Afin de permettre l’identification des compétences et savoir-faire du délégué à la protection des données (DPO), la CNIL vient d’adopter deux référentiels.
La Cnil a d’abord adopté un référentiel de certification qui fixe notamment les conditions de recevabilité des candidatures – expérience professionnelle et formation – et la liste des compétences et savoir-faire attendus pour être certifié en tant que DPO. La Cnil liste 17 compétences comme sa capacité à identifier la base juridique d’un traitement ou sa participation à l’identification des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement. La certification est valable 3 ans.
La CNIL ne délivrera pas elle-même de certification DPO. Cette dernière passera par un organisme dédié et agréé par la Cnil. L’autorité a ainsi fixé les critères applicables aux organismes qui souhaitent être habilités par ses soins à certifier les compétences du DPO sur la base du référentiel de certification. Les organismes certificateurs peuvent dès maintenant déposer une demande d’agrément auprès de la CNIL (modalités décrites dans les FAQ).
Une certification et un agrément qui ne sont pas obligatoires
La Cnil précise que la certification n’est pas « obligatoire » pour exercer les fonctions de délégué à la protection des données, ni pour être désigné auprès d’elle. Mais elle ajoute que « le certificat constitue un vecteur de confiance à la fois pour l’organisme faisant appel à ces personnes certifiées mais également pour ses clients, fournisseurs, salariés ou agents. » De même, l’agrément de la CNIL n’est obligatoire que pour les organismes qui souhaitent délivrer une certification DPO sur la base de son référentiel élaboré. « Cela signifie que tout organisme peut néanmoins certifier des DPO sur la base de son propre référentiel de certification, non approuvé par la CNIL, comme c’est déjà le cas aujourd’hui. »
La Cnil précise que ce dispositif fera l’objet d’une possible adaptation dans un délai de deux ans, mais sans incidence sur les certifications ou les agréments qui auront déjà été délivrés.
