La certification des compétences du délégué à la protection des données
Pour permettre l’identification des compétences et savoir-faire du délégué à la protection des données, la CNIL a adopté deux référentiels en matière de certification de délégué à la protection des données.
La certification, une compétence de la CNIL
Depuis la modification de la loi Informatique et Libertés en juin 2018, la CNIL dispose d’une compétence en matière de certification de personnes. La CNIL peut ainsi adopter des référentiels de certification, et agréer les organismes chargés de délivrer cette certification.
A la suite d’une consultation publique menée en 2018, la CNIL a lancé une certification spécifique aux compétences du délégué à la protection des données.
Cette certification repose sur deux référentiels adoptés par la CNIL :
- un référentiel de certification qui fixe notamment les conditions de recevabilité des candidatures et la liste des 17 compétences et savoir-faire attendus pour être certifié en tant que délégué à la protection des données ;
- un référentiel d’agrément qui fixe les critères applicables aux organismes qui souhaitent être habilités par la CNIL à certifier les compétences du délégué à la protection des données sur la base du référentiel de certification élaboré par la CNIL.
La certification des personnes physiques
La certification n’est pas obligatoire pour exercer les fonctions de délégué à la protection des données. Ce n’est pas non plus un préalable nécessaire à la désignation auprès de la CNIL. Inversement, il n’est pas exigé d’être désigné en tant que délégué pour être candidat à la certification des compétences du délégué à la protection des données.
Il s’agit d’un mécanisme volontaire permettant aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du délégué à la protection des données prévues par le règlement. Acteur clé de la conformité au RGPD, le délégué à la protection des données doit en effet disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données. Le certificat constitue un vecteur de confiance à la fois pour l’organisme faisant appel à ces personnes certifiées mais également pour ses clients, fournisseurs, salariés ou agents.
Les conditions préalables pour accéder à la certification sont précisées à l’exigence 1 du référentiel de certification.
La CNIL ne délivre pas elle-même de certification de délégué à la protection des données. Ce sont les organismes certificateurs agréés par la CNIL, qui délivrent la certification aux personnes remplissant les conditions préalables et ayant réussi l’épreuve écrite.
Les personnes intéressées par cette certification peuvent se rapprocher de ces organismes, dont la liste est accessible sur cette page, en vue d’être certifiées.
L’agrément des organismes certificateurs par la CNIL
Les organismes certificateurs qui souhaitent délivrer une certification de compétences sur la base du référentiel d’agrément de la CNIL peuvent déposer une demande d’agrément auprès de la CNIL (modalités décrites dans les FAQ). La demande devra respecter les exigences prévues dans le référentiel d’agrément.
Parmi ces exigences, les organismes certificateurs doivent être accrédités par le COFRAC pour la certification de personnes, et spécifiquement pour le dispositif de certification des compétences du délégué à la protection des données.
Ce mécanisme d’obtention de l’agrément fait suite à une révision du référentiel d’agrément en 2022, menée sur la base des contributions reçues lors d’une nouvelle consultation publique initiée fin 2020.
L’agrément de la CNIL n’est obligatoire que pour les organismes qui souhaitent délivrer une certification de délégué à la protection des données sur la base du référentiel élaboré par la CNIL. Cela signifie que tout organisme peut néanmoins certifier des délégués à la protection des données sur la base de son propre référentiel de certification, non approuvé par la CNIL, comme c’est déjà le cas aujourd’hui.