Sélectionner une page

L’article 37, paragraphe 5, du RGPD prévoit qu’un délégué à la protection des données « est désigné sur la base de ses qualités professionnelles et, en particulier, de sa connaissance approfondie du droit et des pratiques en matière de protection des données et de son aptitude à remplir les tâches visées à l’article 39« .

Le RGPD ne définit pas les qualités professionnelles requises ni ne prescrit la formation qu’un DPO doit suivre pour être qualifié afin d’assumer ce rôle. Cela permet aux organisations de décider des qualifications et de la formation de leur DPO en fonction du contexte du traitement des données de l’organisation.

Le niveau approprié de qualification et de connaissances spécialisées doit être déterminé en fonction des opérations de traitement des données à caractère personnel effectuées, de la complexité et de l’ampleur du traitement des données, de la sensibilité des données traitées et de la protection requise pour les données traitées.

Par exemple, lorsqu’une activité de traitement de données est particulièrement complexe, ou lorsqu’il s’agit d’un volume important ou de données sensibles (c’est-à-dire une société d’internet ou d’assurance), le DPO peut avoir besoin d’un niveau d’expertise et de soutien plus élevé.

Les compétences et l’expertise pertinentes pour les fonctions DPO sont notamment les suivantes :

  • une expertise dans les lois et pratiques nationales et européennes en matière de protection des données, y compris une compréhension approfondie du RGPD;
  • une compréhension des opérations de traitement effectuées ;
  • une compréhension des technologies de l’information et de la sécurité des données ;
  • la connaissance du secteur des entreprises et de l’organisation ;
  • la capacité à promouvoir une culture de la protection des données au sein de l’organisation.

Par exemple, un DPO peut avoir besoin d’un niveau de connaissances spécialisées dans certaines fonctions informatiques spécifiques, les transferts internationaux de données, ou d’une connaissance des pratiques de protection des données spécifiques à un secteur, telles que le traitement et le partage des données personnelles rgpd dans le secteur public, pour remplir correctement ses fonctions.

En tenant compte de l’ampleur, de la complexité et de la sensibilité de leurs opérations de traitement des données, les organisations devraient décider de manière proactive des qualifications et du niveau de formation requis pour leur DPO.

En procédant à une telle évaluation, les organisations doivent être conscientes qu’il existe différentes options de formation qui peuvent être suivies. Certaines formations sont des sessions d’une journée, tandis que d’autres sont uniquement en ligne, certaines débouchent sur des certificats académiques, tels que les diplômes des barreaux nationaux. Il existe également d’autres programmes de formation professionnelle qui sont reconnus au niveau international et qui offrent des qualifications professionnelles nécessitant un engagement continu en matière de formation afin de maintenir la qualification professionnelle.

La Commission de la protection des données recommande que la liste non exhaustive suivante de facteurs soit prise en considération lors de la sélection du programme de formation approprié pour les DPO :

  • le contenu et les moyens de la formation et de l’évaluation ;
  • la nécessité éventuelle d’une formation menant à une certification ;
  • le statut de l’organisme d’accréditation ; et
  • si la formation et la certification sont reconnues au niveau international.

En tout état de cause, un DPO doit avoir un niveau d’expertise approprié en matière de législation et de pratiques relatives à la protection des données pour lui permettre de remplir son rôle essentiel.

Certification DPO : comment se former au métier ?

Comme il s’agit d’un nouveau métier, il existe des formations longues et courtes en matière de protection de données personnelles qui permettent d’acquérir les connaissances nécessaires à la bonne exécution du poste de DPO :

  • Les formations longues : du BAC+3 dans les universités au BAC+6 dans les grandes écoles. Il faut noter que toutes les formations ne délivrent pas toutes une certification DPO. De même, elle n’est pas indispensable pour devenir Délégué à la Protection des Données. En revanche, elle constitue un vrai plus.
  • Les formations courtes : elles durent quelques jours mais nécessitent souvent des pré-requis (par exemple, il faut avoir suivi une formation de base préalable). Elles abordent les grandes lignes du métier.