Par délibérations en date du 20 septembre 2018, la CNIL a adopté les critères du référentiel de certification des compétences du DPO, ainsi que les critères du référentiel d’agrément des organismes de certification pour le DPO. Ces deux délibérations ont été publiées le 11 octobre dernier.

Concernant la fonction de DPO, le référentiel exige que le DPO justifie d’une expérience professionnelle d’au moins 2 ans et d’une formation d’au moins 35h en matière de protection des données personnelles.

Le DPO doit également être en mesure de démontrer sa compétence sur 17 points :

–          connaissance des grands principes en matière de protection des données personnelles,

–          identification des bases juridiques du traitement,

–          identification des mesures appropriées et des informations à fournir aux personnes,

–          gestion des réclamations des personnes et des demandes d’exercice de leurs droits,

–          connaissance du cadre juridique relatif à la sous-traitance en matière de données personnelles,

–          identification de l’existence d’un transfert de données personnelles hors Union européenne et détermination de l’instrument juridique le plus adapté,

–          élaboration et mise en œuvre d’une politique ou de règles internes en matière de protection des données personnelles,

–          organisation et participation à des audits en matière de données personnelles,

–          connaissance du contenu des registres de traitements, de la documentation des violations de données personnelles et de la documentation nécessaire pour prouver la conformité à la réglementation en matière de données personnelles,

–          identification des mesures de protection dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement (Privacy by design / by default),

–          identification des mesures de sécurité adaptées aux risques et à la nature des traitements,

–          identification des violations de données personnelles nécessitant une notification à la CNIL et, le cas échéant, une communication aux personnes concernées,

–          identification des cas où il est nécessaire d’organiser une analyse d’impact et vérification de l’exécution,

–          capacité à dispenser des conseils en matière d’analyse d’impact,

–          gestion des relations avec les autorités de contrôle,

–          capacité à dispenser des programmes de formation et de sensibilisation du personnel,

–          capacité à assurer la traçabilité des activités.

Concernant l’agrément des organismes de certification, l’organisme est agréé par la CNIL ou par un organisme d’accréditation au regard de la norme ISO 17024. Il doit évaluer les compétences des DPO en fonction du référentiel sur le DPO et la certification ainsi délivrée est valable 3 ans.