Délégué à la protection des données (DPO) : les référentiels de la CNIL sont publiés

Le RGPD continue de faire parler de lui depuis son entrée en vigueur le 25 mai dernier avec la publication de référentiels dédiés au délégué à la protection des données, ou DPO. En effet, la CNIL vient de publier deux référentiels dédiés d’une part à l’agrément des organismes de certification des compétences des DPO, d’autre part aux critères de certification des compétences des DPO.

 

Ces deux référentiels entrent en vigueur immédiatement et permettront à la fonction de DPO de se développer dans un cadre défini. Rappelons que la désignation du délégué à la protection des données est obligatoire dans certains cas mais reste conseillée dans tous les cas de figure. 

 

L’agrément des organismes de certification des compétences du DPO

Le premier référentiel adopté par la CNIL concerne l’agrément des organismes de certification. On compte au total 21 exigences prévues par ce référentiel. 

Ainsi, l’une des exigences concerne l’organisation d’un QCM de 100 questions minimum dont au moins 30% sont des cas pratiques. Pour réussir l’épreuve, le candidat DPO doit obtenir 75% de réponses exactes mais il faut aussi que 50% des réponses soient exactes dans chacun des 3 domaines de compétences. Ces conditions cumulatives ne peuvent pas être écartées. 

La certification délivrée par l’organisme est valable 3 ans et peut être renouvelée avant son terme par la personne certifiée. Chose intéressante, l’annexe de la délibération propose le programme de l’évaluation écrite avec les 3 domaines d’aptitude : la réglementation générale sur la protection des données et les mesures de mise en conformité, la responsabilité, et les mesures techniques et organisationnelles pour la sécurité des données au regard des risques. 

 

Les critères de certification du DPO

Le second référentiel adopté par la CNIL concerne la certification des compétences du délégué à la protection des données. On apprend en premier lieu que tout le monde ne peut pas accéder à la phase d’évaluation de ses compétences : il faut soit justifier d’une expérience professionnelle d’au moins 2 ans dans des activités liées aux missions du DPO, soit justifier d’une expérience professionnelle d’au moins 2 ans associée à une formation d’au moins 35 heures sur la protection des données personnelles. 

Une fois ce prérequis validé, le référentiel propose la liste des 17 compétences et savoir-faire parmi lesquels on retrouve l’identification de la base juridique d’un traitement, la connaissance du cadre juridique de la sous-traitance de traitement de données personnelles, ou encore l’identification de violations de données personnelles nécessitant une notification à la CNIL et celles nécessitant une communication aux personnes concernées. 

Les délégués à la protection des données n’ont plus qu’à se préparer à passer les certifications qui les mettront en valeur : les premiers organismes de certification devraient bientôt être agréés. 

Ajouter aux articles favoris
Please login to bookmarkClose
0 Shares:
Découvrez nos analyses et capsules vidéos
Lancer la vidéo

Webinaire Tripalio #9 : catégories objectives agréées (et autres sujets CCN)

Lancer la vidéo

Nicolas Desormiere (MH) : la garantie aidants, nouvelle corde de la prévoyance CCN

Lancer la vidéo

PLFSS 2026 : rejet du socle solidaire et responsable par Thibault Bazin

Lancer la vidéo

Webinaire Tripalio #10 : Le Triparator boosté à l'IA en bêta test

You May Also Like

Une jeune filiale de réassurance d’Axa obtient son agrément ACPR

L'Autorité de contrôle prudentiel et de résolution (ACPR) vient de délivrer son agrément à une filialede réassurance d'Axa, créée à la fin de l'année 2024. C'est la société Matinium Assurances (renommée ainsi à la fin du mois de juin 2026) auparavant connue sous le nom d'Axa Matignon 11 qui obtient cet agrément. L'ACPR autorise ainsi l'entité, sise au 21 avenue Matignon dans le 8e arrondissement de Paris, à pratiquer les activités de réassurance relevant des...

Avis d’extension d’un accord territorial (Haute-Marne) à la CCN de la métallurgie

Le ministre du travail et des solidarités, envisage d’étendre, par avis publié le 10 juillet 2026, les dispositions de l’accord territorial (Haute-Marne) du 3 juin 2026 relatif à la détermination de la valeur de point pour le calcul de la prime d'ancienneté à compter du 1er juillet 2026, conclu dans le cadre de la convention collective nationale de la métallurgie (...

Avis d’extension d’un avenant à la CCN des entreprises au service de la création et de l’événement

Le ministre du travail et des solidarités envisage d’étendre, par avis publié le 10 juillet 2026, les dispositions de l’avenant n° 7 du 1er juin 2026 relatif aux négociations annuelles obligatoires portant sur les salaires minimaux, conclu dans le cadre de la convention collective nationale des entreprises techniques au service de la création et de l’événement du 27 juin...