Localtis

RGPD - La Cnil ouvre la voie à la certification des délégués à la protection des données

Publié le
par
Lucas Boncourt
dans

Emploi

Sécurité

Les collectivités vont bientôt pouvoir recourir à des délégués à la protection des données certifiés. L'épreuve de certification, réalisée par des organismes habilités par la Cnil, prendra la forme de questionnaires à choix multiples autour de 17 thématiques.  

La Cnil a ouvert la voie à la certification des délégués à la protection des données (DPD) dont la désignation est obligatoire par tous les organismes traitant des données personnelles depuis l’entrée en vigueur du RGPD le 25 mai dernier. Cette certification Cnil, rendue possible par la nouvelle rédaction de la loi informatique et liberté, repose sur deux référentiels publiés au journal officiel du 11 octobre 2018. "La certification, précise la Cnil, n’est pas obligatoire pour exercer les fonctions de DPD. Ce n’est pas non plus un préalable nécessaire à la désignation auprès de la Cnil. Inversement, il n’est pas exigé d’être désigné en tant que délégué pour être candidat à la certification des compétences du DPD". Néanmoins, face à une multiplication des arnaques au RGPD, cette certification est très attendue par les responsables de traitement.

Le DPD devra maîtriser des connaissances juridiques et opérationnelles

Concrètement, les DPD devront maîtriser 17 compétences et savoir-faire listés dans un référentiel élaboré avec les associations du secteur. Au-delà des principes (légalité du traitement, limitation des finalités, minimisation des données collectées…) les candidats au DPD devront connaître parfaitement le cadre juridique de l’expression du consentement, l’exercice du droit d’accès et les problématiques de sous-traitance… Ils devront être en capacité de réaliser un audit, de tenir à jour un registre des traitements, d’identifier les mesures de sécurisation ad ’hoc comme de sensibiliser le personnel. Enfin, ils devront pouvoir identifier les traitements nécessitant une analyse d’impact et gérer les relations avec les autorités de contrôle.

Une certification préalable des organismes

Le second référentiel porte sur les organismes certificateurs, la Cnil ne délivrant pas directement de certification. Dans l’attente d’un programme d’accréditation conçu avec le COFRAC, la Cnil demande aux organismes candidats de respecter la norme ISO/CEI 17024:2012 concernant la certification de personnes. Le référentiel précise que les organismes devront sélectionner les candidats sur la base d’un questionnaire à choix multiples d’au moins 100 questions. 50% traiteront de la réglementation générale, 30%, de la responsabilité, 20% des mesures techniques et organisationnelles. L’organisme certifié sera habilité pour trois ans et devra tenir à jour un registre des personnes certifiées, actualisé tous les six mois.
L’arrivée des premiers DPD certifiés Cnil n’est pas pour tout de suite. Le préalable est en effet la certification des organismes chargés de les sélectionner. En attendant, les collectivités peuvent recourir à des DPD labellisés par des associations comme l’IAPP ou se rendre sur "la place de marché RGPD" créée par l’AFCDP.

Premier bilan du RGPD
Au 25 septembre, selon un premier bilan publié par la Cnil, 24.500 organismes avaient désigné un délégué à la protection des données, personnes physiques ou morales, soit 13.000 DPD, contre 5.000 correspondants informatique et libertés avant le RGPD. La commission a enregistré plus de 600 notifications de violations de données concernant environ 15 millions de personnes depuis le 25 mai. On notera par ailleurs que la Cnil a mis à jour  les fiches pratiques concernant les collectivités territoriales
 

 

Haut de page