La loi Informatique et libertés modifiée par la loi du 20 juin 2018 a étendu les pouvoirs de la CNIL, en lui allouant notamment une compétence pour élaborer des référentiels de certification et d’agrément.
L’adoption de référentiels concernant le DPO a été précédé d’une consultation publique, ayant réuni des DPO, des responsables de traitement et sous-traitants de divers secteurs d’activité (banque, secteur public, santé, éditeur de logiciels,…) et d’organismes de certification existants, afin de mieux connaître les attentes des professionnels.
Cette démarche a abouti à l’adoption de deux référentiels.
I – Le référentiel de certification des DPO
Il convient de préciser que la certification n’est pas obligatoire pour exercer les fonctions de délégué à la protection des données, mais constitue un gage de compétence et de savoir-faire au regard du Règlement général sur la protection des données. Il s’agit donc d’un atout concurrentiel et d’un vecteur de confiance, non seulement pour l’organisme pour lequel le DPO est désigné, mais également pour les clients et partenaires économiques de cet organisme.
Le référentiel de certification exige tout d’abord un minimum de qualifications préalable pour délivrer la certification. Ainsi, le candidat doit remplir l’une des deux conditions suivantes :
– justifier d’une expérience professionnelle d’au moins deux ans dans des projets, activités ou tâches en lien avec les missions du DPO s’agissant de la protection des données personnelles ; ou
– justifier d’une expérience professionnelle d’au moins deux ans ainsi que d’une formation d’au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation.
Si ces prérequis sont acquis, le candidat sera évalué aux termes d’une épreuve écrite, pour vérifier qu’il connaît bien les obligations résultant du Règlement général sur la protection des données et sait les mettre en oeuvre. La liste exhaustive des compétences et du savoir-faire ainsi requis est présentée en Annexe de la délibération n°2018-318 du 20 septembre 2018, soit :
– le candidat connaît et comprend les principes de licéité du traitement, de limitation des finalités, de minimisation des données, d’exactitude des données, de conservation limitée des données, d’intégrité, de confidentialité et de responsabilité ;
– le candidat sait identifier la base juridique d’un traitement ;
– le candidat sait déterminer les mesures appropriées pour recevoir et gérer les demandes d’exercice des droits des personnes concernées ;
– (…)
La CNIL a entendu déléguer la délivrance de certifications à des organismes de certificateurs, qui devront être préalablement agréés par elle.
II – Le référentiel d’agrément des organismes de certification
Un second référentiel a donc été adopté par la CNIL, pour préciser les conditions d’agrément des organismes qui souhaitent délivrer des certifications de DPO.
Dans l’attente de l’élaboration d’un programme d’accréditation spécifique portant sur la certification de DPO avec le COFRAC, les organismes certificateurs candidats à l’agrément de la CNIL devront être agréés par un organisme d’accréditation au regard de la norme ISO/CEI 17024 :2012 « Evaluation de la conformité – Exigences générales pour les organismes de certification procédant à la certification des personnes ».
Le fonctionnement de ce dispositif fera l’objet, au plus tard dans un délai de deux ans à compter de son entrée en vigueur, d’une évaluation en vue d’adapter, le cas échéant, les exigences des référentiels.
A noter que l’agrément de la CNIL n’est obligatoire que pour les organismes qui souhaitent délivrer des certifications de DPO fondées sur le référentiel adopté par la CNIL. Tout organisme peut toutefois certifier un DPO sur la base de son propre référentiel de certification.
Il conviendra donc d’attendre que les premiers organismes soient agréés par la CNIL, avant qu’un DPO en exercice puisse obtenir une certification approuvée par la CNIL.
Virginie PERDRIEUX
Vivaldi-Avocats
