Les risques les plus inquiétants pour les entreprises en 2019

La CNIL accroît son rôle dans la mise en place du RGPD et la certification des DPO

La CNIL lance une procédure sur deux référentiels pour accélérer les processus de certifications des DPO : d’abord une certification des compétences du délégué à la protection des données et ensuite un agrément des organismes habilités à délivrer cette certification.

 

La Commission Nationale de l’Informatique et des Libertés, ou CNIL, joue un rôle de plus en plus prépondérant en matière d’accompagnement des personnes à la fonction de DPO ou Data Protection Officer, nouveau métier créé depuis l’entrée en vigueur du RGPD en mai dernier. Ces délégués à la protection des données personnelles vont désormais être certifiés pour légitimer la bonne application du règlement.

 

La CNIL accélère les processus de certifications des DPO

Depuis la mise en œuvre du RGPD, la CNIL souhaite accélérer les processus de certifications de DPO. Chargés de mettre en place la conformité de leur entreprise vis-à-vis du règlement, ces délégués sont obligatoires pour les autorités et les organismes publics mais également pour les entreprises qui traitent de données sensibles. La CNIL a donc lancé une procédure de certification sur deux référentiels : le premier couvre la certification des compétences du DPO et le second l’agrément des organismes habilités à délivrer cette certification.

 

Les DPO devront remplir certaines conditions pour être certifiés

Pour pouvoir prétendre à la certification des compétences du DPO, ceux-ci devront justifier d’au moins deux ans d’expérience professionnelle dans des projets ou activités en lien avec les missions du DPO ou dans un autre secteur si les candidats ont suivi une formation d’au moins 35 heures sur la protection des données personnelles. La CNIL liste également 17 compétences et savoir-faire attendus : les principes de base tels que la légalité du traitement des données, l’exactitude des données ; des mesures de responsabilité comme la base juridique d’un traitement ; et enfin l’aptitude à agir, comme l’élaboration et la mise en œuvre des règles internes. Les sujets sont ensuite évalués grâce à un questionnaire à choix multiple et la certification, valable pendant 3 ans, est accordée dès lors que 75 % des réponses au test sont exactes.

 

La certification DPO sera délivrée par des organismes agréés et non par la CNIL

Cette certification des DPO ne sera pas délivrée directement pas la CNIL. Il faudra en effet passer par des organismes certificateurs agréés, dans l’attente de l’élaboration d’un programme d’accréditation spécifique. Les organismes doivent être agréés au regard de la norme ISO/CEI 17024 :2012. Les entreprises peuvent cependant délivrer une certification DPO sur la base du référentiel élaboré par la CNIL, ou encore sur la base de leur propre référentiel de certification non approuvé par la CNIL, comme c’est déjà le cas aujourd’hui.

 

#TransfoNum #RGPD #DataProtection #CDCArkhineoNEWS