Connexion Pro

Conseils pour votre quotidien d'entrepreneur

RGPD : la certification de votre DPO

Près de deux ans après l'entrée en vigueur du RGPD, 26% des entreprises concernées ont déclaré la nomination d'un délégué à la protection des données (DPO)(1). Une bonne raison pour vérifier si votre entreprise est soumise à cette obligation…

469036490

Depuis 2019, tout DPO a la possibilité de se faire certifier pour valider qu'il a bien toutes les compétences requises pour exercer sa mission.
©asiseeit/Istock

La mission du DPO (Data Protection Officer)

Le délégué à la protection des données (DPO) est un acteur clef du RGPD (règlement général sur la protection des données), entré en vigueur le 25 mai 2018.
Il est garant du fait que votre entreprise respecte bien ses nouvelles obligations. Sa mission principale consiste à conseiller, informer et faire des recommandations aux personnes chargées du traitement de l'information pour qu'elles appliquent bien toutes les règles de protection des données. Le DPO est également le point de contact avec la CNIL. 

(1) : source : Ministère du Travail, de l’Emploi et de l’Insertion- 2020

Qui est concerné ?

La nomination d'un DPO est obligatoire pour toutes les entreprises qui sont amenées à traiter des données personnelles :

  • Les autorités et organismes publics ;
  • Les activités induisant un suivi régulier et systématique des personnes à grande échelle ;
  • Et les activités traitant à grande échelle des données dites "sensibles" (comme par exemple les données liées à l'origine raciale, ethnique, aux convictions religieuses ou philosophiques, données génétiques, biométriques, ou celles relatives à des condamnations pénales, etc.).

La CNIL estime qu'environ 80 000 entreprises françaises sont concernées par cette obligation. Deux ans après son entrée en vigueur, 21 000 entreprises avaient déclaré leur DPO, soit 26,25 %(1) de la population concernée.

Quelles compétences le DPO doit-il avoir ?

Le DPO est un nouveau métier, ce qui rend les recrutements et l'évaluation de ses compétences plus compliqués. La CNIL a mis au point un outil qui facilite les choses : un référentiel des 17 compétences clefs des DPO réparties en trois grands types de savoir-faire :

  • Savoirs organisationnels
    Le DPO doit pouvoir vous conseiller dans l'élaboration de procédures et politiques visant à protéger les données. Cela implique une bonne connaissance de la gouvernance des entreprises. Il doit aussi être en mesure de mener un audit de conformité et de manager les risques (évaluation, réduction, suivi) ;
  • Savoirs techniques et informatiques
    Il est en mesure d'exécuter les demandes de modification et d'effacement des données, est force de conseil pour la mise en place du "Privacy by design" (prise en compte du respect de la vie privée dès la conception des applications et produits) au sein de l'entreprise ;
  • Savoirs juridiques
    Le DPO est expert en protection juridique et réglementaire des données personnelles. Il vous assiste dans l'élaboration des clauses de protection des données personnelles lors de la signature d'un contrat, il est l'interlocuteur de la CNIL et instruit les plaintes éventuelles.

Pourquoi recourir à un DPO certifié et comment procéder pour la certification ?

Depuis 2019, votre DPO peut valider auprès d’organismes agréés par la CNIL qu'il a bien tous les savoir-faire requis pour exercer son métier.
La certification est une démarche volontaire du DPO, en tant que personne physique et non pas une démarche de l'employeur. Elle n’est pas obligatoire, mais elle constitue indéniablement un plus pour votre entreprise.
Elle permet de vérifier que votre DPO dispose bien de toutes les compétences et savoir-faire requis pour ses missions et contribue à renforcer la confiance des fournisseurs, clients et salariés dans le sérieux de votre dispositif de protection des données.

Comment procéder ? Le DPO doit s'adresser à un organisme de certification agréé par la CNIL. La liste de ces organismes est disponible sur le site de la CNIL. On trouve notamment :

  • LSTI ;
  • PECB ;
  • Afnor Certification ;
  • Bureau Veritas Certification France ;
  • Apave Certification…

Le DPO obtiendra sa certification à la suite d'un examen, qui consiste dans un QCM d'au moins 100 questions, dont un tiers concerne des cas pratiques.

Pour être certifié, il doit réunir deux conditions :

  • Avoir deux ans d'expérience en lien avec la protection des données ou deux ans dans n'importe quel autre domaine, mais avec obligation de suivre une formation de 35 heures minimum à la protection des données.
  • Fournir 75 % de réponses exactes au QCM de 100 questions et 50 % de bonnes réponses dans chacun des trois domaines (règlement, responsabilité, sécurité).  

La certification est valable trois ans.

Pour en savoir plus sur la certification des compétences du DPO

Gare aux arnaques !

Attention ! Seuls les organismes de certification agréés par la CNIL sont habilités à délivrer des certifications. Une précision importante à apporter, car un grand nombre d'entreprises, notamment des PME et artisans commerçants, ont reçu depuis 2018 des appels de sociétés proposant indûment "une mise en conformité de leur entreprise au règlement européen sur la protection des données". La CNIL elle-même avait été obligée de mettre le holà en lançant des alertes "stop arnaque".

Source CNIL, communiqué du 07 novembre 2018

Que faire si votre DPO n'obtient pas la certification ?

Tout dépend de l'écart entre son niveau de compétence et les exigences du référentiel.

  • S'il est modéré, organisez avec lui sa montée en compétence, par le biais de formations ou d'échanges professionnels. La CNIL encourage pour sa part les DPO à participer à des groupes de travail par secteur d'activité ou géographique. Pour les plus petites entreprises, elle préconise également le partage de DPO.
  • S'il est trop important, vous pouvez externaliser la totalité ou une partie des missions du DPO auprès d’un organisme tiers (agence de consulting spécialisée ou DPO indépendant). Vous pouvez également mutualiser votre DPO avec une ou plusieurs autres sociétés, si les conditions le permettent. Le DPO, s’il est désigné par un groupe d’entreprises, doit être en mesure d’être joignable par tous les établissements et de communiquer efficacement avec les personnes concernées dans chaque entreprise.

Voir les autres articles du dossier

Fraude en entreprise : comment s’en protéger et réagir ?

La fraude en entreprise est un risque bien réel. Selon une étude menée par Grant Thornton en 2017, plus des trois quarts des entreprises interrogées déclaraient avoir subi une tentative de fraude au cours des deux dernières années(1). Focus sur les principaux types de fraude pour mieux vous en prémunir et adopter...

RGPD : avez-vous pensé à vos sous-traitants ?

François Carlach, expert juridique MMA, précise vos responsabilités dans le cadre du RGPD si vous sous-traitez la gestion des données personnelles de vos clients.

Données personnelles et RGPD : la FAQ des pros et entreprises

Le 25 mai 2018, le Règlement Général sur la Protection des Données est entré en application au sein de l’Union Européenne. Renforçant la protection des données personnelles, il implique la responsabilité des entreprises et les amène à se poser des questions quant aux changements engendrés par ce règlement, à ses...

.

© SFIO_CRACHO/Shutterstock
Assurance cyber-risques MMA :
Protégez votre entreprise !

La dématérialisation des procédures - due à l'essor du télétravail - expose vos collaborateurs et votre entreprise à de nouveaux risques : vol de données, hameçonnage, défaillances liées aux logiciels. Avec l’assurance Cyber-Risques MMA, vous bénéficiez de garanties d’assurance adaptées(1).

(1) Nos prises en charge sont faites en application des garanties ou options souscrites et des conditions, limites, exclusions de garanties et du montant des franchises qui sont précisées dans les Conditions Générales, Conditions Particulières du contrat  Assurance Cyber –Risques MMA.