Les enjeux de la formation et de la certification du délégué à la protection des données 

Écrit par Alex Sauvegrain

Préambule  

À la suite de l’entrée en vigueur du RGPD en mai 2018, le DPO est devenu un acteur incontournable dans la mise en conformité d’une entreprise. La mise en place de mesures garantissant les compétences de ce dernier va permettre de garantir l’effectivité de la protection des données de manière globale.  

En effet, l’article 37 du RGPD dispose que la désignation d’un DPO est obligatoire dans certains cas, à savoir lorsque : 

  • le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle; 

  • les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;

  • ou les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions. 

Cette obligation inclut quasiment toutes les autorités publiques ainsi qu’un bon nombre d’entreprises. Il a donc été naturel que ces structures exigent de la part des DPO un niveau minimum permettant d’assurer une expertise en la matière. 

Le RGPD, par le biais de la section 5 du chapitre IV évoque la volonté des Etats membres, des autorités de contrôle, du comité et de la Commission d’encourager au niveau de l’union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière.  

La certification n’est pas obligatoire pour exercer les fonctions de DPO. Cette dernière n’est pas non plus exclusivement réservée aux DPO. C’est une étape émanant de la volonté d’un acteur qui souhaite obtenir une validation de ses connaissances en matière de protection des données qu’il pourra mettre en avant auprès des différentes personnes avec lesquelles il collaborera. Cette certification est valable pour une durée de 3 ans.  

Cet ensemble de dispositions ont fait en sorte que de nombreuses formations et certifications ont fait leur apparition, dispensées par pléthore d’organismes.  

Ces organismes garantissent le maintien d’un niveau minimum de compétences permettant de rassurer les structures faisant appel aux services d’un DPO.  

Cependant, compte tenu de la multiplicité de ces organismes, la qualité des formations/certifications peut présenter différents niveaux de qualité.  

Certains organismes ont obtenu un certain gage de la qualité du contenu de leur certification à la suite de leur reconnaissance par la CNIL. Cela se traduit par un agrément qui est délivré par l’autorité de contrôle. C’est le cas de 9 organismes que vous pouvez retrouver ici.  

Conditions d’accès 

Un candidat souhaitant accéder à l’épreuve pouvant mener à la certification doit remplir l’une des conditions préalables qui suit :  

  • Justifier d’une expérience professionnelle d’au moins 2 ans en lien avec la protection des données. Cela peut par exemple être le cas d’une personne ayant réalisé une année en tant qu’assistant DPO puis une autre année en tant que conseiller en protection des données ; 

  • Justifier d’une expérience professionnelle d’au moins 2 ans sans qu’elle ait eu un lien avec la protection des données ainsi que la complétion d’une formation d’au moins 35h en matière de protection des données personnelles 

Dans la deuxième hypothèse, le candidat a la liberté de choisir l’organisme de formation de son choix, certains organismes de certification ont fait le choix de référencer des formateurs. 

La formation et la certification vont permettre d’apporter des garanties quant au niveau de maîtrise des acteurs, cependant la multiplicité des offres de formation et de certification peut tendre à une perte de qualité. 

  1. La formation et la certification des DPO : des leviers permettant d’assurer la pérennité de la protection des données

    Ces dispositifs permettent de satisfaire à la fois les entreprises ainsi que les personnes réalisant une formation et/ou une certification DPO.  

    Les entreprises, lorsqu’elles recrutent un DPO, vont forcément être plus attirées par un profil pouvant apporter un gage direct de ses compétences plutôt que de devoir alourdir un processus de recrutement ou pire de devoir attendre que la personne démontre son savoir-faire directement sur le poste.  

    La formation peut concerner un ensemble d’acteurs clés à même d’avoir un impact quant au développement de l’acculturation des collaborateurs. La plupart des formations sont destinées aux dirigeants, Directeurs des Systèmes d’information, aux futurs pilote et DPO, anciens CIL Correspondants Informatique & Liberté, aux directeurs des ressources humaines, responsables de la sécurité des systèmes d’information, de la conformité au sein d’une organisation ainsi qu’aux consultants RGPD par exemple. 

    De plus, le DPO est amené à établir des liens avec des collaborateurs qu’ils soient en interne ou en externe, la certification est censée être un vecteur de confiance dans l’exercice de ses fonctions. C’est donc toute la structure qui est amenée à évoluer à la suite de la réalisation de ces formations ou du passage de cette certification.  

    Cela peut participer à développer un cercle vertueux en poussant les autres membres de la structure à entreprendre un tel projet et cela participera au développement d’une culture de la protection des données personnelles. Cela peut notamment être le cas des référents à la protection des données personnelles désignés en interne. Ils pourront faire bénéficier de leur expérience à l’ensemble de la structure dans laquelle ils évoluent. En diffusant l’ampleur de leurs connaissances acquises lors de la formation ou des révisions menant à la certification, ils participent à la montée en compétences des autres collaborateurs.  

  2. Une pertinence et une qualité disparate selon les organismes formateurs/certificateurs 

    Compte-tenu de la multiplicité des acteurs proposant des offres de formation ou de certification, le risque d’effectuer une formation qui n’est pas adaptée au poste envisagé ou qui est d’une qualité moindre qu’une autre est un point à prendre en compte.  

    Quelles sont les facteurs à prendre en compte et existe-t-il des mécanismes permettant d’assurer une offre de qualité ?  

    Dans le cadre des formations, on retrouve selon les organismes de formation plusieurs thématiques pouvant être abordées. Les formations n’étant pas liées au respect d’un référentiel ni à une procédure d’agrément, elles sont en réalité assez libres de la manière dont elle dispense ces formations.  

     
    La qualité de la formation va tout d’abord varier au niveau de la qualité des intervenants dans ladite formation. Un organisme ayant peu de ressources ne sera pas à même de faire intervenir des personnes du même statut et avec la même expérience qu’un organisme bien établi. Se diriger vers un organisme connu de tous et réalisant déjà d’autres formations permet de s’assurer du sérieux apporté dans le choix des intervenants. De plus, le fait que l’organisme de formation soit spécialisé dans la protection des données ou du moins dans les processus de conformité peut renforcer la confiance dans l’expertise de ce dernier.  

    Pour ce qui est des organismes faisant passer la certification DPO, il y a plus de possibilités pour s’assurer du sérieux de la structure. Tout d’abord la nécessité de passer par une procédure d’agrément et de se conformer à respecter un référentiel.  

    Tout d’abord, l’article 42 du RGPD conditionne l’agrément délivrée aux organismes souhaitant faire passer des certifications au référentiel relatif aux exigences d’agrément des organismes de certification pour les mécanismes de certification approuvés au titre de l’article 42 du RGPD.  

    Ensuite, l’article 43 du règlement général sur la protection des données informe de garanties mises en place dans la qualité des organismes. Notamment, la CNIL délivre des agréments à certains organismes qui sont actuellement au nombre de 9 comme exposé plus haut. Les organismes souhaitant pouvoir délivrer une certification doivent par conséquent répondre à un certain nombre de critères, ils doivent entre autres :  

    • démontrer, à la satisfaction de l'autorité de contrôle compétente, leur indépendance et leur expertise au regard de l'objet de la certification ; 

    • prendre l'engagement de respecter certains critères ;  

    • mettre en place des procédures en vue de la délivrance, de l'examen périodique et du retrait d'une certification, de labels et de marques en matière de protection des données; 

    • établir des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public ;  

    • démontrer, à la satisfaction de l'autorité de contrôle compétente, que leurs tâches et leurs missions n'entraînent pas de conflit d'intérêts. 

    L’ensemble de ces dispositifs, du fait des exigences posées qui sont nombreuses, crée un climat favorable à la confiance liée à ces organismes qui se voient délivrer un agrément. La qualité de l’offre est donc sécurisée et va permettre aux différents acteurs, qu’ils soient DPO ou qu’ils s’occupent du recrutement de ces derniers, de pouvoir être un gage de compétences.  

Alex Sauvegrain
Précédent

Violences domestiques et cybersurveillance : la charge de la preuve  
Suivant

Les lignes directrices du CEPD : les assistants virtuels vocaux