DPO externe : vers une certification
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Matthieu Bourgeois, 14/11/2018
Promue par le RGPD, la certification est un mécanisme facultatif facilitant la conformité et la professionnalisation des candidats. En France, depuis la loi 2018-493 du 20 juin 2018, la CNIL a le pouvoir d’agréer les organismes chargés, ensuite, de délivrer ces certifications.
Le 20 septembre 2018, la CNIL a rendu publiques une liste d’exigences qui seront demandées aux organismes candidats ainsi qu’une liste d’exigences qui seront demandées aux DPO externes candidats à cette certification.
Ainsi, ces derniers devront, au préalable justifier d’une expérience minimale de 2 ans (ayant un lien avec la protection des données personnelles ou – à défaut – qui sera complétée d’une formation de 35 heures sur cette matière), puis réussir une épreuve écrite (75 % - au moins – de réponses exactes à des questions de nature juridique, technique – cybersécurité – et opérationnelle).
Ainsi, le candidat devra, par exemple, « identifier la base juridique d’un traitement », « établir des procédures pour recevoir et gérer les demandes d’exercice des droits des personnes », « participer à l’identification des mesures de sécurité adaptées aux risques » ou encore « identifier les violations de données personnelles nécessitant (…) une communication aux personnes concernées ».
La CNIL devrait prochainement délivrer les premiers agréments aux organismes certificateurs.
Ainsi, ces derniers devront, au préalable justifier d’une expérience minimale de 2 ans (ayant un lien avec la protection des données personnelles ou – à défaut – qui sera complétée d’une formation de 35 heures sur cette matière), puis réussir une épreuve écrite (75 % - au moins – de réponses exactes à des questions de nature juridique, technique – cybersécurité – et opérationnelle).
Ainsi, le candidat devra, par exemple, « identifier la base juridique d’un traitement », « établir des procédures pour recevoir et gérer les demandes d’exercice des droits des personnes », « participer à l’identification des mesures de sécurité adaptées aux risques » ou encore « identifier les violations de données personnelles nécessitant (…) une communication aux personnes concernées ».
La CNIL devrait prochainement délivrer les premiers agréments aux organismes certificateurs.