[Clôturée] Certification des compétences du DPO : la CNIL lance une consultation publique pour mettre à jour ses référentiels

Qu’est-ce que la certification des compétences du DPO ?

La certification des compétences du DPO est un mécanisme volontaire permettant à tout professionnel de justifier qu’il répond aux exigences de compétences et de savoir-faire du DPO prévues par le RGPD. Acteur clé de la conformité au RGPD, le DPO doit en effet disposer notamment de connaissances spécialisées du droit et des pratiques en matière de protection des données. Le certificat constitue un vecteur de confiance à la fois pour l’organisme faisant appel à ces personnes certifiées mais également pour ses usagers, clients, fournisseurs, agents ou salariés.

La certification des compétences du DPO n’est pas obligatoire pour exercer le métier de délégué à la protection des données. Inversement, il n’est pas exigé d’être désigné en tant que délégué pour être candidat à la certification des compétences du DPO.

Comment fonctionne l’agrément des organismes certificateurs par la CNIL ?

Depuis le 20 septembre 2018, la CNIL peut agréer des organismes en vue de délivrer la certification des compétences du délégué à la protection des données (DPO). Ce dispositif repose sur deux référentiels complémentaires :

• un référentiel de certification qui fixe notamment les conditions de recevabilité des candidatures et la liste des 17 compétences et savoir-faire attendus pour être certifié en tant que DPO ;
• un référentiel d’agrément qui fixe les critères applicables aux organismes qui souhaitent être habilités par la CNIL à certifier les compétences du DPO sur la base du premier référentiel.

À ce jour, 9 organismes de certification ont été agréés par la CNIL.

Pourquoi faire une consultation sur ces deux référentiels ?

Ces deux référentiels sont en vigueur depuis septembre 2018. Ils prévoient une évaluation dans les deux ans après leur entrée en vigueur.

La consultation contribue au processus d’évaluation pour décider s’il est nécessaire d’adapter les exigences.

À qui s’adresse cette consultation ?

Cette double consultation s’adresse :

• aux organismes de certification ;
• aux personnes certifiées ou candidates ;
• aux responsables de traitement ou sous-traitants ;
• aux associations professionnelles.

Quel est le périmètre de cette consultation ?

Concernant le référentiel de certification des compétences du DPO, la CNIL souhaite principalement recueillir l’avis des contributeurs sur les exigences suivantes :

• les conditions préalables à remplir par le candidat à la certification (exigence 1.1 du référentiel) ;
• les compétences et savoir-faire à évaluer dans le cadre de l’épreuve écrite (2.1 à 2.17).

Concernant le référentiel d’agrément, la CNIL invite notamment les contributeurs à donner leur avis sur les exigences suivantes :

• le candidat à l’agrément (exigences 1.1 et 1.2 du référentiel) ;
• l’épreuve écrite permettant d’évaluer le candidat à la certification (2.1 à 2.9) ;
• la délivrance de la certification (3.1 à 3.5) ;
• les conditions de renouvellement de la certification (4.1) ;
• le matériel d’évaluation en lien avec le référentiel de certification (5.1) ;
• l’invitation d’un représentant de la CNIL au comité de certification (6.1) ;
• les documents à fournir par le candidat à la certification (7.1) ;
• les éléments à fournir de manière régulière ou à la demande de la CNIL (8.1 et 8.2) ;
• le contenu du programme de l’évaluation écrite (annexe).

Quel est le calendrier de cette consultation ?

La consultation a pris fin le 6 janvier 2021.