RGPD - La Cnil ouvre la voie à la certification des délégués à la protection des données

Découvrez comment nous collectons, nous utilisons, nous traitons vos données en lisant notre Politique de protection des données à caractère personnel et notre mention d'information complète sur le traitement.

Envoyer à un contact

Vos coordonnées

Coordonnées de votre/vos contact(s)

*Champs obligatoires.

Les données à caractère personnel recueillies à partir du Site sont traitées par la Caisse des Dépôts selon les dispositions légales et réglementaires applicables et conformément à notre Politique de protection des données à caractère personnel, que nous vous recommandons vivement de prendre connaissance à https://www.caissedesdepotsdesterritoires.fr/cs/ContentServer?pagename=Territoires/Page/Donnees-personnelles.
En effet, le document de Politique de protection des données à caractère personnel de la Caisse des Dépôts complète la présente mention d'information.
Les données à caractère personnel collectées via le présent formulaire en ligne sont destinées à être utilisées par la Caisse des Dépôts. Elles seront également rendues accessibles à nos prestataires techniques, pour les stricts besoins de leur mission.
Les données seront collectées et utilisées à des fins de d'information et d'accompagnement des acteurs territoriaux dans le cadre de nos missions d’intérêt public. Les données à caractère personnel sont également utilisées pour mieux vous connaître et nous permettre ainsi de personnaliser notre communication et participer à l'amélioration de nos services.
Lors de ce traitement, un certain nombre de données à caractère personnel sont demandées à la Caisse des Dépôts. La communication des informations identifiées par un astérisque (*) est obligatoire et conditionne le traitement de votre demande. Les réponses aux autres questions sont facultatives.
Vos données sont susceptibles d'être conservées pendant une durée de trois (3) années à compter de leur collecte ou du dernier contact avec nous.

© fotolia |

Les collectivités vont bientôt pouvoir recourir à des délégués à la protection des données certifiés. L'épreuve de certification, réalisée par des organismes habilités par la Cnil, prendra la forme de questionnaires à choix multiples autour de 17 thématiques.

 

La Cnil a ouvert la voie à la certification des délégués à la protection des données (DPD) dont la désignation est obligatoire par tous les organismes traitant des données personnelles depuis l’entrée en vigueur du RGPD le 25 mai dernier. Cette certification Cnil, rendue possible par la nouvelle rédaction de la loi informatique et liberté, repose sur deux référentiels publiés au journal officiel du 11 octobre 2018. "La certification, précise la Cnil, n’est pas obligatoire pour exercer les fonctions de DPD. Ce n’est pas non plus un préalable nécessaire à la désignation auprès de la Cnil. Inversement, il n’est pas exigé d’être désigné en tant que délégué pour être candidat à la certification des compétences du DPD". Néanmoins, face à une multiplication des arnaques au RGPD, cette certification est très attendue par les responsables de traitement.

Le DPD devra maîtriser des connaissances juridiques et opérationnelles

Concrètement, les DPD devront maîtriser 17 compétences et savoir-faire listés dans un référentiel élaboré avec les associations du secteur. Au-delà des principes (légalité du traitement, limitation des finalités, minimisation des données collectées…) les candidats au DPD devront connaître parfaitement le cadre juridique de l’expression du consentement, l’exercice du droit d’accès et les problématiques de sous-traitance… Ils devront être en capacité de réaliser un audit, de tenir à jour un registre des traitements, d’identifier les mesures de sécurisation ad ’hoc comme de sensibiliser le personnel. Enfin, ils devront pouvoir identifier les traitements nécessitant une analyse d’impact et gérer les relations avec les autorités de contrôle.

Une certification préalable des organismes

Le second référentiel porte sur les organismes certificateurs, la Cnil ne délivrant pas directement de certification. Dans l’attente d’un programme d’accréditation conçu avec le COFRAC, la Cnil demande aux organismes candidats de respecter la norme ISO/CEI 17024:2012 concernant la certification de personnes. Le référentiel précise que les organismes devront sélectionner les candidats sur la base d’un questionnaire à choix multiples d’au moins 100 questions. 50% traiteront de la réglementation générale, 30%, de la responsabilité, 20% des mesures techniques et organisationnelles. L’organisme certifié sera habilité pour trois ans et devra tenir à jour un registre des personnes certifiées, actualisé tous les six mois.
L’arrivée des premiers DPD certifiés Cnil n’est pas pour tout de suite. Le préalable est en effet la certification des organismes chargés de les sélectionner. En attendant, les collectivités peuvent recourir à des DPD labellisés par des associations comme l’IAPP ou se rendre sur "la place de marché RGPD" créée par l’AFCDP.

Premier bilan du RGPD
Au 25 septembre, selon un premier bilan publié par la Cnil, 24.500 organismes avaient désigné un délégué à la protection des données, personnes physiques ou morales, soit 13.000 DPD, contre 5.000 correspondants informatique et libertés avant le RGPD. La commission a enregistré plus de 600 notifications de violations de données concernant environ 15 millions de personnes depuis le 25 mai. On notera par ailleurs que la Cnil a mis à jour les fiches pratiques concernant les collectivités territoriales