ANNEXE
RÉFÉRENTIEL D'AGRÉMENT D'ORGANISMES DE CERTIFICATION POUR LA CERTIFICATION DES COMPÉTENCES DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)
Catégorie 1. Accréditation
Exigence 1.1. L'organisme de certification est accrédité, pendant toute la durée de son agrément par la CNIL, par un organisme d'accréditation membre de l'IAF (International Accreditation Forum) au regard de la norme ISO/IEC 17024 : 2012 « Evaluation de la conformité - Exigences générales pour les organismes de certification procédant à la certification de personnes » pour un dispositif particulier de certification de personnes.
Exigence 1.2. L'organisme de certification élabore et met en œuvre un dispositif de certification de personnes pour le DPO en conformité avec la norme ISO/IEC 17024 : 2012, les exigences fixées par le présent référentiel ainsi que les exigences fixées par le référentiel de certification des compétences du DPO (délibération n° 2018-318 du 20 septembre 2018).
Catégorie 2. Evaluation du candidat à la certification
Exigence 2.1. L'organisme de certification vérifie le respect des conditions préalables prévues à la catégorie 1 du référentiel de certification des compétences du DPO (délibération n° 2018-318 du 20 septembre 2018).
Exigence 2.2. L'organisme de certification vérifie les compétences et le savoir-faire du candidat par une épreuve écrite dont les caractéristiques répondent aux exigences suivantes.
Exigence 2.3. L'épreuve écrite consiste en un questionnaire à choix multiple (QCM) en français comprenant au moins 100 questions. 30% des questions de chacun des domaines sont énoncées sous forme de cas pratique.
Exigence 2.4. L'épreuve écrite est réalisée dans des conditions garantissant le pseudonymat lors de la correction.
Exigence 2.5. Les questions du QCM évaluent les compétences et savoir-faire s'agissant des exigences de la catégorie 2 de la délibération n° 2018-318 du 20 septembre 2018 et couvrent tous les domaines du programme figurant en annexe de la présente délibération selon la répartition suivante :
Domaine 1. - Réglementation générale en matière de protection des données et mesures prises pour la mise en conformité : 50% des questions ;
Domaine 2. - Responsabilité : 30% des questions ;
Domaine 3. - Mesures techniques et organisationnelles pour la sécurité des données au regard des risques : 20% des questions.
Exigence 2.6. Pour chaque question, 4 réponses sont proposées dont l'une ou plusieurs sont exactes.
Exigence 2.7. Les questions du QCM sont régulièrement actualisées.
Exigence 2.8. L'épreuve écrite est réussie :
- si, au total, au moins 75% des réponses sont exactes ; et
- si, pour chacun des trois domaines, au moins 50% des réponses aux questions sont exactes.
Exigence 2.9. Les organismes de certification permettent à des observateurs de la Commission d'être présents pendant le déroulement des épreuves.
Catégorie 3. Délivrance de la certification
Exigence 3.1. L'organisme de certification délivre la certification aux candidats qui ont réussi l'épreuve écrite.
Exigence 3.2. L'organisme de certification adresse à la personne certifiée un certificat de DPO certifié portant sur le libellé « Délégué à la protection des données certifié conformément au référentiel de certification des compétences du DPO de la CNIL ».
Exigence 3.3. La certification est valable 3 ans à compter de sa délivrance.
Exigence 3.4. L'organisme de certification tient un registre à jour des personnes certifiées. Le registre comprend, pour chaque personne certifiée, ses nom et prénoms, la date de délivrance de la certification, la date d'expiration et le statut de la certification (délivrée, suspendue, retirée, renouvelée).
Exigence 3.5. Le registre mis à jour est transmis à la Commission tous les 6 mois à compter de la délivrance de l'agrément.
Catégorie 4. Renouvellement de la certification
Exigence 4.1. Le renouvellement de la certification est possible avant la date d'échéance du certificat à condition que la personne certifiée :
- réussisse une nouvelle épreuve écrite répondant aux exigences de la catégorie 2 du présent référentiel ; et
- démontre qu'elle dispose d'une expérience professionnelle d'au moins un an, acquise dans le courant des trois dernières années, dans des projets, activités ou tâches en lien avec les missions du DPO s'agissant de la protection des données ou de la sécurité de l'information, attestée par un tiers (employeur ou client).
Catégorie 5. Matériel d'évaluation
Exigence 5.1. L'organisme de certification développe et applique son matériel d'évaluation et la documentation descriptive de sa mise en œuvre (exigences de certification) afin d'évaluer la conformité aux critères du référentiel de certification (délibération n° 2018-318 du 20 septembre 2018).
Catégorie 6. Comité de certification
Exigence 6.1. Les organismes de certification agréés invitent à leur comité du dispositif particulier un représentant de la Commission.
Catégorie 7. Eléments à fournir avec la demande d'agrément
Exigence 7.1. Les organismes de certification qui demandent à être agréés par la Commission lui fournissent un dossier comprenant :
- un extrait K-bis ou équivalent ;
- l'attestation d'accréditation ISO/IEC 17024 : 2012 conformément à l'exigence 1.1 de la présente délibération ;
- un document qui présente le processus de certification des compétences du DPO ; et
- leur matériel d'évaluation (notamment les questions posées et les réponses pour l'épreuve écrite) et la documentation descriptive de leur mise en œuvre (règles de certification) concernant la certification des compétences du DPO.
Catégorie 8. Eléments à fournir de manière régulière ou à la demande de la Commission
Exigence 8.1. Les organismes de certification agréés font parvenir à la Commission :
- sans délai, toute modification de leur statut d'accréditation telle que la suspension ou le retrait de l'accréditation ISO/IEC 17024 : 2012 ;
- un rapport annuel d'activité sur la certification des compétences du DPO comprenant les plaintes et réclamations à l'encontre de l'organisme de certification dans le cadre de la certification des compétences du DPO ainsi que toute difficulté rencontrée dans l'application des critères de certification des compétences du DPO adoptés dans la délibération n° 2018-318 du 20 septembre 2018 ;
- tous les 6 mois à compter de la délivrance de l'agrément, les statistiques de réussite de l'épreuve écrite ainsi que le registre actualisé des personnes certifiées DPO comprenant les noms, prénoms, la date de délivrance de la certification et la date d'expiration.
Exigence 8.2. Les organismes de certification agréés sont en mesure, à la demande de la Commission, de démontrer à tout moment le respect des exigences :
- du présent référentiel, et en particulier de l'exigence 1.2 ; et
- du référentiel de certification des compétences du DPO (délibération n° 2018-318 du 20 septembre 2018).