Certification DPO

(Data Protection Officer)

Le DPO a été créé par publication du  Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (en abrégé : RGPD) relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). En effet :

  • Le RGPD spécifie dans son « considérant » numéro (77) : « Des directives relatives à la mise en oeuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l’identification du risque lié au traitement, leur évaluation en termes d’origine, de nature, de probabilité et de gravité, et l’identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d’indications données par un délégué à la protection des données.« 
  • Le RGPD précise en Section 4 Articles 37, 38 et 39, la désignation, les fonctions et les missions du DPO.

Experts

  • Maître Yoann SIBILLE avocat au Barreau de Versailles, expert en droit du Numérique et des données personnelles
  • Romain LEBLOND juriste expert en droit du Numérique et des données personnelles
  • Benjamin KORNHAUSER expert sécurité des systèmes d’information
  • Anouar JAOUHARI expert sécurité des systèmes d’information

Le programme de certification DPO résulte des travaux menés à l’été 2017 par un groupe d’experts, qui ont abouti à un « tronc commun » DPO Foundation définissant le premier niveau d’une certification de compétences DPO, caractérisée par la connaissance des fondamentaux en matière de protection des données personnelles :

  • Connaissance des définitions et de la terminologie RGPD
  • Connaissance générale des exigences du RGPD
  • Connaissance des fonctions et missions du DPO
  • Connaissance des méthodes et outils nécessaires au DPO

Le schéma de certification DPO positionne 2 métiers principaux appuyés sur ce tronc commun :

Le DPO possédant l’intégralité des compétences décrites aux articles 38 et 39 du RGPD

Le DPO Auditor, dont le rôle sera de contrôler le respect des règles du RGPD dans l’entreprise évaluée

  • Nota 1 : DPO Foundation ne prétend pas répondre exhaustivement aux exigences exprimées aux articles 37 38 et 39 du RGPD concernant le Délégué à la Protection des données.
  • Nota 2 : DPO au niveau 2 de la filière Conseil Assistance est une dénomination temporaire permettant simplement de montrer qu’il répond à la satisfaction des exigences du RGPD concernant le Délégué à la Protection des données. D’autres dénominations pourront être étudiées (par exemple DPO-Compliant, DPO-RGPD … ou autres) mais cela ne change en rien son contenu.
  • Nota 3 : La fonction de DPO ayant été créée par le Droit de l’UE, les connaissances de base à certifier s’appuient uniquement sur le Règlement européen. Les autres niveaux de certification permettront d’approfondir et d’adapter en fonction des législations nationales respectives
  • Nota 4 : La fonction de DPO ayant été créée récemment et n’ayant pas pu encore être mise en pratique, aucune jurisprudence n’est disponible, par nature. Ceci rend donc obligatoire une mise à jour régulière de cette certification.
  • Nota 5 : De manière générale, il est précisé que le Règlement lui-même prévoit que des dispositions de droit interne à venir pourront éventuellement adapter, limiter l’effet de certaines dispositions (ex : article 23) ou au contraire les élargir (exemple : les cas de désignation du DPO). Ceci rend donc obligatoire une mise à jour régulière de cette certification.

Certification de niveau 1 : DPO Foundation

Le niveau DPO Foundation constitue le tronc commun de connaissances partagées par tous les métiers du schéma de certification DPO. Ce n’est pas un métier en soi, cependant l’ensemble des savoirs qu’il regroupe permet de le certifier. La certification « DPO Foundation » répond ainsi au besoin de garantir que, malgré des métiers d’origine et des expériences professionnelles très différentes, les candidats à la fonction de DPO tel qu’exigé par le RGPD ont atteint un niveau de connaissances suffisant pour contribuer ou collaborer à cette fonction, dans l’attente de passer une certification DPO ou DPO Auditor. C’est donc un prérequis exigé pour être candidat à une évaluation de niveau 2 dans le schéma de certification DPO. La certification DPO Foundation atteste de la capacité de son titulaire à être partie prenante d’activités dévolues au DPO défini par le RGPD, sous forme d’exécution de tâches, d’interlocution et de contribution à des projets ou tâches qui lui sont spécifiés. La personne exécutant les activités décrites sous la dénomination « DPO Foundation » contribue aux activités du DPO telles qu’exigées par le RGPD, sans pouvoir occuper un poste de DPO.

Retour sur les fondamentaux réglementaires …. L’exécution par le DPO d’activités relatives à la protection des données personnelles au sens du référentiel origine nécessite des compétences particulières ciblées par les extraits du RGPD suivants :
Article 37 Désignation du délégué à la protection des données
5. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.
Article 39 Missions du délégué à la protection des données
1. Les missions du délégué à la protection des données sont au moins les suivantes :
a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données;
b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant;
c) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35;
d) coopérer avec l’autorité de contrôle;
e) faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.
2. Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.