Le métier de Data Protection Officer, également appelé DPO, est encore relativement nouveau, et pourtant plusieurs formations existent déjà. Alors, comment devenir Data Protection Officer ? La plupart des formations sont dérivées de formations à l’origine dédiées aux anciens Correspondants Informatique et Liberté (CIL). Bien que le RGPD donne quelques indications sur la fonction et les missions du DPO, quelle formation faut-il suivre pour exercer le métier de DPO ?
Qui peut devenir Data Protection Officer ?
Pour rappel, selon l’article 37.5 du RGPD, le Délégué à la Protection des Données doit être désigné, « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions ».
Avec un rôle transverse dans l’entreprise et des missions variées, à ce jour, il n’existe pas de profil type pour le métier de DPO qui peut donc parfaitement être juriste, ingénieur, etc. Une étude menée en 2015 par la CNIL démontrait d’ailleurs que les Data Protection Officers (anciens CIL) avaient des profils professionnels d’expertises variés :
- Profil technique à 47%
- Profil Juridique à 19%
- Profil administratif à 10%
Recevez les actualités du RGPD
Quelle formation suivre pour devenir Data Protection Officer ?
A l’heure actuelle, il n’existe pas non plus une formation spécifique pour devenir Data Protection Officer mais plusieurs formations dispensées par divers organismes existent toutefois pour se former au métier de DPO :
- Des formations courtes qui permettent, en quelques jours, d’appréhender les grandes lignes du RGPD, comme par exemple la formation du CNAM. Certaines peuvent d’ailleurs être financées via le CPF (anciennement DIF).Des formations
- longues, en général proposées par des écoles d’ingénieurs ou des Universités sous forme de Diplôme Universitaire (DU).
Par exemple Science Po, Dauphine, l’Université de Paris Saclay ou encore l’Université Paris II Panthéon-Assas proposent une formation dédiée au métier de DPO.
Du côté des écoles d’ingénieurs, des formations sont proposées par l’ESIA ou l’Institut Léonard de Vinci.
Le mécanisme de certification CNIL :
La Loi Informatique et Libertés, modifiée par la Loi du 20 Juin 2018, confère à la CNIL de nouvelles compétences en matière de certification des personnes. Dès lors, pour permettre l’identification des compétences et savoir-faire du DPO, la CNIL a notamment adopté deux référentiels en matière de certification de DPO
Référentiel de certification
Référentiel fixant notamment les conditions de recevabilité des candidatures et la liste des 17 compétences et savoir-faire attendus pour être certifié en tant que DPO.
Néanmoins, avant d’envisager l’obtention d’une certification DPO, la CNIL exige que le candidat remplisse l’une de ces deux conditions d’expérience :
- Justifier d’une expérience professionnelle d’au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du délégué à la protection des données ;
- Justifier d’une expérience professionnelle d’au moins 2 ans et d’une formation d’au moins 35 heures, reçue par un organisme de formation (par exemple, l’AFNOR) en matière de protection des données
Référentiel d’agrément
Référentiel fixant les critères applicables aux organismes souhaitant être habilités par la CNIL à certifier les compétences d’un DPO sur la base de son référentiel. Par exemple, AFNOR CERTIFICATION s’est vu délivrer l’agrément du référentiel de la CNIL pour une durée de 5 ans à compter du 4 Juillet 2019.
Certification et référentiel CNIL : quelles différences ?
Il est toutefois nécessaire de bien différencier certification et formation, qui sont deux choses différentes :
- La certification n’est pas obligatoire pour exercer la fonction de DPO ;
- Inversement, il n’est pas nécessaire d’être désigné en tant que DPO pour être candidat à la certification des compétences du DPO.
La certification est un mécanisme volontaire, permettant aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et savoir-faire du DPO prévues par le RGPD. Ainsi, il est tout à fait possible de suivre une formation sans faire de certification. Concrètement, la certification est une valeur ajoutée, en termes de confiance tant pour l’organisme dont dépend le DPO que pour son public qu’il s’agisse de ses clients, fournisseurs, partenaires, etc.
Consulter la liste des organismes de certification agréés par la CNIL : https://www.cnil.fr/fr/organisme-agrees.
