Depuis le 25 mai, les collectivités doivent appliquer le règlement européen de protection des données (RGPD), et sont tenues de désigner un délégué à la protection des données (DPO). Garant de la conformité des traitements informatiques au RGPD, il doit avoir des connaissances spécialisées du droit et des pratiques en la matière. Bien que la certification ne soit pas obligatoire pour exercer les fonctions de DPO, elle permet d’attester auprès des clients, des fournisseurs et des agents que la personne désignée dispose bien des compétences nécessaires pour protéger les données. La certification sera accordée, à l’issue d’une épreuve écrite, aux personnes qui remplissent les conditions préalables : disposer d’une expérience professionnelle d’au moins deux ans, assortie d’une formation à la protection des données de 35 heures minimum, ou justifier d’une expérience professionnelle d’au moins deux ans dans des projets, activités ou tâches en lien avec les missions de protection des données personnelles du DPO : en clair, il faut avoir été responsable de la sécurité des systèmes d’information, correspondant informatique et libertés ou conseil en protection des données. Les organismes certificateurs seront indépendants et agréés par la Cnil.
Le candidat à la certification doit également remplir dix-sept critères montrant l’étendue de ses connaissances et de son savoir-faire. Il doit, par exemple, connaître et comprendre les principes essentiels auxquelles doivent répondre les traitements de données : licéité, limitation des finalités, minimisation et exactitude des données, conservation limitée des données, intégrité, confidentialité et responsabilité. Il doit savoir identifier la base juridique d’un traitement, et déterminer les mesures appropriées et le contenu de l’information à fournir aux personnes concernées.
La certification exige aussi qu’il sache établir des procédures destinées à recevoir et à gérer les demandes des personnes qui veulent exercer leurs droits, qu’il connaisse le cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles, qu’il sache élaborer et mettre en œuvre une politique ou des règles internes sur le sujet. Il lui est demandé de connaître le contenu des registres (activités de traitement, catégories d’activités de traitement) et la documentation des violations de données, ainsi que la documentation nécessaire pour prouver la conformité à la réglementation sur la protection des données.
Le candidat doit également montrer qu’il sait prendre des mesures de protection des données, dès la conception et par défaut, adaptées aux risques et à la nature des opérations de traitement et qu’il est capable d’identifier les violations de données personnelles qui doivent être notifiées à l’autorité de contrôle ou communiquées aux personnes concernées. Le DPO certifié devra aussi être capable de gérer les relations avec les autorités de contrôle (instruction des plaintes et contrôles, en particulier), de former les agents et les élus et d’élaborer les programmes de formation, ou encore d’assurer la traçabilité de ses activités : outils de suivi, bilan annuel.
Marie Gasnier
Livre blanc
Le règlement général sur la protection des données - Décryptage
Le Règlement Général pour la Protection des Données (RGPD) entre en application le 25 mai 2018. L’objectif poursuivi par la Commission européenne est de moderniser le cadre européen de la protection des données personnelles afin ...
