Certification des compétences du DPO : la CNIL révise le référentiel d'agrément des organismes de certification

Actualité
RH RGPD

Deux ans après la délivrance des premiers agréments en matière de certification des compétences du délégué à la protection des données, la CNIL révise le référentiel d'agrément des organismes de certification.

Certification des compétences du DPO : la CNIL révise le référentiel d'agrément des organismes de certification
Publié le
Télécharger en PDF

La certification des compétences du délégué à la protection des données est un mécanisme volontaire, qui permet à une personne physique d’attester qu’elle répond aux exigences de compétences et de savoir-faire du délégué à la protection des données requis par le RGPD.

Comme prévu par la loi Informatique et Libertés, la CNIL ne délivre pas elle-même de certification délégué à la protection des données. Ce sont les organismes certificateurs, ayant obtenu un agrément de la CNIL, qui octroient cette certification.

Cet agrément est délivré sur la base d’un référentiel d’agrément, auquel la CNIL a apporté plusieurs modifications. Le principal changement apporté concerne les modalités d’obtention, par les organismes certificateurs, de cet agrément.

En revanche, les fondamentaux de la certification demeurent inchangés pour les candidats à la certification.

La procédure de demande d’agrément à réaliser auprès de la CNIL évolue : l’organisme de certification n’est plus tenu d’exercer préalablement une autre activité dans le domaine de la certification de personnes (exigence 1.1).

Il est dorénavant exigé de présenter une accréditation spécifique à la certification des compétences du délégué à la protection des données.

Pour cela, un guichet dédié à cette démarche est disponible auprès du Cofrac (exigence 7.1).

Il est désormais possible de proposer aux candidats de passer l’épreuve de certification à distance (exigence 2.4 bis).

Enfin l’obligation d’adresser à la CNIL le registre des personnes certifiées a été supprimée (le bilan annuel est maintenu) (exigence 8.1).

Communiqué CNIL du 3 août 2023.