Connexion Pro

Conseils pour votre quotidien d'entrepreneur

RGPD : la certification de votre DPO

Six mois après l'entrée en vigueur du RGPD, seulement 16 % des entreprises concernées ont déclaré la nomination d'un délégué à la protection des données (DPO)(1). Une bonne raison pour vérifier que votre entreprise n'est pas soumise à cette obligation…

469036490

En 2019, tout DPO aura la possibilité de se faire certifier pour valider qu'il a bien toutes les compétences requises pour exercer sa mission.
© asiseeit/Istock

La mission du DPO (Data Protection Officer)

Le délégué à la protection des données (DPO) est un acteur clef du RGPD (règlement général sur la protection des données), entré en vigueur le 25 mai dernier.
Il est garant du fait que votre entreprise respecte bien ses nouvelles obligations. Sa mission principale consiste à conseiller, informer et faire des recommandations aux personnes chargées du traitement de l'information pour qu'elles appliquent bien toutes les règles de protection des données.

(1) : source : CNIL, bilan au 25 septembre 2018, soit 4 mois après l'entrée en vigueur du RGPD.

Qui est concerné ?

La nomination d'un DPO est obligatoire pour toutes les entreprises qui sont amenées à traiter des données personnelles :

  • les autorités et organismes publics ;
  • les activités induisant un suivi régulier et systématique des personnes à grande échelle.
  • et les activités traitant à grande échelle des données dites "sensibles" (comme par exemple les données liées à l'origine raciale, ethnique, aux convictions religieuses ou philosophiques, données génétiques, biométriques, ou celles relatives à des condamnations pénales, etc.).

La CNIL estime qu'environ 80 000 entreprises françaises sont concernées par cette obligation. Six mois après son entrée en vigueur, seulement 13 000 entreprises ont déclaré leur DPO, soit 16 % de la population concernée.

Quelles compétences le DPO doit-il avoir ?

Le DPO est un nouveau métier, ce qui rend les recrutements et l'évaluation de ses compétences plus compliqués. La CNIL vient de mettre au point un outil qui facilite les choses : un référentiel des 17 compétences clefs des DPO réparties en trois grands types de savoir-faire :

  • Savoirs organisationnels
    Le DPO doit pouvoir vous conseiller dans l'élaboration de procédures et politiques visant à protéger les données. Cela implique une bonne connaissance de la gouvernance des entreprises. Il doit aussi être en mesure de mener un audit de conformité et de manager les risques (évaluation, réduction, suivi).

  • Savoirs techniques et informatiques
    Il est en mesure d'exécuter les demandes de modification et d'effacement des données, est force de conseil pour la mise en place du "Privacy by design" (prise en compte du respect de la vie privée dès la conception des applications et produits) au sein de l'entreprise.

  • Savoirs juridiques
    Le DPO est expert en protection juridique et réglementaire des données personnelles. Il vous assiste dans l'élaboration des clauses de protection des données personnelles lors de la signature d'un contrat, il est l'interlocuteur de la CNIL et instruit les plaintes éventuelles.

Pourquoi recourir à un DPO certifié et comment procéder pour la certification ?

Dès 2019, votre DPO va pouvoir valider auprès d’organismes agréés par la CNIL qu'il a bien tous les savoir-faire requis pour exercer son métier.
La certification est une démarche volontaire du DPO, en tant que personne physique et non pas une démarche de l'employeur. Mais elle constitue indéniablement un plus pour votre entreprise.
Elle permet de vérifier que votre DPO dispose bien de toutes les compétences et savoir-faire requis pour ses missions et contribue à renforcer la confiance des fournisseurs, clients et salariés dans le sérieux de votre dispositif de protection des données.

Comment procéder ? Le DPO doit s'adresser à un organisme de certification agréé par la CNIL. La liste de ces organismes ne sera disponible qu'en 2019, ces derniers n'ayant pas encore obtenu l'agrément.
Le DPO obtiendra sa certification à la suite d'un examen, qui consiste dans un QCM d'au moins 100 questions, dont un tiers concerne des cas pratiques.

Pour être certifié, il doit réunir deux conditions :

  • Avoir deux ans d'expérience en lien avec la protection des données ou deux ans dans n'importe quel autre domaine, mais avec obligation de suivre une formation de 35 heures minimum à la protection des données.
  • Fournir 75 % de réponses exactes au QCM de 100 questions et 50 % de bonnes réponses dans trois domaines (règlement, responsabilité, sécurité).  

La certification est valable trois ans.

Pour en savoir plus sur la certification des compétences du DPO

Gare aux arnaques !

Attention ! Seuls les organismes de certification agréés par la CNIL sont habilités à délivrer des certifications. Une précision importante à apporter, car un grand nombre d'entreprises, notamment des PME et artisans commerçants, ont reçu courant 2018 des appels de sociétés proposant indument "une mise en conformité de leur entreprise au règlement européen sur la protection des données". La CNIL elle-même avait été obligée de mettre le holà en lançant des alertes "stop arnaque".

Source CNIL, communiqué du 07 novembre 2018

Que faire si votre DPO n'obtient pas la certification ?

Tout dépend de l'écart entre son niveau de compétence et les exigences du référentiel.

  • S'il est modéré, organisez avec lui sa montée en compétence, par le biais de formations ou d'échanges professionnels. La CNIL encourage pour sa part les DPO à participer à des groupes de travail par secteur d'activité ou géographique. Pour les plus petites entreprises, elle préconise également le partage de DPO.
  • S'il est trop important, reste la solution d'externaliser la totalité ou une partie des missions du DPO.

Voir les autres articles du dossier

Protéger vos données avec l’assurance Cyber-risques de MMA(1)

assurance-cyberattaque.jpg © SFIO_CRACHO/Shutterstock

Vol de données, hameçonnage, défaillances liées aux logiciels… Avec la multiplication des cyberattaques, protéger votre système informatique et les données de votre entreprise, devient nécessaire. Pour limiter au mieux les situations de blocage et de pertes financières liées  aux cyber-risques, bénéficiez(1) de garanties d’assurance adaptées.

Assurance Cyber-risques

(1) Nos prises en charge sont faites en application des garanties ou options souscrites et des conditions, limites, exclusions de garanties et du montant des franchises qui sont précisées dans les Conditions Générales, Conditions Particulières du contrat Assurance Cyber –Risques MMA.