Actualité
2 min de lecture
13 mars 2023
La CNIL révise certains critères de son référentiel d’agrément d’organismes de certification pour la certification des compétences du délégué à la protection des données (DPO).

La Commission nationale de l'informatique et des libertés (CNIL) peut agréer des organismes en vue de délivrer la certification des compétences du délégué à la protection des données (DPO). Ce dispositif s’appuie sur deux référentiels complémentaires :

  • un référentiel de certification des compétences du DPO, qui liste les savoir-faire et compétences exigés d’un DPO selon 17 critères (Délib. CNIL n° 2018-318, 20 sept. 2018) ;
  • un référentiel d’agrément pour les organismes qui délivrent la certification de DPO sur la base du premier référentiel. En effet, ce n’est pas la CNIL qui délivre la certification de DPO mais les organismes certificateurs, une fois agréés par la Commission (Délib. CNIL n° 2018-317, 20 sept. 2018).

Par une délibération du 6 octobre 2022, publiée au Journal officiel du 10 mars 2023, la CNIL a modifié ce second référentiel d’agrément.

Parmi les modifications les plus significatives, il convient de relever les suivantes :

  • il est désormais précisé que l’agrément est délivré par la Commission pour une durée de 5 ans ;
  • en ce qui concerne l’accréditation des organismes certificateurs, la référence à la norme ISO/IEC 17024 : 2012 (« Évaluation de la conformité - Exigences générales pour les organismes de certification procédant à la certification de personnes ») est remplacée par une référence à la norme EN ISO/IEC 17024 en vigueur ;
  • il est désormais prévu que l’épreuve écrite permettant d’évaluer le candidat à la certification des compétences du DPO peut se dérouler à distance. Toutefois, « cette modalité ne dispense pas l’organisme certificateur du respect des règles relatives à la protection des données (notamment au moment de la vérification de l’identité du candidat, et pendant toute la durée de l’examen). Pour ce faire, il peut prendre en compte les recommandations de la CNIL relatives aux modalités de mise en œuvre des dispositifs de télésurveillance pour les examens en ligne » ;
  • l’exigence selon laquelle l’organisme certificateur doit transmettre à la CNIL, tous les 6 mois, le registre actualisé des personnes certifiées est supprimée ;
  • l’organisme de certification agréé par la CNIL doit désormais l’informer de toute modification substantielle de son questionnaire (pour rappel, l’épreuve écrite consiste en un questionnaire à choix multiple comprenant au moins 100 questions portant sur la réglementation, la responsabilité et la sécurité).

La révision du référentiel d’agrément fait suite à une consultation publique organisée par la CNIL entre le 7 décembre 2020 et le 6 janvier 2021, et qui portait également sur le référentiel de certification des compétences du DPO. Il n’est donc pas exclu que ce dernier soit à son tour révisé.

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Documents et liens associés
Aller plus loin
Code de la cybersécurité 2024 annoté et commenté
Prévenir le risque cyber, défendre son activité et son patrimoine immatériel.
79,00 € TTC
Code de la cybersécurité 2024 annoté et commenté