Les article 37 à 39 du Règlement général sur la protection des données définissent et réglementent la fonction de délégué à la protection des données. 

 

Conformément à la Loi Informatique et Libertés n° 78-17 du 6 janvier 1978, modifiée en juin 2018, la Commission nationale de l’informatique et des libertés dispose d’une compétence en matière de certification des personnes.

 

Le fonctionnement de la procédure de certification 

 

Le délégué à la protection des données (ci-après, le « DPO ») joue un rôle central dans la mise en conformité des traitements de données réalisés par les organismes qu’il accompagne. Il lui faut à ce titre des compétences particulières pour assumer convenablement sa fonction. La certification est alors l’un des moyens permettant de démontrer ses compétences.

 

La Commission nationale de l’informatique et des libertés (ci-après, la « Cnil ») définit la certification des compétences du DPO comme un « mécanisme volontaire permettant aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du délégué à la protection des données » prévues par le Règlement général sur la protection des données.

 

Toutefois, ce n’est pas la Cnil qui délivre la certification de DPO mais des organismes certificateurs agrées par la Cnil, conformément à la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée.

 

La Cnil a ainsi adopté, en septembre 2018, un référentiel d’agrément pour les organismes certificateurs. Ce référentiel prévoit des exigences à l’égard de ces organismes, et notamment la nécessité d’être accrédité par le Comité Français d'Accréditation.

Ces référentiels d’agrément ont par la suite été révisés.

 

Les changements apportés par la Cnil dans la procédure de certification 

 

Deux délibérations modificatives, du 6 octobre 2022 et du 13 avril 2023, ont été adoptées par la Cnil, portant sur la mise à jour des critères d'agrément des organismes de certification et des compétences des DPO.

 

Il est désormais possible de réaliser l'épreuve écrite d'évaluation des candidats à distance, à condition de respecter les règles relatives à la protection des données, notamment lors de la vérification de l'identité du candidat et pendant toute la durée de l'examen, conformément au 2)e) de la Délibération n° 2022-128 du 6 octobre 2022.

 

Les organismes de certification agréés doivent désormais informer la Cnil de toute modification substantielle de leur questionnaire d'évaluation, conformément au 2)g) de la Délibération n° 2022-128 du 6 octobre 2022.

 

Il est dorénavant exigé de présenter une accréditation spécifique à la certification des compétences du DPO, conformément au 2)k) de la Délibération n° 2022-128 du 6 octobre 2022.

 

 

Depuis le 1er janvier 2024, le certificat délivré doit porter le libellé suivant : « Certifié conformément au référentiel de certification des compétences du délégué à la protection des données de la Cnil », conformément au 1)b) de la Délibération n° 2023-062 du 13 avril 2023.

 

La Cnil révise également les modalités de l’épreuve de certification. 

L'épreuve prend la forme d’un questionnaire à choix multiple à 100 questions. Plusieurs disciplinessont abordées pendant l’épreuve et regroupent leurs propres questions. 30% des questions de chaque discipline s'exécutent comme un cas pratique. 

L’épreuve garantit l’anonymat des candidats pendant la correction. 

 

L’exigence 2.4 bis de la délibération du 6 octobre 2022 prévoit la possibilité pour les candidats de passer l’épreuve de certification à distance. 

 

Enfin, l’exigence 8.1 de la délibération du 13 avril 2023 dispose qu’il n’est plus nécessaire de transmettre à la Cnil le registre des personnes ayant obtenu la certification. 

 

La Cnil conserve cependant l’obligation du bilan annuel.

 

Les étapes inchangées de la procédure de certification 

 

Pour ce qui est des prérequis nécessaires à l’acquisition de la certification, la condition d’avoir 2 ans d’expérience professionnelle dans le domaine de la protection des données ou 2 ans d’expérience professionnelle dans tout domaine complétée de 35 heures de formation en protection des données estmaintenue. 

 

Est également maintenue, la condition de faire un score d’au moins 75 % de bonnes réponses sur tout le questionnaire, et de valider chacune des disciplines à 50 %.

 

En ce qui concerne le champ d’application de la révision, elle n’a pas d’effet sur les certifications qui existent déjà et sur celles en cours de validité.

 

En ce qui concerne la durée de validité des agréments qui sont transmis par la Cnil, elle reste fixée à 5 ans.