Certification des prestataires de formation à la protection des données : la CNIL publie un référentiel de critères

Une sensibilisation ou une formation est souvent utile pour découvrir ou mieux appréhender le RGPD. La formation des professionnels leur permet d’accompagner la mise en conformité au sein de leur organisme et d’aider à la sensibilisation des acteurs à la protection des données personnelles.

L’offre de formation professionnelle sur le thème de la protection des données personnelles s’est fortement enrichie depuis l’entrée en application du RGPD. L’obtention d’une certification basée sur le référentiel de la CNIL permet aux prestataires de formation d’obtenir une reconnaissance attestant de la qualité de la formation qu’ils délivrent dans ce domaine.

Une formation réalisée par un prestataire de formation certifié permet de s’appuyer sur les garanties qu’apportent le respect des critères du référentiel, à savoir :

• un socle d’aptitudes et de compétences défini par la CNIL ;
• un contenu très régulièrement mis à jour afin de prendre en compte l’actualité en matière de protection des données ;
• des intervenants mobilisés en fonction de leurs compétences et de leur capacité à répondre aux objectifs spécifiques de chaque formation (un secteur d’activité, une thématique ou un traitement de données personnelles en particulier, etc.).

Par exemple, les futurs candidats à la certification des compétences du délégué à la protection des données pourront librement choisir de s’orienter vers un prestataire de formation certifié pour effectuer la formation d’au moins 35 h. Une telle formation constitue en effet un prérequis lorsque le candidat ne dispose pas d’une expérience professionnelle d'au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du délégué à la protection des données.

Un mécanisme volontaire

La certification n’est pas obligatoire pour proposer une formation à la protection des données personnelles. Il s’agit d’un mécanisme volontaire permettant aux organismes de formation de justifier que leur prestation s’inscrit dans une logique de conformité au RGPD et à la loi Informatique et Libertés. Par ailleurs, les établissements d’enseignement supérieur bénéficient d’autres systèmes de reconnaissance.

Pour les organismes prestataires d'actions concourant au développement des compétences soumis à l’obligation d’une certification selon le référentiel national qualité (RNQ), il est prévu que ce certificat soit pris en compte lors de l’évaluation réalisée pour obtenir la certification de prestataires de formation à la protection des données.

Le contenu du référentiel

Le référentiel comporte près d’une trentaine de critères ayant pour objectif de démontrer la qualification du prestataire de formation à la protection des données. Ces exigences sont divisées en thématiques :

• les exigences générales ;
• l’information du public sur les formations proposées ;
• l’identification des besoins et des objectifs de formation ;
• la conception des formations ;
• la préparation et à l’adaptation des formations aux apprenants ;
• les conditions de réalisation des formations ;
• les compétences des intervenants ;
• le recueil des appréciations et la prise en compte des réclamations.

Il est accompagné d’un référentiel général d’aptitudes et de connaissances (les notions clés à maîtriser, les principes de la protection des données, les responsabilités des acteurs, le délégué à la protection des données et la mise en place de sources de veille).

Un guide de lecture accompagne également le référentiel afin de faciliter l’accès à la certification, notamment à partir d’exemples et de situations pratiques. Ce guide sera enrichi à partir du retour d’expérience des premières évaluations qui seront réalisées.

Comment déposer sa demande de certification ?

La publication des critères de certification constitue la première étape du lancement de la certification des prestataires de formation à la protection des données.

Les prestataires de formation qui souhaitent obtenir leur certification doivent se mettre en conformité avec les critères du référentiel pour préparer leur candidature. Ensuite, ils devront déposer leur candidature directement auprès d’un organisme certificateur agréé. La liste de ces organismes est publiée sur le site web de la CNIL.

Les organismes certificateurs doivent faire une demande d’accréditation auprès du Comité français d’accréditation (Cofrac) et démontrer leur conformité aux exigences du référentiel d’agrément de la CNIL conformément aux exigences d'accréditation du Cofrac. Une fois ces démarches d’accréditation réalisées auprès du Cofrac, les organismes certificateurs figureront dans la liste des organismes agréés publiée par la CNIL et pourront recevoir les premiers dossiers des candidats à la certification.

Les organismes certifiés

Consultez la liste des organismes de formation certifiés.