins, pour accéder à la certification DPO, la CNIL précise que celle-ci “ne délivrera pas elle-même de certification DPO. Ce sont les organismes certificateurs agréés qui délivreront la certification aux personnes remplissant les conditions préalables et ayant réussi l’épreuve écrite”. Ces conditions sont ici présentées dans le second référentiel.
Le référentiel sur l’agrément de la certification de DPO
Ce référentiel présente les critères applicables aux organismes agréés par la CNIL à rendre une certification des compétences du DPO. Ainsi, ces organismes doivent “déposer une demande d’agrément auprès de la CNIL”, puis être “agréés par un organisme d’accréditation au regard de la norme ISO/CEI 17024:2012 (qui est une norme portant sur l’évaluation de la conformité, sur les exigences générales pour les organismes de certification procédant à la certification des personnes). Toutefois, la CNIL précise que “tout organisme peut néanmoins certifier des DPO sur la base de son propre référentiel de certification, non approuvé par la CNIL”.
Afin de participer à l’évaluation, la personne prétendante doit nécessairement avoir au moins 2 ans d’expérience professionnelle et avoir assisté à une formation de 35h au minimum sur la protection des données OU avoir une expérience minimum de 2 ans en lien avec la protection des données personnelles.
Pour ce qui est de l’évaluation en elle-même, celle-ci devra prendre la forme d’un QCM d’au moins 100 questions, dont ⅓ concerne des cas pratiques. Pour être certifié DPO par l’organisme, le candidat doit obligatoirement avoir au moins 75% des réponses correctes et 50% de bonnes réponses dans les 3 domaines appréhendés dans le QCM, à savoir la Réglementation, la responsabilité et la sécurité.
En cas de réussite à l’examen, le candidat pourra alors bénéficier d’une certification DPO ayant une durée de validité de 3 ans.
Ainsi, alors que ces certifications ne sont pas obligatoires, elles seront un véritable tremplin pour les personnes voulant exercer la fonction de DPO leur permettant d’illustrer leur compétence et leur savoir-faire devant des sociétés pouvant être sceptiques quant à leur habilité à pleinement assurer une protection des données personnelles étant donné qu’aucun diplôme n’est requis pour devenir DPO, permettant d’attester la qualification de ce dernier.
Source : Site officiel de la CNIL