MT : Certification DPO : un gage de confiance
MD : Certification DPO : délivrée par un organisme certificateur, elle permet de justifier les compétences et le savoir-faire d’un délégué pour la protection des données.
La mise en conformité au Règlement Général sur la protection des données nécessite la protection des données personnelles. Pour assurer la sécurisation de ces données, les organismes et les entreprises faisant qui traitent les données personnelles doivent désigner un délégué pour la protection des données. Il s’agit d’un acteur clé pour la mise en conformité. Comment désigner un DPO et quel est l’organisme en charge de la certification DPO ? Eléments de réponse.
Qu’est-ce que la certification DPO ?
La certification DPO permet de justifier les compétences et le savoir-faire du délégué pour la protection des données. Il s’agit d’un dispositif qui n’est obligatoire pour l’exercice du métier de DPO. Toutefois, le certificat peut constituer un vecteur de confiance important aussi bien pour l’organisme qui fait appel aux services d’un DPO que pour les clients et les usagers. En outre, il n’est pas obligatoire d’être désigné DPO pour candidater à la certification des compétences DPO.
Qui choisir comme DPO ?
Pour choisir le responsable de la protection des données, l’article 37.5 du règlement européen stipule que le DPO doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions ». De ce fait, choisir un responsable capable d’exécuter les missions de protection et de contrôle de manière indépendante est primordial. En outre, il ne doit y avoir aucun conflit d’intérêts.
Qui délivre la certification DPO ?
Pour délivrer la certification aux personnes qui remplissent les conditions requises, la CNIL a délivré des agréments à des organismes certificateurs. Les DPO peuvent notamment se rapprocher de ces organismes pour être certifiés suivant la base du référentiel de la CNIL. Toutefois, l’agrément de la CNIL n’est pas obligatoire. Chaque organisme est en mesure de certifier les DPO en se basant de leur propre référentiel de certification.
L’intérêt de désigner un DPO
Pour se mettre en conformité au RGPD, les organismes et les entreprises doivent assurer la protection des données personnelles qu’ils traitent. En effet, le règlement européen mis en vigueur le 25 mai 2018 rend obligatoire la protection des données depuis la collecte et le traitement des données personnelles. Les entreprises et les organismes concernés doivent ainsi mettre en place des opérations de traitement qui garantissent la protection des données collectées. Choisir un délégué à la protection des données (DPO) est également nécessaire. En tant que responsable du traitement et de la gestion des données personnelles, ce dernier a le devoir de tenir le registre de traitement et le contrôle des données collectées.
Comment choisir un DPO ?
Le Délégué pour la protection des données peut être un employé, le gérant ou encore une entité qui vient de l’extérieur. D’après le RGDP, il est obligatoire de désigner un délégué qui ne fait pas partie de l’entreprise lorsque celle-ci gère des données à caractère personnel à grande échelle. Pour cela, le DPO doit disposer de certaines compétences, telles que :
- la connaissance des principes de protection de données personnelles ;
- l’identification des violations des données personnelles ;
- la connaissance des droits des personnes concernées ;
- la connaissance du cadre juridique relatif à la sous-traitance ;
- l’organisation d’audit concernant la protection de données.
Quel rôle le DPO tient-il ?
Assurant la mise en conformité d’une entreprise au règlement européen, le délégué pour la protection des données est en charge de la sécurisation des données collectées, analysées et conservées. Il a notamment la charge d’assurer la non-violation des données sensibles. De ce fait, le délégué, qu’il soit désigné en interne ou en externe peut être issu du domaine juridique, technique ou d’autres secteurs. Il a pour rôle de :
- d’accompagner le responsable de traitement des données personnes tant au niveau de l’entreprise que des sous-traitants ;
- contrôler la sécurité informatique ;
- vérifier le respect de la protection des données dans son ensemble ;