La mise en conformité au RGPD ou Règlement Général sur la Protection des Données passe nécessairement par la mise en place d’un délégué à la protection des données ou DPO dans une entreprise. Depuis l’entrée en vigueur du RGPD, le rôle de DPO connaît un essor important avec l’augmentation du nombre d’offres dans ce domaine. Mais comment se former afin d’acquérir les compétences d’un DPO ?
L’objection de la formation DPO : se préparer à la certification
Depuis la mise en place du RGPD en 2018, la désignation d’un DPO ou Data Protection Officier est devenue obligatoire dans les organismes, entreprises privées ou publique lorsqu’elles sont amenées à traiter des données sensibles. Le DPO est donc considéré comme un acteur majeur de la mise en conformité RGPD et doit ainsi disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données.
L’AFNOR est le premier organisme agréé par l’autorité de contrôle, la CNIL, pour certifier les compétences du délégué à la protection des données. La certification représente un vecteur important de confiance pour les clients, fournisseurs, partenaires et collaborateurs.
La formation de DPO a pour finalité de préparer l’homologation en mettant en condition réelle le candidat avant de passer l’examen de certification. La formation sur les aspects du RGPD lui permet de faire face aux différents types de questions et de s’organiser avec un programme de révision afin d’avoir toutes les chances de réussir l’examen certifiant.
Label et référentiel CNIL
Avec l’entrée en application du Règlement Européen à la Protection des Données, la CNIL a dû mettre de nouveaux outils de conformité pour assurer sa mission de labellisation.
Le label CNIL désigne la reconnaissance d’un produit ou d’un service comme conforme à la Loi Informatique et Libertés. Il est délivré en fonction de référentiel adopté par l’organisme ou publié au Journal Officiel. Son intérêt est, pour les entreprises ou administration, de disposer d’un cadre éthique mais surtout juridique. Ainsi, il s’agit d’un avantage certain par rapport à la concurrence et un indicateur de confiance pour les entreprises vis-à-vis de leurs clients.
Le référentiel de la CNIL, quant à lui, est une liste d’exigences ou de conditions pour obtenir un label. Ces critères ont pour but d’évaluer la conformité de la sécurité, de la procédure de collecte ou de traitement des données personnelles par rapport à la réglementation en vigueur en France ou dans l’Union européenne.
Notions clés pour la formation RGPD
Une formation DPO certifiante vous permettra de comprendre les enjeux de la protection des données et le cadre de la réglementation à un haut niveau de compétences. La mise en conformité RGPD est un bon moyen d’insérer les outils de conformité dans les entreprises. Le DPO doit alors savoir construire et maintenir les preuves de cette conformité.
Les objectifs pédagogiques du programme formation RGPD vont également permettre de conseiller les responsables de traitements sur la conduite et la gestion des études d’impacts sur la vie privée (Privacy Impact Assessment, ou PIA) ou les moyens de sécurisations et de contrôle des données.
Enfin, le DPO aura des compétences pour mettre en place un plan d’action afin d’accompagner l’entreprise dans sa conformité RGPD. L’acquisition d’un comportement respectueux par rapport aux droits liés aux données personnelles est aussi un objectif prioritaire de cette formation DPO.
Déroulement et formations RGPD
Il est important de savoir qu’aucune formation RGPD précise n’a été définie par la CNIL. Ainsi, il existe plusieurs dispositifs de formations RGPD pour acquérir des compétences de DPO.
Formations à distance ou en ligne
Les formations DPO en ligne (MOOC) ou webinaires, ont pour rôle d’aider à l’acquisition de savoirs fondamentaux et pratiques sur le RGPD ainsi que des notions de droits à la protection des données personnelles. Il s’agit de la solution la plus pratique pour les personnes qui découvrent le fonctionnement du rôle de DPO. Cette formation permet d’avancer à votre rythme bien qu’elle soit très intéressante pour les PME ou associations en raison de leur caractère synthétique et de leur format pratique. La formation en ligne permet d’aller à l’essentiel pour se familiariser avec les missions du DPO.
À noter que ce type de formation est généralement accessible en replay pour permettre aux personnes qui les suivent, une piqûre de rappel une fois la formation terminée.
Formations en présentiel
Sur ce format, on trouvera principalement des formations courtes, permettant de connaître toutes les informations à savoir sur le RGPD et les missions du DPO. La durée des formations est en moyenne de 3 à 15 jours. Cependant, l’accès à ce type de formations est souvent conditionné à un niveau d’études ou expérience professionnelle en lien avec le droit et/ou l’informatique.
Des formations peuvent aussi être sectorielles, dédiées à la santé ou aux collectivités territoriales. Dans tous les cas, on choisira un organisme de formation au regard de son agrément CNIL.
Formations longues
Les formations DPO longues sont proposées par les grandes écoles comme le CNAM ou certaines universités. Elles sont dédiées au terme en référence au délégué à la protection des données personnelles. Sciences Po va, à titre d’exemple, offrir un certificat DPO en collaboration avec un cabinet d’avocat. À noter que c’est la CNIL qui délivre le label CNlL formation.
En quoi consiste le rôle de DPO ?
Pour comprendre le fonctionnement du rôle de DPO, il est important de comprendre ses missions. Sa première mission consiste à informer et conseiller le responsable du traitement, les sous-traitants et collaborateurs de l’entreprise en charge de la collecte des données.
Il doit également contrôler le respect du RGPD en mettant en œuvre des mesures techniques et d’organisation appropriées pour assurer la conformité des traitements d’informations et dispenser des conseils sur demande après l’analyse de l’efficacité de la protection des données.
Pour garantir l’exercice de sa fonction de DPO, il doit jouir d’une certaine autonomie. En effet, il ne reçoit aucune instruction de la part du responsable de traitement sur la façon de traiter une affaire par exemple.
Le DPO a aussi un rôle de conseiller au niveau de l’entreprise. Il n’est pas responsable de la conformité de la société au RGPD. Cette responsabilité ne peut non plus lui être transmise par délégation de pouvoir. Il est presque impossible d’engager sa responsabilité civile dans l’exercice de ses missions encadré par la loi en vigueur.
Pour conclure, le DPO est obligatoire dès lors qu’une entreprise a pour principale activité de traiter des données. Il joue un rôle central de coordinateur entre les différents services de la société. Disposer d’une personne formée à ses problématiques en interne n’est pas toujours une évidence. Adaliance vous propose d’être mis en relation avec un DPO externe qui se chargera des missions propres à la protection des données.
