Certification des compétences du délégué à la protection des données : la CNIL révise le référentiel d’agrément des organismes de certification
Deux ans après la délivrance des premiers agréments en matière de certification des compétences du délégué à la protection des données, la CNIL a mené une consultation publique sur cet outil. Les contributions reçues ont mis en évidence la nécessité de modifier le référentiel d’agrément pour adapter la procédure d’obtention.
Le fonctionnement de la certification des compétences du délégué à la protection des données
La certification des compétences du délégué à la protection des données est un mécanisme volontaire, qui permet à une personne physique d’attester qu’elle répond aux exigences de compétences et de savoir-faire du délégué à la protection des données requis par le RGPD.
Comme prévu par la loi Informatique et Libertés, la CNIL ne délivre pas elle-même de certification délégué à la protection des données. Ce sont les organismes certificateurs, ayant obtenu un agrément de la CNIL, qui octroient cette certification.
Cet agrément est délivré sur la base d’un référentiel d’agrément, auquel la CNIL a apporté plusieurs modifications. Le principal changement apporté concerne les modalités d’obtention, par les organismes certificateurs, de cet agrément.
En revanche, les fondamentaux de la certification demeurent inchangés pour les candidats à la certification.
Ce qui change
- la procédure de demande d’agrément à réaliser auprès de la CNIL évolue :
- l’organisme de certification n’est plus tenu d’exercer préalablement une autre activité dans le domaine de la certification de personnes (exigence 1.1) ;
- il est dorénavant exigé de présenter une accréditation spécifique à la certification des compétences du délégué à la protection des données. Pour cela, un guichet dédié à cette démarche est disponible auprès du Cofrac (exigence 7.1) ;
- il est désormais possible de proposer aux candidats de passer l’épreuve de certification à distance (exigence 2.4 bis) ;
- l’obligation d’adresser à la CNIL le registre des personnes certifiées a été supprimée (le bilan annuel est maintenu) (exigence 8.1).
Ce qui ne change pas
- Les prérequis et les conditions d’obtention de la certification pour les candidats :
- justifier de 2 ans d’expérience professionnelle dans le domaine de la protection des données ou 2 ans d’expérience professionnelle dans tout domaine complétée de 35 heures de formation en protection des données
- obtenir 75 % de bonnes réponses à l’ensemble du questionnaire et 50 % de bonnes réponses dans chacun des 3 domaines ;
- les certifications délivrées : cette délibération n’a aucun impact sur les certifications déjà émises et en cours de validité ;
- les questionnaires de l’épreuve de certification : cette délibération n’a aucun impact sur les questionnaires qui ont déjà été évalués, ni sur les questionnaires qui sont en cours d’instruction ;
- la durée de validité des agréments délivrés par la CNIL (5 ans).