Dé­lé­gué à la pro­tec­tion des don­nées ( DPO) : une cer­ti­fi­ca­tion à la sauce Cnil

Une cer­ti­fi­ca­tion à la sauce Cnil

L'Informaticien - - SOMMAIRE - GUILLAUME PÉRISSAT

L’af­nor a re­çu l’agré­ment du ré­gu­la­teur pour la cer­ti­fi­ca­tion des com­pé­tences du Dé­lé­gué à la pro­tec­tion des don­nées ( DPO). Elle est la pre­mière à ob­te­nir le pré­cieux tam­pon du gen­darme des don­nées sen­sibles et per­son­nelles, re­père pour les en­tre­prises et preuve de leurs sa­voir- faire pour les DPO.

Fin juin, une étude du mi­nis­tère du Tra­vail li­vrait quelques sta­tis­tiques in­té­res­santes quant à la fonc­tion de DPO ( Da­ta Pro­tec­tion Of­fi­cer). Il en res­sor­tait no­tam­ment qu’un quart des ré­pon­dants à l’en­quête avait moins d’un an d’ex­pé­rience dans ce do­maine. Un ré­sul­tat somme toute lo­gique, le poste de DPO ayant été ins­tau­ré par le RGPD en mai 2018. D’au­tant qu’un tiers des DPO in­di­quait éprou­ver des dif­fi­cul­tés à maî­tri­ser cer­tains points du cadre lé­gal du RGPD. En ef­fet, 33 % des DPO en exer­cice n’ont eu au­cune for­ma­tion, quand 72 % de ceux et celles qui en ont re­çu une n’ont eu droit qu’à 1 à 5 jours de for­ma­tion. Au- de­là- de la for­ma­tion, se pose éga­le­ment la ques­tion de la va­lo­ri­sa­tion des com­pé­tences des DPO et autres ex­perts en pro­tec­tion des don­nées per­son­nelles. Avec 17 000 DPO contre 5 000 CIL au­pa­ra­vant, il pa­raît de plus en plus com­plexe pour les

en­tre­prises d’y voir clair, no­tam­ment dans la re­cherche d’un dé­lé­gué à la pro­tec­tion des don­nées ex­terne ou d’une pres­ta­tion de con­seil en la ma­tière ou de for­ma­tion.

Re­tra­duire le RGPD dans des si­tua­tions concrètes

Il existe bien des cer­ti­fi­ca­tions de com­pé­tences, mais l’agré­ment dé­li­vré par la Cnil à Af­nor Cer­ti­fi­ca­tion, le 4 juillet, est une étape im­por­tante. La branche éva­lua­tions et cer­ti­fi­ca­tions de l’or­ga­ni­sa­tion fran­çaise en charge de la nor­ma­li­sa­tion est en ef­fet la pre­mière à re­ce­voir, pour un par­cours de cer­ti­fi­ca­tion, la va­li­da­tion du gen­darme des don­nées per­son­nelles. Et pour cause : l’af­nor s’était en­ga­gée dès juin 2018 dans ce pro­jet d’agré­ment en éta­blis­sant une cer­ti­fi­ca­tion au­tour des 17 sa­voirs clés lis­tés par la Cnil pour la confor­mi­té au

RGPD. Outre le fait d’être ISO 17024 ( une norme in­ter­na­tio­nale de la cer­ti­fi­ca­tion des com­pé­tences des per­sonnes) et d’avoir l’ac­cré­di­ta­tion du Co­frac ( Co­mi­té fran­çais d’ac­cré­di­ta­tion), la so­cié­té « a dû four­nir toute l’or­ga­ni­sa­tion et le pro­ces­sus mis en place au­tour de cette cer­ti­fi­ca­tion de per­sonnes, y com­pris le conte­nu des exa­mens, à la Cnil qui les a vé­ri­fiés » , nous ap­prend Sé­ve­rine Mi­cheau, res­pon­sable de la cer­ti­fi­ca­tion de per­sonnes chez Af­nor Cer­ti­fi­ca­tion. « Il est as­sez rare dans la cer­ti­fi­ca­tion de per­sonnes d’avoir ce sys­tème, qui est pour­tant utile car il donne une lé­gi­ti­mi­té à la cer­ti­fi­ca­tion. »

Une ses­sion d’exa­men dure deux heures et prend la forme d’un QCM de cent ques­tions, dé­cli­nées au­tour de trois axes : ré­gle­men­taire, res­pon­sa­bi­li­té et me­sures tech­niques et opé­ra­tion­nelles pour la sé­cu­ri­té des don­nées. Mal­gré le for­mat de ques­tion­naires à choix mul­tiples, on est loin du ra­bâ­chage pur et simple des ar­ticles du Rè­gle­ment gé­né­ral sur la pro­tec­tion des don­nées ( RGPD). « On teste beau­coup la com­pré­hen­sion dans l’exa­men, on est dans des com­pé­tences clés au­tour

du sa­voir- faire, de la re­tra­duc­tion du cadre ré­gle­men­taire en si­tua­tion pra­tique, c’est notre ma­nière de ques­tion­ner » , ajoute Sé­ve­rine Mi­chaud. « L’ob­jec­tif de l’exa­men est d’éva­luer comment, au re­gard du RGPD, un can­di­dat ana­lyse une si­tua­tion et y ré­pond de ma­nière adé­quate. Il faut connaître le socle et sur­tout sa­voir comment le re­tra­duire : l’exa­men tourne moins au­tour de la connais­sance, qui est un pré­re­quis de toute fa­çon, qu’au­tour des sa­voir- faire et des com­pé­tences . » Oui, les ques­tions sont vrai­sem­bla­ble­ment des cas pra­tiques, mais mieux vaut connaître les bases du cadre ré­gle­men­taire. At­ten­tion, l’exa­men n’est pas ou­vert à tous : le can­di­dat doit jus­ti­fier d’une ex­pé­rience pro­fes­sion­nelle d’au moins deux ans en lien avec la pro­tec­tion des don­nées ou avoir sui­vi une for­ma­tion de 35 heures sur la pro­tec­tion des don­nées. Et si 35 heures de for­ma­tion pa­raît un peu court pour ab­sor­ber et com­prendre le conte­nu du RGPD, Sé­ve­rine Mi­cheau pré­cise que « pour l’ins­tant, ce ne sont pas des gens qui dé­barquent dans le mé­tier de DPO qui de­mandent la cer­ti­fi­ca­tion » .

Proof of Com­pe­tences

Mais ne sont pas seuls concer­nés les DPO in­ternes. La cer­ti­fi­ca­tion, va­lable pour trois ans, s’adresse éga­le­ment à leurs re­lais au sein de l’en­tre­prise, ain­si qu’à tous les ac­teurs qui vont y avoir un in­té­rêt, no­tam­ment les DPO ex­ternes. C’est pro­ba­ble­ment pour ces der­niers que l’agré­ment dé­li­vré par la Cnil à la cer­ti­fi­ca­tion de l’af­nor a le plus d’im­por­tance, puis­qu’elle en re­con­naît la confor­mi­té au ré­fé­ren­tiel éta­bli par le gen­darme des don­nées per­son­nelles. Un re­père en quelque sorte, pour ne pas dire un phare des­ti­né à gui­der les en­tre­prises. « Le fait d’avoir une cer­ti­fi­ca­tion de per­sonnes re­con­nue par la Cnil est un moyen pour les en­tre­prises de choi­sir leur DPO ex­terne, car elles peuvent craindre de faire ap­pel à un pro­fes­sion­nel qui ne soit pas com­pé­tent » , ex­plique la res­pon­sable de la cer­ti­fi­ca­tion de per­sonnes de l’af­nor. Quant au DPO in­terne, une cer­ti­fi­ca­tion ap­prou­vée par la Cnil re­pré­sente « un moyen de va­lo­ri­ser sa mis­sion, im­por­tante et com­pli­quée, qui n’est par­fois pas du tout la prio­ri­té des di­ri­geants ni même des opé­ra­tion­nels » . D’au­tant que, pour une en­tre­prise, un DPO cer­ti­fié peut ser­vir à ras­su­rer ses clients, en leur pré­sen­tant un tiers de confiance, de même que ses sa­la­riés sur le vo­let de la pro­tec­tion des don­nées per­son­nelles des col­la­bo­ra­teurs. ✖

Les pre­mières ses­sions d’exa­men ont dé­bu­té en juillet au siège de l’af­nor.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.