CNIL & CERTIFICATION

Christophe BARDY - GRACES community
22/7/2022
Propulsé par Virginie
Cet article est réservé aux membres GRACES.community

Certification des prestataires de formation à la protection des données : la CNIL publie un référentiel de critères

Afin d’apporter des garanties sur la qualité des formations délivrées en matière de protection des données, les prestataires devront respecter un référentiel de critères avant d’obtenir une certification auprès des organismes agréés par la CNIL. Une sensibilisation ou une formation est souvent nécessaire pour découvrir ou mieux appréhender le RGPD. Par exemple, une formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD » est disponible sur le site web de la CNIL. La formation des professionnels leur permet d’accompagner la mise en conformité au sein de leur organisme et d’aider à la sensibilisation des acteurs à la protection des données personnelles. L’offre de formation professionnelle sur le thème de la protection des données personnelles s’est fortement enrichie depuis l’entrée en application du RGPD. L’obtention d’une certification basée sur le référentiel de la CNIL permet aux prestataires de formation d’obtenir un sceau de reconnaissance attestant de la qualité de la formation qu’ils délivrent dans ce domaine. Une formation réalisée par un prestataire de formation certifié permet de s’appuyer sur les garanties qu’apportent le respect des critères du référentiel, à savoir :

  • un socle d’aptitudes et de compétences défini par la CNIL ;
  • un contenu très régulièrement mis à jour afin de prendre en compte l’actualité en matière de protection des données ;
  • des intervenants mobilisés en fonction de leurs compétences et de leur capacité à répondre aux objectifs spécifiques de chaque formation (par exemple un secteur d’activité, une thématique ou un traitement de données personnelles en particulier).

Par exemple, les futurs candidats à la certification des compétences du délégué à la protection des données pourront librement choisir de s’orienter vers un prestataire de formation certifié pour réaliser la formation d’au moins 35 h. Celle-ci constitue un prérequis lorsque le candidat ne dispose pas d’une expérience professionnelle d'au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du délégué à la protection des données.

Un mécanisme volontaire

La certification n’est pas obligatoire pour proposer une formation à la protection des données personnelles. Il s’agit d’un mécanisme volontaire permettant aux organismes de formation de justifier que leur prestation s’inscrit dans une logique de conformité au RGPD et à la loi Informatique et Libertés. Par ailleurs, les établissements d’enseignement supérieur bénéficient d’autres systèmes de reconnaissance. Pour les organismes prestataires d'actions concourant au développement des compétences soumis à l’obligation d’une certification selon le référentiel national qualité (RNQ), il est prévu que ce certificat soit pris en compte lors de l’évaluation réalisée pour obtenir la certification de prestataires de formation à la protection des données. SYNTHÈSE DE LA CONSULTATION PUBLIQUE Une consultation publique sur les critères du référentiel de certification a été organisée entre le 5 mars et le 27 mars 2020 sur le site web de la CNIL. Environ 100 contributions ont été reçues et proviennent essentiellement :

  • d’organismes de formation privés et d’établissements d’enseignement supérieur ;
  • de prestataires de service, sociétés de conseil ou cabinets d’avocat proposant plus ponctuellement des formations à leurs clients.

Cette consultation a permis d’enrichir la réflexion et de trouver le meilleur point d’équilibre entre les engagements qualitatifs dont pourront bénéficier les apprenants et les contraintes opérationnelles auxquelles sont soumis les organismes de formation. En particulier, les critères de compétences des formateurs restent exigeants tout en permettant la valorisation d’acquis de l’expérience ou encore l’intervention d’experts « hors critères » lorsque cela est pertinent pour atteindre les objectifs de la formation.

Quand est-il possible de demander une certification ?

La publication des critères de certification constitue la première étape du lancement de la certification des prestataires de formation à la protection des données. Ainsi, les prestataires de formation, qui souhaitent obtenir leur certification au plus tôt, disposent d’une période d’environ 10 mois pour se mettre en conformité avec les critères du référentiel et préparer leur candidature. À l’issue de cette période préparatoire, les prestataires de formation pourront se porter candidat à la certification auprès d’un des organismes certificateurs agréés et référencés sur le site web de la CNIL. S’agissant des organismes certificateurs, ceux-ci devront faire une demande d‘accréditation auprès du Comité français d’accréditation (Cofrac) et pourront recevoir les premiers dossiers des candidats à la certification fin 2021.

Le contenu du référentiel

Le référentiel comporte près d’une trentaine de critères ayant pour objectif de démontrer la qualification du prestataire de formation à la protection des données. Ces exigences sont divisées en thématiques :

  • les exigences générales ;
  • l’information du public sur les formations proposées ;
  • l’identification des besoins et des objectifs de formation ;
  • la conception des formations ;
  • la préparation et à l’adaptation des formations aux apprenants ;
  • les conditions de réalisation des formations ;
  • les compétences des intervenants ;
  • le recueil des appréciations et la prise en compte des réclamations.
  • Il est accompagné d’un référentiel général d’aptitudes et de connaissances (les notions clés à maîtriser, les principes de la protection des données, les responsabilités des acteurs, le délégué à la protection des données et la mise en place de sources de veille).

Un guide de lecture accompagne également le référentiel afin de faciliter l’accès à la certification, notamment à partir d’exemples et de situations pratiques. Ce guide sera enrichi à partir du retour d’expérience des premières évaluations qui seront réalisées. p/o Virginie Gastine Menou RISQUES ET VOUS ✍🏼 Proposer une offre de job : 💈 Consulter les offres qui vous correspondent :

Envie de lire la suite de l’article ?
Il vous reste 50% de l’article à lire
Inscrivez-vous sur GRACES.community pour profitez de toute l’actualité compliance
directement depuis votre espace Membre !
M'inscrire

Plus de 200 sociétés ont trouvé leur compliance officer avec GRACES.community,

et si c’était vous ?