Certification DPO, comment s’y retrouver ?

Alors que la CNIL commence à certifier des organismes qui seront autorisés à délivrer eux-mêmes des certificats, il importe de bien comprendre la différence entre ce nouveau dispositif, et le dispositif qui doit intervenir préalablement : la formation. C’est à ce stade que le CNAM intervient en proposant une formation au droit à la protection des données et au métier du DPD / DPO (plus d’infos), laquelle est sanctionnée par un diplôme (certificat de spécialisation du CNAM délégué à la protection des données).

Le programme de formation du CNAM s’est d’ores et déjà aligné depuis septembre 2018 sur le nouveau référentiel DPO de la CNIL. 

Pour comprendre toute la différence (et la complémentarité) entre certification CNAM et certification CNIL, consultez la FAQ ci-dessous : 

Quelle différence entre la certification DPO du CNAM et la certification DPO de la CNIL ?

Le certificat de spécialisation offert par le CNAM atteste, à l’issue d’une formation de 100 heures de cours et de trois examens, d’un niveau de connaissance minimum de la réglementation applicable (RGPD et loi française). Son objectif est de permettre à tout professionnel – juriste ou non juriste – de disposer des bases théoriques et pratiques nécessaires à l’exercice des missions de DPD / DPO ou plus largement de « référent » en protection des données. Il n’y a pas d’exigence d’expérience professionnelle pour obtenir le certificat.

 La certification DPO qui sera délivrée par la CNIL à compter de 2019 ne consiste qu’en un examen de compétences. Les personnes candidates à cette certification seront encouragées à préparer en amont cet examen dans le cadre d’une formation. Si le candidat ne dispose d’aucune expérience professionnelle dans le domaine, il devra obligatoirement justifier d’une formation préalable de 35h en protection des données. Les formations proposées par le CNAM répondent aux besoins de préparation de l’examen par les candidats (a minima, l’unité d’enseignement DNT104 composée de 40 heures de cours). Le programme de formation du CNAM est aligné avec le nouveau référentiel de certification de la CNIL.

Qui octroie la certification ?

Le certificat de spécialisation du CNAM est un diplôme délivré directement par le CNAM aux personnes qui valident l’ensemble des examens de fin de parcours (les examens sont corrigés de manière anonyme, comme pour tous les examens universitaires). Le coût de délivrance est relativement limité en ce que les droits d’inscription aux formations du CNAM, qui sont ceux d’une structure publique d’enseignement, sont parmi les moins onéreux du marché. Le CNAM forme chaque année plusieurs centaines d’auditeurs est aujourd’hui le premier organisme public français de formation au droit à la protection des données.

 La certification DPO de la CNIL sera organisée par des structures de certification qui seront agrées par la CNIL en 2019 (liste non connue à ce jour). La CNIL ne délivrera donc pas directement de certification. Le coût de la certification sera fixé librement par chaque organisme accrédité. Ces coûts ne sont aujourd’hui pas connus. Sur ce point, on peut noter que la CNIL exige des structures de certification qu’elles obtiennent et maintiennent une certification ISO17024, laquelle impliquera des coûts importants pour ces organismes (qui seront mécaniquement répercutés sur le coût de la certification DPO).

Combien de temps dure la certification du CNAM ?

Le certificat de spécialisation délivré par le CNAM n’a pas de durée de validité. Il s’agit d’un diplôme universitaire acquis une fois pour toutes. Néanmoins, compte-tenu de l’évolution rapide de la réglementation, les diplômés sont encouragés à régulièrement mettre à jour leurs connaissances en droit à la protection des données. Une formation de mise à jour annuelle des connaissances est d’ailleurs à leur disposition.

 La certification DPO de la CNIL est délivrée pour 3 ans. A l’issue de cette période, il convient de se soumettre à nouveau à un examen auprès d’un organisme de certification agrée par la CNIL. Le renouvellement de la certification ne sera possible que si le candidat valide à nouveau l’examen et justifie, sur la période des 3 dernières années, d’au moins une année d’exercice professionnel dans le domaine de la protection des données.

Est-il obligatoire de disposer d’une certification pour exercer les fonctions de DPD / DPO ? 

Non, la certification est une sorte de bonus qui atteste d’un niveau de compétences et d’une reconnaissance professionnelle. Néanmoins, la certification n’est pas obligatoire. D’ailleurs, il convient de ne pas confondre certification et désignation. Même en obtenant une certification, on ne peut se prévaloir du titre de délégué à la protection des données que lorsque l’on est désigné officiellement comme tel par un organisme public ou privé.

 En revanche, certification ou pas, le RGDP impose au DPO de justifier de son niveau de connaissances spécialisées du droit et des pratiques en matière de protection des données. Il doit donc être en capacité de justifier qu’il a bénéficié d’une formation récente et à jour en droit à la protection des données.

En quoi consistent les examens de certification du CNAM et de la CNIL ? 

L’épreuve exigée pour la certification de la CNIL consiste en un QCM d’au moins 100 questions dont 30% sont énoncées sous forme de cas pratiques. L’épreuve est réussie si au moins 75% des réponses sont exactes (dont 50% de bonnes réponses dans chacun des domaines).

 S’agissant des examens permettant d’obtenir le certificat de spécialisation du CNAM, il s’agit de deux épreuves écrites de 2h, comportant chacune un QCM de 50 questions ainsi qu’un cas pratique. La troisième épreuve consiste en la rédaction d’un cas pratique de fin de parcours d’une vingtaine de pages. Pour obtenir le certificat du CNAM, il faut obtenir au moins 10/20 à chacune des trois épreuves.

Comment (bien) choisir sa formation en droit à la protection des données ?

Le CNAM est le premier organisme de formation à avoir bénéficié en 2013 du label « formation » délivré par la CNIL.

Depuis mai 2018 et l’adoption du RGPD, la CNIL ne délivre plus de labels. Cette procédure est désormation remplacée par la nouvelle procédure de certification évoquée plus haut. Néanmoins, pour le moment, la CNIL n’a publié aucun référentiel de formation. Ainsi, la CNIL ne délivre actuellement plus aucun label ou certification aux organismes de formation.

Dans l’attente d’une nouvelle certification que la CNIL devrait proposer en 2019 / 2020, il appartient à tout apprenant de bien choisir son organisme de formation, en s’assurant notamment de la compétence professionnelle des enseignants et de la complétude du programme proposé. Le programme de formation du CNAM s’est d’ores et déjà aligné sur le nouveau référentiel DPO de la CNIL.

Conclusion : faut-il choisir une certification par le CNAM ou une certification CNIL ? 

Le certificat de spécialisation du CNAM vous permet de bénéficier d’un diplôme, lequel atteste de connaissances et savoir-faire afin d’exercer les fonctions de DPO ou « référent » en protection des données.

Le diplôme du CNAM vous permet également de vous préparer dans les meilleures conditions à la certification CNIL, pour ceux qui souhaitent l’obtenir en complément.

 

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s