Au Journal officiel a été publiée la délibération de la CNIL sur les « critères du référentiel de certification des compétences du délégué à la protection des données ». Ce référentiel permettra aux responsables de traitement d’évaluer rapidement le niveau des prestations offertes, comme le demande le règlement général sur la protection des données personnelles.
Selon l’article 37 du RGPD, le délégué à la protection des données est désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions » qui sont les siennes.
Pour espérer être certifié, le DPO devra déjà justifier d’une expérience de deux ans dans l’univers de la protection des données. Parmi les critères retenus, il aura ensuite à démontrer qu’il sait identifier la base juridique d’un traitement, « l'existence de transferts de données hors Union européenne » ou encore « élaborer et mettre en œuvre une politique ou des règles internes en matière de protection des données ». En tout, 17 exigences ont été définies par la CNIL.
Ces précieux sésames seront remis par des organismes de certification, qui eux même font l’objet d’un agrément. Au Journal officiel, un référentiel les concernant spécialement a été lui aussi publié au J.O. ce matin
Commentaires (6)
#1
Intéressant. Sauf erreur, je ne vois rien sur la date d’entrée en vigueur de ces critères de compétence, lesquels semblent entrer en vigueur dès aujourd’hui. Donc est-ce que cela veut dire que tous les DPO actuellement désignés, le sont de façon irrégulière faute d’avoir passer “l’examen” de compétence ? Ca pourrait être un beau bordel, néanmoins, le RGPD pose lui-même l’exigence de compétence et l’ex-G29 a déjà fixé l’an passé l’essentiel des critères de compétence.
Comme les critères doivent être revus sous deux ans, il serait bon qu’à cette occasion les DPO ne prouvant leurs compétences dégagent (au regard du nombre de guignols qui se disent DPO sur internet, faire le ménage me semble nécessaire).
Reste néanmoins à voir comment objectivement les organismes délivrant la certification fonctionnent; si c’est pour uniquement labelliser les copains ça peut être tout aussi néfaste que la situation actuelle.
#2
Attention, les critères sont une chose, mais les certifications une autre.
Pour l’instant, aucune certification existe. Il va falloir attendre encore quelques mois avant d’avoir une “Certifié DPO” autre que du “RGPD Ready”.
#3
J’espère que l’agrément de la CNIL sera solide, sinon on va encore voir fleurir des boites montées pour l’occasion, qui factureront 1000€ la journée pour se voir remettre un bout de papier sans valeur à la fin de la formation…
sur la base de ses qualités professionnelles et, en
particulier, de ses connaissances spécialisées du droit
expérience de deux ans dans l’univers de la protection des données
Ca veut tout et rien dire… Faut-il forcément avoir une formation en droit ? Et quel droit ? (pas sûr qu’un notaire ou un huissier fasse l’affaire…)
Je ne connais pas grand-chose qui fait du droit de formation, et a une expérience dans la protection de données… Les deux domaines sont assez éloignés, il suffit de voir les pignoufs qui répondent quand on fait une demande de rectification/suppression de données !
#4
#5
#6
Celles qui existent déjà n’ont pas l’agrément de la CNIL. Mais c’est vrai que l’ancienneté n’est pas un gage de sérieux.