Connexion Pro

Conseils pour votre quotidien d'entrepreneur

RGPD : la certification de votre délégué à la protection des données (DPO)

Plus de trois ans après l'entrée en vigueur du RGPD (règlement général sur la protection des données), la CNIL (Commission nationale de l’informatique et des libertés) recense près de 25 500 délégués à la protection des données (DPO)(1). Une désignation qui peut être obligatoire pour certaines entreprises.

469036490

Depuis 2019, tout DPO a la possibilité de se faire certifier pour valider qu'il a bien toutes les compétences requises pour exercer sa mission.
© asiseeit/Istock

La mission du DPO (Data Protection Officer)

Le délégué à la protection des données (DPO) est un acteur clé du RGPD, entré en vigueur le 25 mai 2018.
Il est garant du fait que votre entreprise respecte bien ses obligations. Sa mission principale consiste à conseiller, informer et faire des recommandations aux personnes chargées du traitement de l'information pour qu'elles appliquent bien toutes les règles de protection des données. Le DPO est également le point de contact avec la CNIL. 

Qui est concerné ?

La nomination d'un DPO est obligatoire pour toutes les entreprises qui sont amenées à traiter des données personnelles :

  • Les autorités et organismes publics ;
  • Les activités induisant un suivi régulier et systématique des personnes à grande échelle ;
  • Et les activités traitant à grande échelle des données dites "sensibles" (comme les données liées à l'origine raciale, ethnique, aux convictions religieuses ou philosophiques, données génétiques, biométriques, ou celles relatives à des condamnations pénales, etc.).

En 2018, la CNIL estimait qu'environ 80 000 entreprises françaises étaient concernées par cette obligation. En 2020, près de 25 500 DPO étaient déclarés auprès de la CNIL(1).

(1) Source : La CNIL en bref, 2021.

Quelles compétences le DPO doit-il avoir ?

Le DPO est un métier récent, en cours de structuration, ce qui rend les recrutements et l'évaluation de ses compétences plus compliqués. La CNIL a mis au point un outil qui facilite les choses, à savoir un référentiel des 17 compétences clés des DPO réparties en trois grands types de savoir-faire :
 

  • Savoirs organisationnels
    Le DPO doit pouvoir vous conseiller dans l'élaboration de procédures et politiques visant à protéger les données. Cela implique une bonne connaissance de la gouvernance des entreprises. Il doit aussi être en mesure de mener un audit de conformité et de manager les risques (évaluation, réduction, suivi) ;
     
  • Savoirs techniques et informatiques
    Il est en mesure d'exécuter les demandes de modification et d'effacement des données, est force de conseil pour la mise en place du "Privacy by design" (prise en compte du respect de la vie privée dès la conception des applications et produits) au sein de l'entreprise ;
     
  • Savoirs juridiques
    Le DPO est expert en protection juridique et réglementaire des données personnelles. Il vous assiste dans l'élaboration des clauses de protection des données personnelles lors de la signature d'un contrat, il est l'interlocuteur de la CNIL et instruit les plaintes éventuelles.

Pourquoi recourir à un DPO certifié et comment procéder pour la certification ?

Depuis 2019, votre DPO peut valider auprès d’organismes agréés par la CNIL qu'il a bien tous les savoir-faire requis pour exercer son métier.
La certification est une démarche volontaire du DPO, en tant que personne physique et non pas une démarche de l'employeur. Elle n’est pas obligatoire, mais elle constitue indéniablement un plus pour votre entreprise.
Elle permet de vérifier que votre DPO dispose bien de toutes les compétences et savoir-faire requis pour ses missions et contribue à renforcer la confiance des fournisseurs, clients et salariés dans le sérieux de votre dispositif de protection des données.

Comment procéder ? Le DPO peut s'adresser à un organisme de certification agréé par la CNIL. La liste de ces organismes est disponible sur le site de la CNIL. On trouve notamment :

  • LSTI ;
  • PECB ;
  • Afnor Certification ;
  • Bureau Veritas Certification France ;
  • Apave Certification…

Le DPO obtiendra sa certification à la suite d'un examen, qui consiste dans un QCM d'au moins 100 questions, dont un tiers concerne des cas pratiques.

Pour être certifié, il doit réunir deux conditions :

  • Avoir deux ans d'expérience en lien avec la protection des données ou deux ans dans n'importe quel autre domaine, mais avec obligation de suivre une formation de 35 heures minimum à la protection des données ;
  • Fournir 75 % de réponses exactes au QCM de 100 questions et 50 % de bonnes réponses dans chacun des trois domaines (règlement, responsabilité, sécurité).  

La certification est valable trois ans.

Pour en savoir plus sur la certification des compétences du DPO

Gare aux arnaques

Attention : un grand nombre d'entreprises, notamment des PME et artisans commerçants, reçoivent depuis 2018 des appels de sociétés proposant indûment "une mise en conformité de leur entreprise au règlement européen sur la protection des données". La CNIL est obligée régulièrement de lancer des alertes à ce sujet.

Source : CNIL, communiqué du 17 juin 2021

Que faire si votre DPO n'obtient pas la certification ?

Tout dépend de l'écart entre son niveau de compétence et les exigences du référentiel :

  • S'il est modéré, organisez avec lui sa montée en compétence, par le biais de formations ou d'échanges professionnels. La CNIL encourage pour sa part les DPO à participer à des groupes de travail par secteur d'activité ou géographique. Pour les plus petites entreprises, elle préconise également le partage de DPO ;
  • S'il est trop important, vous pouvez externaliser la totalité ou une partie des missions du DPO auprès d’un organisme tiers (agence de consulting spécialisée ou DPO indépendant). Vous pouvez également mutualiser votre DPO avec une ou plusieurs autres sociétés, si les conditions le permettent. Le DPO, s’il est désigné par un groupe d’entreprises, doit être en mesure d’être joignable par tous les établissements et de communiquer efficacement avec les personnes concernées dans chaque entreprise.

Voir les autres articles du dossier

MMAPRO_Fraude-en-entreprise_s.jpg
Fraude en entreprise : comment s’en protéger et réagir ?

La fraude en entreprise est un risque bien réel, dont le nombre de tentatives a explosé avec la pandémie de Covid-19 et la digitalisation des échanges. Toutes les entreprises peuvent être concernées, quelles que soient leur taille ou leur secteur d’activité. Comment vous en prémunir et adopter le bon comportement...

MMAPRO_rgpd-sous-traitance.jpg
RGPD : avez-vous pensé à vos sous-traitants ?

François Carlach, expert juridique MMA, précise vos responsabilités dans le cadre du RGPD si vous sous-traitez la gestion des données personnelles de vos clients.

MMA_RGPD_s.jpg
Données personnelles et RGPD : la FAQ des pros et entreprises

Entré en application le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) renforce la responsabilité des entreprises en matière de traitement des données personnelles. Comment l’appliquer et vous mettre en conformité ? MMA a recensé les principales questions que vous vous posez sur cette législatio...

Coffee store owners working with laptop indoors
Rédiger sa politique de confidentialité : un exercice obligatoire pour les sites e-commerce

Depuis la mise en place du Règlement général sur la protection des données (RGPD), tous les sites e-commerce doivent informer les internautes de l'utilisation de leurs données personnelles. Cette information prend la forme d'une charte de confidentialité qui doit être facilement accessible aux utilisateurs. Quelles...

> Voir tous les sujets de la thématique

.

© SFIO_CRACHO/Shutterstock
Assurance cyber-risques MMA :
Protégez votre entreprise !

La dématérialisation des procédures - due à l'essor du télétravail - expose vos collaborateurs et votre entreprise à de nouveaux risques : vol de données, hameçonnage, défaillances liées aux logiciels. Avec l’assurance Cyber-Risques MMA, vous bénéficiez de garanties d’assurance adaptées(1).

(1) Nos prises en charge sont faites en application des garanties ou options souscrites et des conditions, limites, exclusions de garanties et du montant des franchises qui sont précisées dans les Conditions Générales, Conditions Particulières du contrat  Assurance Cyber –Risques MMA.