La certification des DPO ouvre l’ère de la maturité du RGPD

Pierre Le Guellec recevant la certification DPO de l’Afnor lors du FIC 2022 de Lille

La dernière étude [PDF] publiée par Ministère du Travail, de l’Emploi et de l’Insertion sur l’évolution de la fonction de DPO est particulièrement riche d’enseignements sur la profession. Avant d’aller plus loin, attardons-nous sur un chiffre en particulier : le tiers des DPO qui a répondu à l’enquête déclare n’avoir suivi aucune formation « Informatique et Libertés » ou RGPD depuis 2016. Ceci pose évidemment la question de l’adéquation entre les moyens que doit fournir le Responsable de traitement ou le sous-traitant à son DPO certifié afin que ce dernier puisse mener à bien les missions qui lui sont confiées réglementairement.

Ce sont 1 811 Délégués à la protection des données qui ont répondu à l’enquête conduite par l’AFPA avec le soutien de la CNIL, de l’AFCDP et de l’ISEP, soit 6,3% des 28 810 DPO désignés auprès de la CNIL en 2021. Si les points positifs sont nombreux, par exemple 87 % des DPO sont convaincus de l’utilité de leur fonction, on peut s’alarmer de certains indicateurs concernant la qualification des personnes occupant le poste.

La formation des DPO en question

Ainsi, 55 % de l’ensemble des DPO internes et mutualisés ne consacrent pas plus de 25 % de leurs temps de travail à cette fonction et 78 % exercent leur fonction à temps partiel en plus d’une autre fonction. Ces conditions de travail, si elles sont légitimes dans le cadre de petites structures en particulier, ne paraissent pas favorables pour permettre de consacrer un temps à l’amélioration continue des connaissances. D’autant plus que 47 % des DPO interrogés ne sont pas issus du domaine juridique ou informatique.

Or si le RGPD en lui-même n’est pas appelé à évoluer, la multiplication exponentielles des applications mettant en œuvre des informations personnelles, notamment dans le domaine de la santé, ouvre la voie à un flot constant de questions nouvelles. Les cas de figure complexes, notamment dans des contextes d’échanges de données avec des pays hors de l’Union Européenne, appellent à une vigilance accrue. Enfin, la période de grâce étant échue, les autorités de contrôle européennes imposent des sanctions de plus en plus sévères en cas de manquements.

Le DPO, acteur clé de la conformité au RGPD

Pour assurer la sécurité, la réputation et les capacités de développement de sa structure, le chef d’entreprise doit pouvoir se reposer sur son DPO pour s’assurer du respect du RGPD. Comment le dirigeant qui peut être responsable de traitement ou sous-traitant et qui n’est généralement pas un spécialiste du domaine, peut-il avoir l’assurance de faire appel à un DPO suffisamment formé et compétent ? tout en sachant qu’il peut en être tenu responsable vis-à-vis du RGPD qui précise bien que : « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions » (voir l’article 37.5 du RGPD).

Le DPO est donc bien un acteur clé de la conformité au RGPD, il doit à ce titre disposer de connaissances spécifiques du droit et des pratiques en matière de protection des données. L’article 38.2 rappelle que le responsable du traitement et le sous-traitant doivent aider le DPO à exercer ses missions en fournissant les ressources nécessaires et en lui permettant d’entretenir ses connaissances spécialisées.

La certification des DPO encourage la professionnalisation de la fonction

Dans les lignes directrices concernant les délégués à la protection des données [PDF] adoptées par le Groupe de travail « Article 29 » en 2017 et qui est toujours d’actualité, il est explicitement mentionné la formation continue parmi les ressources que le responsable du traitement ou le sous-traitant doivent mettre à la disposition du DPO. Le texte explique par ailleurs que « les DPO doivent avoir la possibilité de maintenir leurs connaissances à jour en ce qui concerne les évolutions dans le domaine de la protection des données. ». Le CEDP (Comité Européen de Protection des données) encourage la participation à des formations sur la protection des données ainsi qu’à d’autres formes de développement professionnel telles que la participation à des forums sur la protection de la vie privée, des ateliers ou autres.

Dans une continuité directe, la CNIL a adopté en 2018 un référentiel de certification des compétences du délégué à la protection des données (DPO) qui constitue en quelque sorte le socle de connaissance des DPO et sur lequel s’appuient les organismes de formation pour réaliser leurs programmes.

Comme le précise la CNIL, « la certification est une démarche volontaire permettant aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du DPO prévues par le règlement. Le certificat constitue un vecteur de confiance à la fois pour l’organisme faisant appel à ces personnes certifiées mais également pour ses clients, fournisseurs, salariés ou agents. »

Une nouvelle étape dans le déploiement du RGPD

Un organisme de formation pouvant, avec raison, être considéré comme juge et partie, ce sont des organismes de certification indépendants et répondant au référentiel fixé par la CNIL qui sont aujourd’hui en mesure d’attester les compétences d’un DPO. Ces tiers de confiance sont donc chargés d’organiser des examens et de délivrer les certificats. Depuis 2019, neuf organismes ont été agréés par la CNIL selon le référentiel qu’elle a publié. Travailler avec un DPO certifié, qu’il soit interne ou externe à l’entreprise, reste la meilleure garantie de s’assurer du respect du RGPD.

Dans l’étude du ministère du travail, 75 % des DPO interrogés expriment des besoins de formation afin d’améliorer l’exercice de leur fonction et 44 % estiment même avoir besoin d’une formation complète de DPO. L’amélioration de l’offre de formation, l’augmentation du nombre d’organismes agréés et in fine, la certification d’un nombre croissant de DPO, tout cela peut être considéré comme une nouvelle étape du déploiement du RGPD, celle de la maturité.