Pour gérer vos consentements :

RGPD : la Cnil ouvre vraiment la voie à la certification des DPO

Décisions individuelles automatisées, consentement des mineurs, droit à la réparation… Autant d’éléments sur lesquels les candidats à la certification de DPO sont susceptibles d’être interrogés.

La certification en question est celle basée sur les référentiels que la Cnil a adoptés en date du 20 septembre 2018.

Les délibérations de la commission ont été publiées ce jeudi 11 octobre au Journal officiel.

Les deux référentiels en annexe couvrent respectivement la certification des compétences du DPO et l’agrément des organismes habilités à délivrer cette certification.

Le mécanisme est dit « volontaire » au sens où il ne conditionne pas l’exercice du DPO (délégué à la protection des données personnelles).

Ce dernier est chargé de mettre en œuvre, au sein de l’organisme qui l’a désigné, la conformité vis-à-vis du RGPD. Sa désignation est obligatoire pour les autorités ou les organismes publics. Elle l’est aussi pour ceux amenés à traiter des données dites « sensibles » et/ou à « réaliser un suivi régulier et systématique des personnes à grande échelle ».

Des QCM pour les DPO

La Cnil liste 17 compétences et savoir-faire attendus.

Il y a d’abord la connaissance de principes : licéité du traitement, limitation des finalités, exactitude des données…

Ensuite, les capacités d’identification : base juridique d’un traitement, existence de transferts hors UE, violation de données personnelles nécessitant une notification à l’autorité de contrôle…

Enfin, l’aptitude à prendre des mesures : élaboration et mise en œuvre de règles internes, organisation et participation à des audits, réalisation de programmes de formation et de sensibilisation du personnel…

Ces compétences seront évaluées par le biais d’un QCM d’au moins 100 questions. 50 % traiteront de la réglementation générale ; 30 %, de la responsabilité : 20 %, des mesures techniques et organisationnelles.

L’épreuve sera considérée comme réussie si au moins 75 % des réponses sont exactes, avec un score minimum de 50 % dans chacun des trois domaines.

Les candidats à la certification devront posséder au moins deux ans d’expérience professionnelle. Soit dans des projets, activités ou tâches en lien avec les missions du DPO, soit dans un autre secteur, auquel cas il faudra avoir suivi une formation d’au moins 35 h en matière de protection des données personnelles.

Pour ce qui est des organismes certificateurs, ils devront être accrédités ISO/CEI 17024:022 (« Évaluation de la conformité – Exigences générales pour les organismes de certification procédant à la certification de personnes) dans un domaine existant.

Il leur faudra, en plus d’un rapport annuel, communiquer, tous les six mois à compter de la délivrance de l’agrément, les statistiques de réussite de l’épreuve écrite. Ainsi que le registre actualisé des personnes certifiées DPO (valable trois ans).

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

2 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago