La Cnil publie un référentiel sur la certification des délégués à la protection des données

Administration

Les délégués à la protection des données des collectivités qui le souhaitent peuvent se faire certifier par un organisme agréé par la Cnil. Un référentiel définit les conditions auxquelles ils doivent répondre.

Depuis le 25 mai, les collectivités doivent appliquer le règlement européen de protection des données (RGPD), et sont tenues de désigner un délégué à la protection des données (DPO). Garant de la conformité des traitements informatiques au RGPD, il doit avoir des connaissances spécialisées du droit et des pratiques en la matière. Bien que la certification ne soit pas obligatoire pour exercer les fonctions de DPO, elle permet d’attester auprès des clients, des fournisseurs et des agents que la personne désignée dispose bien des compétences nécessaires pour protéger les données. La certification sera accordée, à l’issue d’une épreuve écrite, aux personnes qui remplissent les conditions préalables : disposer d’une expérience professionnelle d’au moins deux ans, assortie d’une formation à la protection des données de 35 heures minimum, ou justifier d’une expérience professionnelle d’au moins deux ans dans des projets, activités ou tâches en lien avec les missions de protection des données personnelles du DPO : en clair, il faut avoir été responsable de la sécurité des systèmes d’information, correspondant informatique et libertés ou conseil en protection des données. Les organismes certificateurs seront indépendants et agréés par la Cnil.

Le candidat à la certification doit également remplir dix-sept critères montrant l’étendue de ses connaissances et de son savoir-faire. Il doit, par exemple, connaître et comprendre les principes essentiels auxquelles doivent répondre les traitements de données : licéité, limitation des finalités, minimisation et exactitude des données, conservation limitée des données, intégrité, confidentialité et responsabilité. Il doit savoir identifier la base juridique d’un traitement, et déterminer les mesures appropriées et le contenu de l’information à fournir aux personnes concernées.

La certification exige aussi qu’il sache établir des procédures destinées à recevoir et à gérer les demandes des personnes qui veulent exercer leurs droits, qu’il connaisse le cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles, qu’il sache élaborer et mettre en œuvre une politique ou des règles internes sur le sujet. Il lui est demandé de connaître le contenu des registres (activités de traitement, catégories d’activités de traitement) et la documentation des violations de données, ainsi que la documentation nécessaire pour prouver la conformité à la réglementation sur la protection des données.

Le candidat doit également montrer qu’il sait prendre des mesures de protection des données, dès la conception et par défaut, adaptées aux risques et à la nature des opérations de traitement et qu’il est capable d’identifier les violations de données personnelles qui doivent être notifiées à l’autorité de contrôle ou communiquées aux personnes concernées. Le DPO certifié devra aussi être capable de gérer les relations avec les autorités de contrôle (instruction des plaintes et contrôles, en particulier), de former les agents et les élus et d’élaborer les programmes de formation, ou encore d’assurer la traçabilité de ses activités : outils de suivi, bilan annuel.

Marie Gasnier

 

Livre blanc

Le règlement général sur la protection des données - Décryptage

Téléchargez

Le règlement européen va venir renforcer les droits des personnes et les responsabilités des responsables de traitements et des sous-traitants. Le droit des personnes sur leurs données est renforcé avec notamment la création d’un droit à l’oubli, et de nouvelles exigences en termes de consentement.

Les collectivités territoriales, au même titre que les organismes privés, se doivent de respecter ce nouveau règlement qui demande, dans sa mise en œuvre et son application, une certaine méthodologie et une grande rigueur.

Avec le nouveau règlement européen sur la protection des données, on passe d’une logique de contrôle a priori (déclarations à la CNIL, etc.) à une logique de responsabilisation de tous les acteurs, privés ou publics. L’objectif poursuivi est de responsabiliser les organisations qui gèrent des données personnelles.

Il apparaît donc essentiel de se documenter, de se former et d’être accompagné dans la mise en place des procédures propres au RGPD : désignation d’un Délégué à la Protection des Données (DPD), formation des acteurs aux nouvelles règles pour la protection des données personnelles, mise en place de nouveaux outils.

Pour en savoir plus, vous pouvez télécharger gratuitement le Focus « Le règlement général sur la protection des données – Décryptage » qui vous est offert par les Éditions WEKA.

Sommaire :

  • Le RGPD : genèse et étapes de l’élaboration d’une réglementation au niveau européen pour la protection des données
  • Le RGPD : rappels législatifs
  • L’analyse des spécialistes – règlement européen sur la protection des données : ce qui change pour les collectivités
  • Focus : la mise en œuvre du RGPD
  • Focus : le délégué à la protection des données (DPD)
  • L’analyse des spécialistes – collectivités publiques et protection des données à caractère personnel : l’impact du RGPD

Posté le par

Recommander cet article

Réagissez à cet article sur le forum