SlideShare une entreprise Scribd logo

DPO : deux référentiels pour la certification du délégué à la protection des données

Société Tripalio
Société Tripalio

Publication de deux référentiels adoptés par la CNIL pour la certification des compétences du DPO ou délégué à la protection des données

Gouvernement et associations à but non lucratif
1  sur  6
Télécharger pour lire hors ligne
Commission nationale de l’informatique et des libertés Délibération no 2018-317 du 20 septembre 2018 portant adoption des critères du référentiel d’agrément d’organismes de certification pour la certification des compétences du délégué à la protection des données (DPO) NOR : CNIL1827455X La Commission nationale de l’informatique et des libertés, Vu la convention no 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ; Vu la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 11-I-2o f bis ; Vu le décret no 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment son article 6-8 ; Vu la délibération no 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données (DPO) ; Après avoir entendu M. Maurice RONAI, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations, Formule les observations suivantes : Conformément à l’article 11-I-2o f bis de la loi no 78-17 modifiée, la Commission nationale de l’informatique et des libertés (ci-après, la CNIL ou la Commission) est compétente pour agréer des organismes en vue de délivrer la certification des compétences du délégué à la protection des données (ci-après « DPO ») sur la base de critères qu’elle a adoptés. La présente délibération fixe les critères d’agrément d’organismes de certification pour la certification des compétences de personnes physiques en tant que délégué à la protection des données, tel que visé à la section 4 du chapitre IV du règlement (UE) 2016/679. Décide : Les critères du référentiel annexé à la présente délibération en vue de l’agrément par la Commission d’organismes en charge de la certification des compétences du délégué à la protection des données sont approuvés. Le fonctionnement de ce dispositif fera l’objet, au plus tard dans un délai de deux ans à compter de son entrée en vigueur, d’une évaluation en vue d’adapter, le cas échéant, les exigences du présent référentiel. La présente délibération sera publiée au Journal officiel de la République française. La présidente, I. FALQUE-PIERROTIN ANNEXE RÉFÉRENTIEL D’AGRÉMENT D’ORGANISMES DE CERTIFICATION POUR LA CERTIFICATION DES COMPÉTENCES DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO) Catégorie 1. Accréditation Exigence 1.1. L’organisme de certification est accrédité, pendant toute la durée de son agrément par la CNIL, par un organisme d’accréditation membre de l’IAF (International Accreditation Forum) au regard de la norme ISO/IEC 17024 : 2012 « Evaluation de la conformité – Exigences générales pour les organismes de certification procédant à la certification de personnes » pour un dispositif particulier de certification de personnes. Exigence 1.2. L’organisme de certification élabore et met en œuvre un dispositif de certification de personnes pour le DPO en conformité avec la norme ISO/IEC 17024 : 2012, les exigences fixées par le présent référentiel ainsi que les exigences fixées par le référentiel de certification des compétences du DPO (délibération no 2018-318 du 20 septembre 2018). Catégorie 2. Evaluation du candidat à la certification Exigence 2.1. L’organisme de certification vérifie le respect des conditions préalables prévues à la catégorie 1 du référentiel de certification des compétences du DPO (délibération no 2018-318 du 20 septembre 2018). 11 octobre 2018 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 50 sur 126
Exigence 2.2. L’organisme de certification vérifie les compétences et le savoir-faire du candidat par une épreuve écrite dont les caractéristiques répondent aux exigences suivantes. Exigence 2.3. L’épreuve écrite consiste en un questionnaire à choix multiple (QCM) en français comprenant au moins 100 questions. 30% des questions de chacun des domaines sont énoncées sous forme de cas pratique. Exigence 2.4. L’épreuve écrite est réalisée dans des conditions garantissant le pseudonymat lors de la correction. Exigence 2.5. Les questions du QCM évaluent les compétences et savoir-faire s’agissant des exigences de la catégorie 2 de la délibération no 2018-318 du 20 septembre 2018 et couvrent tous les domaines du programme figurant en annexe de la présente délibération selon la répartition suivante : Domaine 1. – Réglementation générale en matière de protection des données et mesures prises pour la mise en conformité : 50% des questions ; Domaine 2. – Responsabilité : 30% des questions ; Domaine 3. – Mesures techniques et organisationnelles pour la sécurité des données au regard des risques : 20% des questions. Exigence 2.6. Pour chaque question, 4 réponses sont proposées dont l’une ou plusieurs sont exactes. Exigence 2.7. Les questions du QCM sont régulièrement actualisées. Exigence 2.8. L’épreuve écrite est réussie : – si, au total, au moins 75% des réponses sont exactes ; et – si, pour chacun des trois domaines, au moins 50% des réponses aux questions sont exactes. Exigence 2.9. Les organismes de certification permettent à des observateurs de la Commission d’être présents pendant le déroulement des épreuves. Catégorie 3. Délivrance de la certification Exigence 3.1. L’organisme de certification délivre la certification aux candidats qui ont réussi l’épreuve écrite. Exigence 3.2. L’organisme de certification adresse à la personne certifiée un certificat de DPO certifié portant sur le libellé « Délégué à la protection des données certifié conformément au référentiel de certification des compétences du DPO de la CNIL ». Exigence 3.3. La certification est valable 3 ans à compter de sa délivrance. Exigence 3.4. L’organisme de certification tient un registre à jour des personnes certifiées. Le registre comprend, pour chaque personne certifiée, ses nom et prénoms, la date de délivrance de la certification, la date d’expiration et le statut de la certification (délivrée, suspendue, retirée, renouvelée). Exigence 3.5. Le registre mis à jour est transmis à la Commission tous les 6 mois à compter de la délivrance de l’agrément. Catégorie 4. Renouvellement de la certification Exigence 4.1. Le renouvellement de la certification est possible avant la date d’échéance du certificat à condition que la personne certifiée : – réussisse une nouvelle épreuve écrite répondant aux exigences de la catégorie 2 du présent référentiel ; et – démontre qu’elle dispose d’une expérience professionnelle d’au moins un an, acquise dans le courant des trois dernières années, dans des projets, activités ou tâches en lien avec les missions du DPO s’agissant de la protection des données ou de la sécurité de l’information, attestée par un tiers (employeur ou client). Catégorie 5. Matériel d’évaluation Exigence 5.1. L’organisme de certification développe et applique son matériel d’évaluation et la documentation descriptive de sa mise en œuvre (exigences de certification) afin d’évaluer la conformité aux critères du référentiel de certification (délibération no 2018-318 du 20 septembre 2018). Catégorie 6. Comité de certification Exigence 6.1. Les organismes de certification agréés invitent à leur comité du dispositif particulier un représentant de la Commission. Catégorie 7. Eléments à fournir avec la demande d’agrément Exigence 7.1. Les organismes de certification qui demandent à être agréés par la Commission lui fournissent un dossier comprenant : – un extrait K-bis ou équivalent ; – l’attestation d’accréditation ISO/IEC 17024 : 2012 conformément à l’exigence 1.1 de la présente délibération ; – un document qui présente le processus de certification des compétences du DPO ; et – leur matériel d’évaluation (notamment les questions posées et les réponses pour l’épreuve écrite) et la documentation descriptive de leur mise en œuvre (règles de certification) concernant la certification des compétences du DPO. 11 octobre 2018 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 50 sur 126
Catégorie 8. Eléments à fournir de manière régulière ou à la demande de la Commission Exigence 8.1. Les organismes de certification agréés font parvenir à la Commission : – sans délai, toute modification de leur statut d’accréditation telle que la suspension ou le retrait de l’accréditation ISO/IEC 17024 : 2012 ; – un rapport annuel d’activité sur la certification des compétences du DPO comprenant les plaintes et réclamations à l’encontre de l’organisme de certification dans le cadre de la certification des compétences du DPO ainsi que toute difficulté rencontrée dans l’application des critères de certification des compétences du DPO adoptés dans la délibération no 2018-318 du 20 septembre 2018 ; – tous les 6 mois à compter de la délivrance de l’agrément, les statistiques de réussite de l’épreuve écrite ainsi que le registre actualisé des personnes certifiées DPO comprenant les noms, prénoms, la date de délivrance de la certification et la date d’expiration. Exigence 8.2. Les organismes de certification agréés sont en mesure, à la demande de la Commission, de démontrer à tout moment le respect des exigences : – du présent référentiel, et en particulier de l’exigence 1.2 ; et – du référentiel de certification des compétences du DPO (délibération no 2018-318 du 20 septembre 2018). Annexe Programme de l’évaluation écrite (domaines) Domaine 1. – Réglementation générale en matière de protection des données et mesures prises pour la mise en conformité (50% des questions) 1.1. Règlement européen et loi française sur la protection des données – fondamentaux : 1.1.1. Champ d’application. 1.1.2. Définitions et notions. 1.1.3. Organismes soumis aux obligations règlementaires. 1.2. Règlement européen et loi française sur la protection des données – principes : 1.2.1. Licéité du traitement. 1.2.2. Loyauté et transparence. 1.2.3. Limitation des finalités. 1.2.4. Minimisation des données. 1.2.5. Exactitude des données. 1.2.6. Conservation limitée des données. 1.2.7. Intégrité, confidentialité des données. 1.3. Règlement européen et loi française sur la protection des données – validité du traitement : 1.3.1. Bases juridiques d’un traitement. 1.3.2. Consentement. 1.3.3. Consentement des mineurs. 1.3.4. Catégories particulières de données à caractère personnel. 1.3.5. Données relatives aux condamnations pénales et aux infractions. 1.4. Droits des personnes concernées : 1.4.1. Transparence et information. 1.4.2. Accès, rectification et effacement (droit à l’oubli). 1.4.3. Opposition. 1.4.4. Décisions individuelles automatisées. 1.4.5. Portabilité. 1.4.6. Limitation du traitement. 1.4.7. Limitations des droits. 1.5. Mesures prises pour la mise en conformité : 1.5.1. Politiques ou procédure en matière de protection des données 1.5.2. Qualification des acteurs d’un traitement de données : responsables du traitement, responsables conjoints du traitement, sous-traitants 1.5.3. Formalisation des relations (contrat sous-traitant, accord entre responsables conjoints du traitement). 1.5.4. Codes de conduite et certifications. 11 octobre 2018 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 50 sur 126
1.6. Délégué à la protection des données (DPO) : 1.6.1. Désignation et fin de mission. 1.6.2. Qualités professionnelles, connaissances spécialisées et capacité à accomplir ses missions. 1.6.3. Fonction du DPO (moyens, ressources, positionnement, indépendance, confidentialité, absence de conflit d’intérêts, formation). 1.6.4. Missions du DPO et rôle du DPO en matière d’audits. 1.6.5. Relations du DPO avec les personnes concernées et gestion des demandes d’exercice des droits. 1.6.6. Coopération du DPO avec l’autorité de contrôle. 1.6.7. Qualités personnelles, travail en équipe, management, communication, pédagogie. 1.7. Transferts de données hors de l’Union européenne : 1.7.1. Décision d’adéquation. 1.7.2. Garanties appropriées. 1.7.3. Règles d’entreprise contraignantes. 1.7.4. Dérogations. 1.7.5. Autorisation de l’autorité de contrôle. 1.7.6. Suspension temporaire. 1.7.7. Clauses contractuelles. 1.8. Autorités de contrôle : 1.8.1. Statut. 1.8.2. Pouvoirs. 1.8.3. Régime de sanction. 1.8.4. Comité européen de protection des données. 1.8.5. Recours juridictionnels. 1.8.6. Droit à réparation. 1.9. Doctrine et jurisprudence : 1.9.1. Lignes directrices du G29. 1.9.2. Avis, lignes directrices et recommandations du comité européen de protection des données. 1.9.3. Jurisprudence française et européenne. Domaine 2. – Responsabilité (30% des questions) 2.1. Analyse d’impact relative à la protection des données (AIPD). 2.2. Protection des données dès la conception et par défaut. 2.3. Registre des activités de traitement (responsable de traitement) et registre des catégories d’activités de traitement (sous-traitant). 2.4. Violations de données à caractère personnel, notification des violations et communication à la personne concernée. Domaine 3. – Mesures techniques et organisationnelles pour la sécurité des données au regard des risques (20% des questions) 3.1. Pseudonymisation et chiffrement des données personnelles. 3.2. Mesures pour garantir la confidentialité, l’intégrité et la résilience des systèmes et des services de traitement. 3.3. Mesures permettant de rétablir la disponibilité des données et l’accès aux données en cas d’incident physique ou technique. 11 octobre 2018 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 50 sur 126
Commission nationale de l’informatique et des libertés Délibération no 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données (DPO) NOR : CNIL1827457X La Commission nationale de l’informatique et des libertés, Vu la convention no 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; Vu le règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ; Vu la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 11-I-2° f bis ; Vu le décret no 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment son article 6-8 ; Vu la délibération no 2018-317 du 20 septembre 2018 portant adoption des critères du référentiel d’agrément d’organismes de certification pour la certification des compétences du délégué à la protection des données (DPO) ; Après avoir entendu M. Maurice RONAI, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations, Formule les observations suivantes : Conformément à l’article 11-I-2° f bis de la loi no 78-17 modifiée, la Commission nationale de l’informatique et des libertés (ci-après, la CNIL ou la Commission) est compétente pour élaborer ou approuver les critères d’un référentiel de certification des compétences de personnes. La présente délibération fixe les critères du référentiel de certification pour la catégorie « délégué à la protection des données », tel que visée à la section 4 du chapitre IV du règlement (UE) 2016/679. Décide : Les critères du référentiel annexé à la présente délibération en vue de la certification, par des organismes agréés par la Commission, des compétences du délégué à la protection des données, sont approuvés. Le fonctionnement de ce dispositif fera l’objet, au plus tard dans un délai de deux ans à compter de son entrée en vigueur, d’une évaluation en vue d’adapter, le cas échéant, les exigences du présent référentiel. La présente délibération sera publiée au Journal officiel de la République française. La présidente, I. FALQUE-PIERROTIN ANNEXE RÉFÉRENTIEL DE CERTIFICATION DES COMPÉTENCES DU DÉLEGUÉ À LA PROTECTION DES DONNÉES (DPO) Catégorie 1. Conditions préalables à remplir par le candidat à la certification Exigence 1.1. Pour pouvoir accéder à la phase d’évaluation, le candidat remplit l’une des conditions préalables suivantes : – justifier d’une expérience professionnelle d’au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du DPO s’agissant de la protection des données personnelles ; ou – justifier d’une expérience professionnelle d’au moins 2 ans ainsi que d’une formation d’au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation. Catégorie 2. Compétences et savoir-faire Exigence 2.1. Le candidat connaît et comprend les principes de licéité du traitement, de limitation des finalités, de minimisation des données, d’exactitude des données, de conservation limitée des données, d’intégrité, de confidentialité et de responsabilité. Exigence 2.2. Le candidat sait identifier la base juridique d’un traitement. Exigence 2.3. Le candidat sait déterminer les mesures appropriées et le contenu de l’information à fournir aux personnes concernées. 11 octobre 2018 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 51 sur 126
Exigence 2.4. Le candidat sait établir des procédures pour recevoir et gérer les demandes d’exercice des droits des personnes concernées. Exigence 2.5. Le candidat connaît le cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles. Exigence 2.6. Le candidat sait identifier l’existence de transferts de données hors Union européenne et sait déterminer les instruments juridiques de transfert susceptibles d’être utilisés. Exigence 2.7. Le candidat sait élaborer et mettre en œuvre une politique ou des règles internes en matière de protection des données. Exigence 2.8. Le candidat sait organiser et participer à des audits en matière de protection des données. Exigence 2.9. Le candidat connaît le contenu du registre d’activités de traitement, du registre des catégories d’activités de traitement et de la documentation des violations de données ainsi que de la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données. Exigence 2.10. Le candidat sait identifier des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement. Exigence 2.11. Le candidat sait participer à l’identification des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement. Exigence 2.12. Le candidat sait identifier les violations de données personnelles nécessitant une notification à l’autorité de contrôle et celles nécessitant une communication aux personnes concernées. Exigence 2.13. Le candidat sait déterminer s’il est nécessaire ou non d’effectuer une analyse d’impact relative à la protection des données (AIPD) et sait en vérifier l’exécution. Exigence 2.14. Le candidat sait dispenser des conseils en matière d’analyse d’impact relative à la protection des données (en particulier sur la méthodologie, l’éventuelle sous-traitance, les mesures techniques et organisation­ nelles à adopter). Exigence 2.15. Le candidat sait gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier). Exigence 2.16. Le candidat sait élaborer, mettre en œuvre et est en capacité de dispenser des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données. Exigence 2.17. Le candidat sait assurer la traçabilité de ses activités, notamment à l’aide d’outils de suivi ou de bilan annuel. 11 octobre 2018 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 51 sur 126

Recommandé

Certification ccc 2008
Certification ccc 2008Certification ccc 2008
Certification ccc 2008Bruce GAO
 
20171221-7 jni-atelier hds
20171221-7 jni-atelier hds20171221-7 jni-atelier hds
20171221-7 jni-atelier hdsASIP Santé
 
HIT 2017 - ASIP Santé - Atelier N°7 Certification Hébergement des données de...
HIT 2017 - ASIP Santé - Atelier N°7 Certification Hébergement des données de...HIT 2017 - ASIP Santé - Atelier N°7 Certification Hébergement des données de...
HIT 2017 - ASIP Santé - Atelier N°7 Certification Hébergement des données de...ASIP Santé
 
RCV2_AIS_V01_18042018.pdf
RCV2_AIS_V01_18042018.pdfRCV2_AIS_V01_18042018.pdf
RCV2_AIS_V01_18042018.pdflyalya25
 
RCV2_AIS_V01_18042018-1.pdf
RCV2_AIS_V01_18042018-1.pdfRCV2_AIS_V01_18042018-1.pdf
RCV2_AIS_V01_18042018-1.pdflyalya25
 
Reconnaissance des compétences acquises dans l'exercice d'un mandat de représ...
Reconnaissance des compétences acquises dans l'exercice d'un mandat de représ...Reconnaissance des compétences acquises dans l'exercice d'un mandat de représ...
Reconnaissance des compétences acquises dans l'exercice d'un mandat de représ...Société Tripalio
 
La VAE fait peau neuve : à quelles modifications doit-on s'attendre au 1er oc...
La VAE fait peau neuve : à quelles modifications doit-on s'attendre au 1er oc...La VAE fait peau neuve : à quelles modifications doit-on s'attendre au 1er oc...
La VAE fait peau neuve : à quelles modifications doit-on s'attendre au 1er oc...Société Tripalio
 
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...Mailjet
 

Recommandé

Certification ccc 2008
Certification ccc 2008Certification ccc 2008
Certification ccc 2008Bruce GAO
 
20171221-7 jni-atelier hds
20171221-7 jni-atelier hds20171221-7 jni-atelier hds
20171221-7 jni-atelier hdsASIP Santé
 
HIT 2017 - ASIP Santé - Atelier N°7 Certification Hébergement des données de...
HIT 2017 - ASIP Santé - Atelier N°7 Certification Hébergement des données de...HIT 2017 - ASIP Santé - Atelier N°7 Certification Hébergement des données de...
HIT 2017 - ASIP Santé - Atelier N°7 Certification Hébergement des données de...ASIP Santé
 
RCV2_AIS_V01_18042018.pdf
RCV2_AIS_V01_18042018.pdfRCV2_AIS_V01_18042018.pdf
RCV2_AIS_V01_18042018.pdflyalya25
 
RCV2_AIS_V01_18042018-1.pdf
RCV2_AIS_V01_18042018-1.pdfRCV2_AIS_V01_18042018-1.pdf
RCV2_AIS_V01_18042018-1.pdflyalya25
 
Reconnaissance des compétences acquises dans l'exercice d'un mandat de représ...
Reconnaissance des compétences acquises dans l'exercice d'un mandat de représ...Reconnaissance des compétences acquises dans l'exercice d'un mandat de représ...
Reconnaissance des compétences acquises dans l'exercice d'un mandat de représ...Société Tripalio
 
La VAE fait peau neuve : à quelles modifications doit-on s'attendre au 1er oc...
La VAE fait peau neuve : à quelles modifications doit-on s'attendre au 1er oc...La VAE fait peau neuve : à quelles modifications doit-on s'attendre au 1er oc...
La VAE fait peau neuve : à quelles modifications doit-on s'attendre au 1er oc...Société Tripalio
 
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...Mailjet
 
Presentation modalites d'enregistrement des produits cosmetiques et hygiene ...
Presentation modalites d'enregistrement des produits cosmetiques et hygiene ...Presentation modalites d'enregistrement des produits cosmetiques et hygiene ...
Presentation modalites d'enregistrement des produits cosmetiques et hygiene ...herve doudouho christian
 
Chapitre8; les exigences de la norme ISO 9001 v 2015
Chapitre8; les exigences de la norme ISO 9001 v 2015Chapitre8; les exigences de la norme ISO 9001 v 2015
Chapitre8; les exigences de la norme ISO 9001 v 2015Alioune Ndongo
 
ISO17025Version2017.ppsx
ISO17025Version2017.ppsxISO17025Version2017.ppsx
ISO17025Version2017.ppsxjioho
 
2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"
2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"
2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"ASIP Santé
 
L'addenda 3 Note informative
L'addenda 3 Note informativeL'addenda 3 Note informative
L'addenda 3 Note informativeDynatech, Lift Safety Components
 
Obtenir la certification CRCC fournisseur Petrobras
Obtenir la certification CRCC fournisseur PetrobrasObtenir la certification CRCC fournisseur Petrobras
Obtenir la certification CRCC fournisseur PetrobrasAlter-Pro Consulting Services
 
ppt-webinar-qualite.pdf
ppt-webinar-qualite.pdfppt-webinar-qualite.pdf
ppt-webinar-qualite.pdfAbdesslam MEZDARI
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015polenumerique33
 
2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...
2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...
2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...ASIP Santé
 
Tunisian experience in the field of certification and standardization for swh...
Tunisian experience in the field of certification and standardization for swh...Tunisian experience in the field of certification and standardization for swh...
Tunisian experience in the field of certification and standardization for swh...RCREEE
 
Audit comptable et financier
Audit comptable et financierAudit comptable et financier
Audit comptable et financieralaoui rachida
 
Audit compatble et financier
Audit compatble et financierAudit compatble et financier
Audit compatble et financiergadour youssef
 
Service certification des Etablissements de sante guide méthodologique à dest...
Service certification des Etablissements de sante guide méthodologique à dest...Service certification des Etablissements de sante guide méthodologique à dest...
Service certification des Etablissements de sante guide méthodologique à dest...Hichem CHAIBI
 
La qualité de la formation en débat
La qualité de la formation en débatLa qualité de la formation en débat
La qualité de la formation en débatDefi_metiers
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...
Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...
Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...COMPETITIC
 
audit 2009
audit 2009 audit 2009
audit 2009hassan1488
 
Formation EMFPS du 22/23 novembre 2018: "Enregistrement DM Dossier technique ...
Formation EMFPS du 22/23 novembre 2018: "Enregistrement DM Dossier technique ...Formation EMFPS du 22/23 novembre 2018: "Enregistrement DM Dossier technique ...
Formation EMFPS du 22/23 novembre 2018: "Enregistrement DM Dossier technique ...Jean-Luc Balança
 
Bpost wil postbodes psychologisch doorlichten
Bpost wil postbodes psychologisch doorlichtenBpost wil postbodes psychologisch doorlichten
Bpost wil postbodes psychologisch doorlichtenThierry Debels
 
Formation EMFPS du 5/6 juin 2018 : "Dispositifs médicaux : Réussir sa transit...
Formation EMFPS du 5/6 juin 2018 : "Dispositifs médicaux : Réussir sa transit...Formation EMFPS du 5/6 juin 2018 : "Dispositifs médicaux : Réussir sa transit...
Formation EMFPS du 5/6 juin 2018 : "Dispositifs médicaux : Réussir sa transit...Jean-Luc Balança
 
Documents officiels du dossier Epstein, délivrés par la Justice
Documents officiels du dossier Epstein, délivrés par la JusticeDocuments officiels du dossier Epstein, délivrés par la Justice
Documents officiels du dossier Epstein, délivrés par la JusticeSociété Tripalio
 
Charte du candidat Prenons-nous en main pour 2024
Charte du candidat Prenons-nous en main pour 2024Charte du candidat Prenons-nous en main pour 2024
Charte du candidat Prenons-nous en main pour 2024Société Tripalio
 

Contenu connexe

Similaire à DPO : deux référentiels pour la certification du délégué à la protection des données

Presentation modalites d'enregistrement des produits cosmetiques et hygiene ...
Presentation modalites d'enregistrement des produits cosmetiques et hygiene ...Presentation modalites d'enregistrement des produits cosmetiques et hygiene ...
Presentation modalites d'enregistrement des produits cosmetiques et hygiene ...herve doudouho christian
 
Chapitre8; les exigences de la norme ISO 9001 v 2015
Chapitre8; les exigences de la norme ISO 9001 v 2015Chapitre8; les exigences de la norme ISO 9001 v 2015
Chapitre8; les exigences de la norme ISO 9001 v 2015Alioune Ndongo
 
ISO17025Version2017.ppsx
ISO17025Version2017.ppsxISO17025Version2017.ppsx
ISO17025Version2017.ppsxjioho
 
2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"
2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"
2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"ASIP Santé
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015polenumerique33
 
2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...
2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...
2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...ASIP Santé
 
Tunisian experience in the field of certification and standardization for swh...
Tunisian experience in the field of certification and standardization for swh...Tunisian experience in the field of certification and standardization for swh...
Tunisian experience in the field of certification and standardization for swh...RCREEE
 
Audit comptable et financier
Audit comptable et financierAudit comptable et financier
Audit comptable et financieralaoui rachida
 
Audit compatble et financier
Audit compatble et financierAudit compatble et financier
Audit compatble et financiergadour youssef
 
Service certification des Etablissements de sante guide méthodologique à dest...
Service certification des Etablissements de sante guide méthodologique à dest...Service certification des Etablissements de sante guide méthodologique à dest...
Service certification des Etablissements de sante guide méthodologique à dest...Hichem CHAIBI
 
La qualité de la formation en débat
La qualité de la formation en débatLa qualité de la formation en débat
La qualité de la formation en débatDefi_metiers
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...
Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...
Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...COMPETITIC
 
Formation EMFPS du 22/23 novembre 2018: "Enregistrement DM Dossier technique ...
Formation EMFPS du 22/23 novembre 2018: "Enregistrement DM Dossier technique ...Formation EMFPS du 22/23 novembre 2018: "Enregistrement DM Dossier technique ...
Formation EMFPS du 22/23 novembre 2018: "Enregistrement DM Dossier technique ...Jean-Luc Balança
 
Bpost wil postbodes psychologisch doorlichten
Bpost wil postbodes psychologisch doorlichtenBpost wil postbodes psychologisch doorlichten
Bpost wil postbodes psychologisch doorlichtenThierry Debels
 
Formation EMFPS du 5/6 juin 2018 : "Dispositifs médicaux : Réussir sa transit...
Formation EMFPS du 5/6 juin 2018 : "Dispositifs médicaux : Réussir sa transit...Formation EMFPS du 5/6 juin 2018 : "Dispositifs médicaux : Réussir sa transit...
Formation EMFPS du 5/6 juin 2018 : "Dispositifs médicaux : Réussir sa transit...Jean-Luc Balança
 

Similaire à DPO : deux référentiels pour la certification du délégué à la protection des données (20)

Presentation modalites d'enregistrement des produits cosmetiques et hygiene ...
Presentation modalites d'enregistrement des produits cosmetiques et hygiene ...Presentation modalites d'enregistrement des produits cosmetiques et hygiene ...
Presentation modalites d'enregistrement des produits cosmetiques et hygiene ...
 
Chapitre8; les exigences de la norme ISO 9001 v 2015
Chapitre8; les exigences de la norme ISO 9001 v 2015Chapitre8; les exigences de la norme ISO 9001 v 2015
Chapitre8; les exigences de la norme ISO 9001 v 2015
 
ISO17025Version2017.ppsx
ISO17025Version2017.ppsxISO17025Version2017.ppsx
ISO17025Version2017.ppsx
 
2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"
2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"
2014-06-20 ASIP Santé JNI "Actualités sur les annuaires et la sécurité"
 
L'addenda 3 Note informative
L'addenda 3 Note informativeL'addenda 3 Note informative
L'addenda 3 Note informative
 
Obtenir la certification CRCC fournisseur Petrobras
Obtenir la certification CRCC fournisseur PetrobrasObtenir la certification CRCC fournisseur Petrobras
Obtenir la certification CRCC fournisseur Petrobras
 
ppt-webinar-qualite.pdf
ppt-webinar-qualite.pdfppt-webinar-qualite.pdf
ppt-webinar-qualite.pdf
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
 
2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...
2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...
2016-05-24 ASIP Santé Ateliers PHW16 "La Certification Qualité Hôpital numéri...
 
Tunisian experience in the field of certification and standardization for swh...
Tunisian experience in the field of certification and standardization for swh...Tunisian experience in the field of certification and standardization for swh...
Tunisian experience in the field of certification and standardization for swh...
 
Audit comptable et financier
Audit comptable et financierAudit comptable et financier
Audit comptable et financier
 
Audit compatble et financier
Audit compatble et financierAudit compatble et financier
Audit compatble et financier
 
Service certification des Etablissements de sante guide méthodologique à dest...
Service certification des Etablissements de sante guide méthodologique à dest...Service certification des Etablissements de sante guide méthodologique à dest...
Service certification des Etablissements de sante guide méthodologique à dest...
 
La qualité de la formation en débat
La qualité de la formation en débatLa qualité de la formation en débat
La qualité de la formation en débat
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdf
 
Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...
Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...
Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...
 
audit 2009
audit 2009 audit 2009
audit 2009
 
Formation EMFPS du 22/23 novembre 2018: "Enregistrement DM Dossier technique ...
Formation EMFPS du 22/23 novembre 2018: "Enregistrement DM Dossier technique ...Formation EMFPS du 22/23 novembre 2018: "Enregistrement DM Dossier technique ...
Formation EMFPS du 22/23 novembre 2018: "Enregistrement DM Dossier technique ...
 
Bpost wil postbodes psychologisch doorlichten
Bpost wil postbodes psychologisch doorlichtenBpost wil postbodes psychologisch doorlichten
Bpost wil postbodes psychologisch doorlichten
 
Formation EMFPS du 5/6 juin 2018 : "Dispositifs médicaux : Réussir sa transit...
Formation EMFPS du 5/6 juin 2018 : "Dispositifs médicaux : Réussir sa transit...Formation EMFPS du 5/6 juin 2018 : "Dispositifs médicaux : Réussir sa transit...
Formation EMFPS du 5/6 juin 2018 : "Dispositifs médicaux : Réussir sa transit...
 

Plus de Société Tripalio

Documents officiels du dossier Epstein, délivrés par la Justice
Documents officiels du dossier Epstein, délivrés par la JusticeDocuments officiels du dossier Epstein, délivrés par la Justice
Documents officiels du dossier Epstein, délivrés par la JusticeSociété Tripalio
 
Charte du candidat Prenons-nous en main pour 2024
Charte du candidat Prenons-nous en main pour 2024Charte du candidat Prenons-nous en main pour 2024
Charte du candidat Prenons-nous en main pour 2024Société Tripalio
 
Prenons-nous en main 2024 : le programme !
Prenons-nous en main 2024 : le programme !Prenons-nous en main 2024 : le programme !
Prenons-nous en main 2024 : le programme !Société Tripalio
 
Conclusions de la COP 28 de Dubai, décembre 2023
Conclusions de la COP 28 de Dubai, décembre 2023Conclusions de la COP 28 de Dubai, décembre 2023
Conclusions de la COP 28 de Dubai, décembre 2023Société Tripalio
 
l16t0197_texte-adopte-seance.pdf
l16t0197_texte-adopte-seance.pdfl16t0197_texte-adopte-seance.pdf
l16t0197_texte-adopte-seance.pdfSociété Tripalio
 
ecb.sp231121_1~8df317dc17.en.pdf
ecb.sp231121_1~8df317dc17.en.pdfecb.sp231121_1~8df317dc17.en.pdf
ecb.sp231121_1~8df317dc17.en.pdfSociété Tripalio
 
2023-11-14-allocution-laurent-fabius (1).pdf
2023-11-14-allocution-laurent-fabius (1).pdf2023-11-14-allocution-laurent-fabius (1).pdf
2023-11-14-allocution-laurent-fabius (1).pdfSociété Tripalio
 
RCP pfizer octobre 2023 anx_160809_fr.pdf
RCP pfizer octobre 2023 anx_160809_fr.pdfRCP pfizer octobre 2023 anx_160809_fr.pdf
RCP pfizer octobre 2023 anx_160809_fr.pdfSociété Tripalio
 
Circulaire_relative_à_la_lutte_contre_les_infractions_susceptibles_d'être_c...
Circulaire_relative_à_la_lutte_contre_les_infractions_susceptibles_d'être_c...Circulaire_relative_à_la_lutte_contre_les_infractions_susceptibles_d'être_c...
Circulaire_relative_à_la_lutte_contre_les_infractions_susceptibles_d'être_c...Société Tripalio
 
Dr Broussalian réponse pour Olivier Soulier.pdf
Dr Broussalian réponse pour Olivier Soulier.pdfDr Broussalian réponse pour Olivier Soulier.pdf
Dr Broussalian réponse pour Olivier Soulier.pdfSociété Tripalio
 
dffe1cf9ec241b5152a8688602d58ff1e640e4c1.pdf
dffe1cf9ec241b5152a8688602d58ff1e640e4c1.pdfdffe1cf9ec241b5152a8688602d58ff1e640e4c1.pdf
dffe1cf9ec241b5152a8688602d58ff1e640e4c1.pdfSociété Tripalio
 
2023-incidences-economiques-rapport-pisani-5juin.pdf
2023-incidences-economiques-rapport-pisani-5juin.pdf2023-incidences-economiques-rapport-pisani-5juin.pdf
2023-incidences-economiques-rapport-pisani-5juin.pdfSociété Tripalio
 

Plus de Société Tripalio (20)

Documents officiels du dossier Epstein, délivrés par la Justice
Documents officiels du dossier Epstein, délivrés par la JusticeDocuments officiels du dossier Epstein, délivrés par la Justice
Documents officiels du dossier Epstein, délivrés par la Justice
 
Charte du candidat Prenons-nous en main pour 2024
Charte du candidat Prenons-nous en main pour 2024Charte du candidat Prenons-nous en main pour 2024
Charte du candidat Prenons-nous en main pour 2024
 
Prenons-nous en main 2024 : le programme !
Prenons-nous en main 2024 : le programme !Prenons-nous en main 2024 : le programme !
Prenons-nous en main 2024 : le programme !
 
Conclusions de la COP 28 de Dubai, décembre 2023
Conclusions de la COP 28 de Dubai, décembre 2023Conclusions de la COP 28 de Dubai, décembre 2023
Conclusions de la COP 28 de Dubai, décembre 2023
 
Rapport AME 04122023_vf.pdf
Rapport AME 04122023_vf.pdfRapport AME 04122023_vf.pdf
Rapport AME 04122023_vf.pdf
 
l16t0197_texte-adopte-seance.pdf
l16t0197_texte-adopte-seance.pdfl16t0197_texte-adopte-seance.pdf
l16t0197_texte-adopte-seance.pdf
 
ecb.sp231121_1~8df317dc17.en.pdf
ecb.sp231121_1~8df317dc17.en.pdfecb.sp231121_1~8df317dc17.en.pdf
ecb.sp231121_1~8df317dc17.en.pdf
 
ST-15732-2023-INIT_fr.pdf
ST-15732-2023-INIT_fr.pdfST-15732-2023-INIT_fr.pdf
ST-15732-2023-INIT_fr.pdf
 
ST-15631-2023-INIT_en.pdf
ST-15631-2023-INIT_en.pdfST-15631-2023-INIT_en.pdf
ST-15631-2023-INIT_en.pdf
 
2023-11-14-allocution-laurent-fabius (1).pdf
2023-11-14-allocution-laurent-fabius (1).pdf2023-11-14-allocution-laurent-fabius (1).pdf
2023-11-14-allocution-laurent-fabius (1).pdf
 
RCP pfizer octobre 2023 anx_160809_fr.pdf
RCP pfizer octobre 2023 anx_160809_fr.pdfRCP pfizer octobre 2023 anx_160809_fr.pdf
RCP pfizer octobre 2023 anx_160809_fr.pdf
 
Circulaire_relative_à_la_lutte_contre_les_infractions_susceptibles_d'être_c...
Circulaire_relative_à_la_lutte_contre_les_infractions_susceptibles_d'être_c...Circulaire_relative_à_la_lutte_contre_les_infractions_susceptibles_d'être_c...
Circulaire_relative_à_la_lutte_contre_les_infractions_susceptibles_d'être_c...
 
pjl22-434.pdf
pjl22-434.pdfpjl22-434.pdf
pjl22-434.pdf
 
Guide AMF prospectus.pdf
Guide AMF prospectus.pdfGuide AMF prospectus.pdf
Guide AMF prospectus.pdf
 
Budget de la Présidence
Budget de la PrésidenceBudget de la Présidence
Budget de la Présidence
 
PLAN DE GOBIERNO - JM.pdf
PLAN DE GOBIERNO - JM.pdfPLAN DE GOBIERNO - JM.pdf
PLAN DE GOBIERNO - JM.pdf
 
Dr Broussalian réponse pour Olivier Soulier.pdf
Dr Broussalian réponse pour Olivier Soulier.pdfDr Broussalian réponse pour Olivier Soulier.pdf
Dr Broussalian réponse pour Olivier Soulier.pdf
 
dffe1cf9ec241b5152a8688602d58ff1e640e4c1.pdf
dffe1cf9ec241b5152a8688602d58ff1e640e4c1.pdfdffe1cf9ec241b5152a8688602d58ff1e640e4c1.pdf
dffe1cf9ec241b5152a8688602d58ff1e640e4c1.pdf
 
2023-incidences-economiques-rapport-pisani-5juin.pdf
2023-incidences-economiques-rapport-pisani-5juin.pdf2023-incidences-economiques-rapport-pisani-5juin.pdf
2023-incidences-economiques-rapport-pisani-5juin.pdf
 
COM_2023_610_1_FR.PDF
COM_2023_610_1_FR.PDFCOM_2023_610_1_FR.PDF
COM_2023_610_1_FR.PDF
 

DPO : deux référentiels pour la certification du délégué à la protection des données

  • 1. Commission nationale de l’informatique et des libertés Délibération no 2018-317 du 20 septembre 2018 portant adoption des critères du référentiel d’agrément d’organismes de certification pour la certification des compétences du délégué à la protection des données (DPO) NOR : CNIL1827455X La Commission nationale de l’informatique et des libertés, Vu la convention no 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ; Vu la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 11-I-2o f bis ; Vu le décret no 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment son article 6-8 ; Vu la délibération no 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données (DPO) ; Après avoir entendu M. Maurice RONAI, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations, Formule les observations suivantes : Conformément à l’article 11-I-2o f bis de la loi no 78-17 modifiée, la Commission nationale de l’informatique et des libertés (ci-après, la CNIL ou la Commission) est compétente pour agréer des organismes en vue de délivrer la certification des compétences du délégué à la protection des données (ci-après « DPO ») sur la base de critères qu’elle a adoptés. La présente délibération fixe les critères d’agrément d’organismes de certification pour la certification des compétences de personnes physiques en tant que délégué à la protection des données, tel que visé à la section 4 du chapitre IV du règlement (UE) 2016/679. Décide : Les critères du référentiel annexé à la présente délibération en vue de l’agrément par la Commission d’organismes en charge de la certification des compétences du délégué à la protection des données sont approuvés. Le fonctionnement de ce dispositif fera l’objet, au plus tard dans un délai de deux ans à compter de son entrée en vigueur, d’une évaluation en vue d’adapter, le cas échéant, les exigences du présent référentiel. La présente délibération sera publiée au Journal officiel de la République française. La présidente, I. FALQUE-PIERROTIN ANNEXE RÉFÉRENTIEL D’AGRÉMENT D’ORGANISMES DE CERTIFICATION POUR LA CERTIFICATION DES COMPÉTENCES DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO) Catégorie 1. Accréditation Exigence 1.1. L’organisme de certification est accrédité, pendant toute la durée de son agrément par la CNIL, par un organisme d’accréditation membre de l’IAF (International Accreditation Forum) au regard de la norme ISO/IEC 17024 : 2012 « Evaluation de la conformité – Exigences générales pour les organismes de certification procédant à la certification de personnes » pour un dispositif particulier de certification de personnes. Exigence 1.2. L’organisme de certification élabore et met en œuvre un dispositif de certification de personnes pour le DPO en conformité avec la norme ISO/IEC 17024 : 2012, les exigences fixées par le présent référentiel ainsi que les exigences fixées par le référentiel de certification des compétences du DPO (délibération no 2018-318 du 20 septembre 2018). Catégorie 2. Evaluation du candidat à la certification Exigence 2.1. L’organisme de certification vérifie le respect des conditions préalables prévues à la catégorie 1 du référentiel de certification des compétences du DPO (délibération no 2018-318 du 20 septembre 2018). 11 octobre 2018 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 50 sur 126
  • 2. Exigence 2.2. L’organisme de certification vérifie les compétences et le savoir-faire du candidat par une épreuve écrite dont les caractéristiques répondent aux exigences suivantes. Exigence 2.3. L’épreuve écrite consiste en un questionnaire à choix multiple (QCM) en français comprenant au moins 100 questions. 30% des questions de chacun des domaines sont énoncées sous forme de cas pratique. Exigence 2.4. L’épreuve écrite est réalisée dans des conditions garantissant le pseudonymat lors de la correction. Exigence 2.5. Les questions du QCM évaluent les compétences et savoir-faire s’agissant des exigences de la catégorie 2 de la délibération no 2018-318 du 20 septembre 2018 et couvrent tous les domaines du programme figurant en annexe de la présente délibération selon la répartition suivante : Domaine 1. – Réglementation générale en matière de protection des données et mesures prises pour la mise en conformité : 50% des questions ; Domaine 2. – Responsabilité : 30% des questions ; Domaine 3. – Mesures techniques et organisationnelles pour la sécurité des données au regard des risques : 20% des questions. Exigence 2.6. Pour chaque question, 4 réponses sont proposées dont l’une ou plusieurs sont exactes. Exigence 2.7. Les questions du QCM sont régulièrement actualisées. Exigence 2.8. L’épreuve écrite est réussie : – si, au total, au moins 75% des réponses sont exactes ; et – si, pour chacun des trois domaines, au moins 50% des réponses aux questions sont exactes. Exigence 2.9. Les organismes de certification permettent à des observateurs de la Commission d’être présents pendant le déroulement des épreuves. Catégorie 3. Délivrance de la certification Exigence 3.1. L’organisme de certification délivre la certification aux candidats qui ont réussi l’épreuve écrite. Exigence 3.2. L’organisme de certification adresse à la personne certifiée un certificat de DPO certifié portant sur le libellé « Délégué à la protection des données certifié conformément au référentiel de certification des compétences du DPO de la CNIL ». Exigence 3.3. La certification est valable 3 ans à compter de sa délivrance. Exigence 3.4. L’organisme de certification tient un registre à jour des personnes certifiées. Le registre comprend, pour chaque personne certifiée, ses nom et prénoms, la date de délivrance de la certification, la date d’expiration et le statut de la certification (délivrée, suspendue, retirée, renouvelée). Exigence 3.5. Le registre mis à jour est transmis à la Commission tous les 6 mois à compter de la délivrance de l’agrément. Catégorie 4. Renouvellement de la certification Exigence 4.1. Le renouvellement de la certification est possible avant la date d’échéance du certificat à condition que la personne certifiée : – réussisse une nouvelle épreuve écrite répondant aux exigences de la catégorie 2 du présent référentiel ; et – démontre qu’elle dispose d’une expérience professionnelle d’au moins un an, acquise dans le courant des trois dernières années, dans des projets, activités ou tâches en lien avec les missions du DPO s’agissant de la protection des données ou de la sécurité de l’information, attestée par un tiers (employeur ou client). Catégorie 5. Matériel d’évaluation Exigence 5.1. L’organisme de certification développe et applique son matériel d’évaluation et la documentation descriptive de sa mise en œuvre (exigences de certification) afin d’évaluer la conformité aux critères du référentiel de certification (délibération no 2018-318 du 20 septembre 2018). Catégorie 6. Comité de certification Exigence 6.1. Les organismes de certification agréés invitent à leur comité du dispositif particulier un représentant de la Commission. Catégorie 7. Eléments à fournir avec la demande d’agrément Exigence 7.1. Les organismes de certification qui demandent à être agréés par la Commission lui fournissent un dossier comprenant : – un extrait K-bis ou équivalent ; – l’attestation d’accréditation ISO/IEC 17024 : 2012 conformément à l’exigence 1.1 de la présente délibération ; – un document qui présente le processus de certification des compétences du DPO ; et – leur matériel d’évaluation (notamment les questions posées et les réponses pour l’épreuve écrite) et la documentation descriptive de leur mise en œuvre (règles de certification) concernant la certification des compétences du DPO. 11 octobre 2018 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 50 sur 126
  • 3. Catégorie 8. Eléments à fournir de manière régulière ou à la demande de la Commission Exigence 8.1. Les organismes de certification agréés font parvenir à la Commission : – sans délai, toute modification de leur statut d’accréditation telle que la suspension ou le retrait de l’accréditation ISO/IEC 17024 : 2012 ; – un rapport annuel d’activité sur la certification des compétences du DPO comprenant les plaintes et réclamations à l’encontre de l’organisme de certification dans le cadre de la certification des compétences du DPO ainsi que toute difficulté rencontrée dans l’application des critères de certification des compétences du DPO adoptés dans la délibération no 2018-318 du 20 septembre 2018 ; – tous les 6 mois à compter de la délivrance de l’agrément, les statistiques de réussite de l’épreuve écrite ainsi que le registre actualisé des personnes certifiées DPO comprenant les noms, prénoms, la date de délivrance de la certification et la date d’expiration. Exigence 8.2. Les organismes de certification agréés sont en mesure, à la demande de la Commission, de démontrer à tout moment le respect des exigences : – du présent référentiel, et en particulier de l’exigence 1.2 ; et – du référentiel de certification des compétences du DPO (délibération no 2018-318 du 20 septembre 2018). Annexe Programme de l’évaluation écrite (domaines) Domaine 1. – Réglementation générale en matière de protection des données et mesures prises pour la mise en conformité (50% des questions) 1.1. Règlement européen et loi française sur la protection des données – fondamentaux : 1.1.1. Champ d’application. 1.1.2. Définitions et notions. 1.1.3. Organismes soumis aux obligations règlementaires. 1.2. Règlement européen et loi française sur la protection des données – principes : 1.2.1. Licéité du traitement. 1.2.2. Loyauté et transparence. 1.2.3. Limitation des finalités. 1.2.4. Minimisation des données. 1.2.5. Exactitude des données. 1.2.6. Conservation limitée des données. 1.2.7. Intégrité, confidentialité des données. 1.3. Règlement européen et loi française sur la protection des données – validité du traitement : 1.3.1. Bases juridiques d’un traitement. 1.3.2. Consentement. 1.3.3. Consentement des mineurs. 1.3.4. Catégories particulières de données à caractère personnel. 1.3.5. Données relatives aux condamnations pénales et aux infractions. 1.4. Droits des personnes concernées : 1.4.1. Transparence et information. 1.4.2. Accès, rectification et effacement (droit à l’oubli). 1.4.3. Opposition. 1.4.4. Décisions individuelles automatisées. 1.4.5. Portabilité. 1.4.6. Limitation du traitement. 1.4.7. Limitations des droits. 1.5. Mesures prises pour la mise en conformité : 1.5.1. Politiques ou procédure en matière de protection des données 1.5.2. Qualification des acteurs d’un traitement de données : responsables du traitement, responsables conjoints du traitement, sous-traitants 1.5.3. Formalisation des relations (contrat sous-traitant, accord entre responsables conjoints du traitement). 1.5.4. Codes de conduite et certifications. 11 octobre 2018 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 50 sur 126
  • 4. 1.6. Délégué à la protection des données (DPO) : 1.6.1. Désignation et fin de mission. 1.6.2. Qualités professionnelles, connaissances spécialisées et capacité à accomplir ses missions. 1.6.3. Fonction du DPO (moyens, ressources, positionnement, indépendance, confidentialité, absence de conflit d’intérêts, formation). 1.6.4. Missions du DPO et rôle du DPO en matière d’audits. 1.6.5. Relations du DPO avec les personnes concernées et gestion des demandes d’exercice des droits. 1.6.6. Coopération du DPO avec l’autorité de contrôle. 1.6.7. Qualités personnelles, travail en équipe, management, communication, pédagogie. 1.7. Transferts de données hors de l’Union européenne : 1.7.1. Décision d’adéquation. 1.7.2. Garanties appropriées. 1.7.3. Règles d’entreprise contraignantes. 1.7.4. Dérogations. 1.7.5. Autorisation de l’autorité de contrôle. 1.7.6. Suspension temporaire. 1.7.7. Clauses contractuelles. 1.8. Autorités de contrôle : 1.8.1. Statut. 1.8.2. Pouvoirs. 1.8.3. Régime de sanction. 1.8.4. Comité européen de protection des données. 1.8.5. Recours juridictionnels. 1.8.6. Droit à réparation. 1.9. Doctrine et jurisprudence : 1.9.1. Lignes directrices du G29. 1.9.2. Avis, lignes directrices et recommandations du comité européen de protection des données. 1.9.3. Jurisprudence française et européenne. Domaine 2. – Responsabilité (30% des questions) 2.1. Analyse d’impact relative à la protection des données (AIPD). 2.2. Protection des données dès la conception et par défaut. 2.3. Registre des activités de traitement (responsable de traitement) et registre des catégories d’activités de traitement (sous-traitant). 2.4. Violations de données à caractère personnel, notification des violations et communication à la personne concernée. Domaine 3. – Mesures techniques et organisationnelles pour la sécurité des données au regard des risques (20% des questions) 3.1. Pseudonymisation et chiffrement des données personnelles. 3.2. Mesures pour garantir la confidentialité, l’intégrité et la résilience des systèmes et des services de traitement. 3.3. Mesures permettant de rétablir la disponibilité des données et l’accès aux données en cas d’incident physique ou technique. 11 octobre 2018 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 50 sur 126
  • 5. Commission nationale de l’informatique et des libertés Délibération no 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données (DPO) NOR : CNIL1827457X La Commission nationale de l’informatique et des libertés, Vu la convention no 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; Vu le règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ; Vu la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 11-I-2° f bis ; Vu le décret no 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment son article 6-8 ; Vu la délibération no 2018-317 du 20 septembre 2018 portant adoption des critères du référentiel d’agrément d’organismes de certification pour la certification des compétences du délégué à la protection des données (DPO) ; Après avoir entendu M. Maurice RONAI, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations, Formule les observations suivantes : Conformément à l’article 11-I-2° f bis de la loi no 78-17 modifiée, la Commission nationale de l’informatique et des libertés (ci-après, la CNIL ou la Commission) est compétente pour élaborer ou approuver les critères d’un référentiel de certification des compétences de personnes. La présente délibération fixe les critères du référentiel de certification pour la catégorie « délégué à la protection des données », tel que visée à la section 4 du chapitre IV du règlement (UE) 2016/679. Décide : Les critères du référentiel annexé à la présente délibération en vue de la certification, par des organismes agréés par la Commission, des compétences du délégué à la protection des données, sont approuvés. Le fonctionnement de ce dispositif fera l’objet, au plus tard dans un délai de deux ans à compter de son entrée en vigueur, d’une évaluation en vue d’adapter, le cas échéant, les exigences du présent référentiel. La présente délibération sera publiée au Journal officiel de la République française. La présidente, I. FALQUE-PIERROTIN ANNEXE RÉFÉRENTIEL DE CERTIFICATION DES COMPÉTENCES DU DÉLEGUÉ À LA PROTECTION DES DONNÉES (DPO) Catégorie 1. Conditions préalables à remplir par le candidat à la certification Exigence 1.1. Pour pouvoir accéder à la phase d’évaluation, le candidat remplit l’une des conditions préalables suivantes : – justifier d’une expérience professionnelle d’au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du DPO s’agissant de la protection des données personnelles ; ou – justifier d’une expérience professionnelle d’au moins 2 ans ainsi que d’une formation d’au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation. Catégorie 2. Compétences et savoir-faire Exigence 2.1. Le candidat connaît et comprend les principes de licéité du traitement, de limitation des finalités, de minimisation des données, d’exactitude des données, de conservation limitée des données, d’intégrité, de confidentialité et de responsabilité. Exigence 2.2. Le candidat sait identifier la base juridique d’un traitement. Exigence 2.3. Le candidat sait déterminer les mesures appropriées et le contenu de l’information à fournir aux personnes concernées. 11 octobre 2018 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 51 sur 126
  • 6. Exigence 2.4. Le candidat sait établir des procédures pour recevoir et gérer les demandes d’exercice des droits des personnes concernées. Exigence 2.5. Le candidat connaît le cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles. Exigence 2.6. Le candidat sait identifier l’existence de transferts de données hors Union européenne et sait déterminer les instruments juridiques de transfert susceptibles d’être utilisés. Exigence 2.7. Le candidat sait élaborer et mettre en œuvre une politique ou des règles internes en matière de protection des données. Exigence 2.8. Le candidat sait organiser et participer à des audits en matière de protection des données. Exigence 2.9. Le candidat connaît le contenu du registre d’activités de traitement, du registre des catégories d’activités de traitement et de la documentation des violations de données ainsi que de la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données. Exigence 2.10. Le candidat sait identifier des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement. Exigence 2.11. Le candidat sait participer à l’identification des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement. Exigence 2.12. Le candidat sait identifier les violations de données personnelles nécessitant une notification à l’autorité de contrôle et celles nécessitant une communication aux personnes concernées. Exigence 2.13. Le candidat sait déterminer s’il est nécessaire ou non d’effectuer une analyse d’impact relative à la protection des données (AIPD) et sait en vérifier l’exécution. Exigence 2.14. Le candidat sait dispenser des conseils en matière d’analyse d’impact relative à la protection des données (en particulier sur la méthodologie, l’éventuelle sous-traitance, les mesures techniques et organisation­ nelles à adopter). Exigence 2.15. Le candidat sait gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier). Exigence 2.16. Le candidat sait élaborer, mettre en œuvre et est en capacité de dispenser des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données. Exigence 2.17. Le candidat sait assurer la traçabilité de ses activités, notamment à l’aide d’outils de suivi ou de bilan annuel. 11 octobre 2018 JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE Texte 51 sur 126