Date de signature : | 20/09/2018 | Statut du texte : | En vigueur |
Date de publication : | 11/10/2018 | Emetteur : | Commission nationale de l'informatique et des libertés |
Consolidée le : | 22/07/2023 | Source : | JO du 11 octobre 2018 |
Date d'entrée en vigueur : | 12/10/2018 |
La Commission nationale de l'informatique et des libertés,
ANNEXE
RÉFÉRENTIEL D'AGRÉMENT D'ORGANISMES DE CERTIFICATION POUR LA CERTIFICATION DES COMPÉTENCES DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)
Modifiée par la délibération n°2022-128 du 6 octobre 2022
Modifiée par la délibération n° 2023-062 du 13 avril 2023
Catégorie 1. Accréditation
Exigence 1.1. L’organisme de certification est accrédité, pendant toute la durée de son agrément par la Commission, par le Comité Français d’Accréditation ou par un autre organisme national d’accréditation visé par le règlement (CE) no 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 “fixant les prescriptions relatives à l’accréditation et abrogeant le règlement (CEE) n° 339/93 du Conseil”, signataire d’un accord de reconnaissance multilatéral pris dans le cadre de la coordination européenne des organismes d’accréditation au regard de la norme EN ISO/IEC 17024 en vigueur “Evaluation de la conformité - Exigences générales pour les organismes de certification procédant à la certification de personnes” pour un dispositif particulier de certification de personnes.
Seule une accréditation délivrée spécifiquement pour le dispositif de certification des compétences du délégué à la protection des données est prise en compte par la Commission dans le cadre d’une demande initiale d’agrément ou d’une demande de renouvellement d’un agrément.
Dans le cas où l’organisme de certification n’est pas accrédité pour ce dispositif de certification au moment de sa demande auprès de la Commission, il est autorisé, par agrément délivré par la Commission, à démarrer les activités de certification après notification d’une recevabilité opérationnelle favorable de sa demande d’accréditation par l’instance d’accréditation. Pendant cette période transitoire, l’organisme de certification délivre des certificats hors accréditation. L’organisme de certification doit obtenir l’accréditation dans un délai de douze mois à compter de la décision de recevabilité opérationnelle favorable de la part de l’instance d’accréditation. Une fois l’accréditation obtenue, l’organisme de certification transmet à la Commission l’attestation de cette accréditation et réémet les certificats sous accréditation selon les règles de l’instance d’accréditation.
A défaut de l’obtention de cette accréditation au terme de cette échéance, l’agrément délivré par la Commission est retiré. Les certificats déjà délivrés restent valides pendant une période de six mois. Les personnes certifiées sollicitent un nouvel organisme de certification agréé par la Commission.
L’organisme de certification informe la Commission de l’évolution du statut de son accréditation prise en compte pour l’obtention de son agrément.
Exigence 1.2. L'organisme de certification élabore et met en œuvre un dispositif de certification de personnes pour le délégué à la protection des données en conformité avec la norme EN ISO/IEC 17024 en vigueur, les exigences fixées par le présent référentiel ainsi que les exigences fixées par le référentiel de certification des compétences du délégué à la protection des données adoptés par la Commission (délibération n° 2018-318 du 20 septembre 2018).
Lorsque l’organisme de certification est accrédité pour le dispositif de certification de personnes des compétences délégué à la protection des données, l’organisme de certification démontre la conformité aux exigences 2.3, 2.6 et 2.7 du présent référentiel dans le cadre de la procédure d’agrément de la Commission. Les autres exigences du présent référentiel sont évaluées par l’instance d’accréditation dans le cadre de la procédure d’accréditation.
Catégorie 2. Evaluation du candidat à la certification
Exigence 2.1. L'organisme de certification vérifie le respect des conditions préalables prévues à la catégorie 1 du référentiel de certification des compétences du délégué à la protection des données (délibération n° 2018-318 du 20 septembre 2018).
Exigence 2.2. L'organisme de certification vérifie les compétences et le savoir-faire du candidat par une épreuve écrite dont les caractéristiques répondent aux exigences suivantes.
Exigence 2.3. L'épreuve écrite consiste en un questionnaire à choix multiple (QCM) en français comprenant au moins 100 questions. 30% des questions de chacun des domaines sont énoncées sous forme de cas pratique.
Exigence 2.4. L'épreuve écrite est réalisée dans des conditions garantissant le pseudonymat lors de la correction.
Exigence 2.4 bis. L’épreuve écrite peut se dérouler à distance. La lutte contre la fraude dans le cadre de cette modalité ne dispense pas l’organisme certificateur du respect des règles relatives à la protection des données (notamment au moment de la vérification de l’identité du candidat, et pendant toute la durée de l’examen). Pour ce faire, il peut prendre en compte les recommandations de la CNIL relatives aux modalités de mise en œuvre des dispositifs de télésurveillance pour les examens en ligne.
Exigence 2.5. Les questions du QCM évaluent les compétences et savoir-faire s'agissant des exigences de la catégorie 2 de la délibération n° 2018-318 du 20 septembre 2018 et couvrent tous les domaines du programme figurant en annexe de la présente délibération selon la répartition suivante :
Domaine 1. - Réglementation générale en matière de protection des données et mesures prises pour la mise en conformité : 50% des questions ;
Domaine 2. - Responsabilité : 30% des questions ;
Domaine 3. - Mesures techniques et organisationnelles pour la sécurité des données au regard des risques : 20% des questions.
Exigence 2.6. Pour chaque question, 4 réponses sont proposées dont l'une ou plusieurs sont exactes.
Exigence 2.7. Les questions du QCM sont régulièrement actualisées.
Exigence 2.8. L'épreuve écrite est réussie :
ANNEXE
Programme de l'évaluation écrite (domaines)
Domaine 1. - Réglementation générale en matière de protection des données et mesures prises pour la mise en conformité
(50% des questions)
1.1. Règlement européen et loi française sur la protection des données - fondamentaux :
1.1.1. Champ d'application.
1.1.2. Définitions et notions.
1.1.3. Organismes soumis aux obligations règlementaires.
1.2. Règlement européen et loi française sur la protection des données - principes :
1.2.1. Licéité du traitement.
1.2.2. Loyauté et transparence.
1.2.3. Limitation des finalités.
1.2.4. Minimisation des données.
1.2.5. Exactitude des données.
1.2.6. Conservation limitée des données.
1.2.7. Intégrité, confidentialité des données.
1.3. Règlement européen et loi française sur la protection des données - validité du traitement :
1.3.1. Bases juridiques d'un traitement.
1.3.2. Consentement.
1.3.3. Consentement des mineurs.
1.3.4. Catégories particulières de données à caractère personnel.
1.3.5. Données relatives aux condamnations pénales et aux infractions.
1.4. Droits des personnes concernées :
1.4.1. Transparence et information.
1.4.2. Accès, rectification et effacement (droit à l'oubli).
1.4.3. Opposition.
1.4.4. Décisions individuelles automatisées.
1.4.5. Portabilité.
1.4.6. Limitation du traitement.
1.4.7. Limitations des droits.
1.5. Mesures prises pour la mise en conformité :
1.5.1. Politiques ou procédure en matière de protection des données
1.5.2. Qualification des acteurs d'un traitement de données : responsables du traitement, responsables conjoints du traitement, sous-traitants
1.5.3. Formalisation des relations (contrat sous-traitant, accord entre responsables conjoints du traitement).
1.5.4. Codes de conduite et certifications.
1.6. Délégué à la protection des données :
1.6.1. Désignation et fin de mission.
1.6.2. Qualités professionnelles, connaissances spécialisées et capacité à accomplir ses missions.
1.6.3. Fonction du délégué à la protection des données (moyens, ressources, positionnement, indépendance, confidentialité, absence de conflit d'intérêts, formation).
1.6.4. Missions du délégué à la protection des données et rôle du délégué à la protection des données en matière d'audits.
1.6.5. Relations du délégué à la protection des données avec les personnes concernées et gestion des demandes d'exercice des droits.
1.6.6. Coopération du délégué à la protection des données avec l'autorité de contrôle.
1.6.7. Qualités personnelles, travail en équipe, management, communication, pédagogie.
1.7. Transferts de données hors de l'Union européenne :
1.7.1. Décision d'adéquation.
1.7.2. Garanties appropriées.
1.7.3. Règles d'entreprise contraignantes.
1.7.4. Dérogations.
1.7.5. Autorisation de l'autorité de contrôle.
1.7.6. Suspension temporaire.
1.7.7. Clauses contractuelles.
1.8. Autorités de contrôle :
1.8.1. Statut.
1.8.2. Pouvoirs.
1.8.3. Régime de sanction.
1.8.4. Comité européen de protection des données.
1.8.5. Recours juridictionnels.
1.8.6. Droit à réparation.
1.9. Doctrine et jurisprudence :
1.9.1. Lignes directrices du G29.
1.9.2. Avis, lignes directrices et recommandations du comité européen de protection des données.
1.9.3. Jurisprudence française et européenne.
Domaine 2. - Responsabilité
(30% des questions)
2.1. Analyse d'impact relative à la protection des données (AIPD).
2.2. Protection des données dès la conception et par défaut.
2.3. Registre des activités de traitement (responsable de traitement) et registre des catégories d'activités de traitement (sous-traitant).
2.4. Violations de données à caractère personnel, notification des violations et communication à la personne concernée.
Domaine 3. - Mesures techniques et organisationnelles pour la sécurité des données au regard des risques
(20% des questions)
3.1. Pseudonymisation et chiffrement des données personnelles.
3.2. Mesures pour garantir la confidentialité, l'intégrité et la résilience des systèmes et des services de traitement.
3.3. Mesures permettant de rétablir la disponibilité des données et l'accès aux données en cas d'incident physique ou technique.
Source Légifrance