🟧 Délibération CNIL du 6 octobre 2022 modifiant la délibération du 20 septembre 2018 portant adoption des critères du référentiel d'agrément d'organismes de certification pour la certification des compétences du délégué à la protection des données (DPO)

Au sommaire :

Références

NOR : CNIL2305666X
Source : JORF n°0059 du 10 mars 2023, texte n° 72

En-tête

La Commission nationale de l’informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 8 I 2° h ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment son article 74 ;
Vu la délibération n° 2018-317 du 20 septembre 2018 portant adoption des critères du référentiel d’agrément d’organismes de certification pour la certification des compétences du délégué à la protection des données (DPO) ;
Vu la délibération n° 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données (DPO) ;

Article

Après avoir entendu le rapport Mme Anne DEBET, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Formule les observations suivantes :
La Commission nationale de l’informatique et des libertés (ci-après, la CNIL ou la Commission) est compétente pour agréer des organismes en vue de délivrer la certification des compétences du délégué à la protection des données (ci-après « DPO ») sur la base d’exigences qu’elle adopte ;
Le fonctionnement du dispositif de certification de personnes des compétences du DPO a fait l’objet d’une évaluation en vue d’adapter, le cas échéant, les exigences du référentiel adopté par la Commission ;
Cette délibération modifie la délibération n° 2018-317 du 20 septembre 2018, qui fixe les exigences d’agrément des organismes de certification pour la certification des compétences de personnes physiques en tant que délégué à la protection des données, tel que mentionné à la section 4 du chapitre IV du règlement (UE) 2016/679,

Décide :

1° La délibération n° 2018-317 du 20 septembre 2018 portant adoption des critères du référentiel d’agrément d’organismes de certification pour la certification des compétences du délégué à la protection des données (DPO) est ainsi modifiée :
a) Après la phrase : « Formule les observations suivantes », la phrase : « Conformément à l’article 11-I-2° f bis de la loi n° 78-17 modifiée, » est supprimée ;
b) Après l’alinéa :
« La présente délibération fixe les critères d’agrément d’organismes de certification pour la certification des compétences de personnes physiques en tant que délégué à la protection des données, tel que visé à la section 4 du chapitre IV du règlement (UE) 2016/679. », il est inséré un alinéa ainsi rédigé :
« Le fonctionnement du dispositif de certification de personnes des compétences du DPO a fait l’objet d’une évaluation, qui a conduit la Commission à modifier le référentiel par une délibération n° 2022-128 en date du 6 octobre 2022. » ;
c) Après l’alinéa :
« Les critères du référentiel annexé à la présente délibération en vue de l’agrément par la Commission d’organismes en charge de la certification des compétences du délégué à la protection des données sont approuvés. »,
l’alinéa :
« Le fonctionnement de ce dispositif fera l’objet, au plus tard dans un délai de deux ans à compter de son entrée en vigueur, d’une évaluation en vue d’adapter, le cas échéant, les exigences du présent référentiel. »
est remplacé par :
« L’agrément est délivré par la Commission pour une durée de cinq ans. » ;

2° Le référentiel annexé à la délibération n° 2018-317 du 20 septembre 2018 portant adoption des critères du référentiel d’agrément d’organismes de certification pour la certification des compétences du délégué à la protection des données (DPO) est ainsi modifié :
a) La référence à la norme ISO/IEC 17024 : 2012 est remplacée par une référence à la norme EN ISO/IEC 17024 en vigueur ;
b) L’exigence 1.1 est remplacée par les dispositions suivantes :
« Exigence 1.1. L’organisme de certification est accrédité, pendant toute la durée de son agrément par la Commission, par le Comité Français d’Accréditation ou par un autre organisme national d’accréditation visé par le règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 “fixant les prescriptions relatives à l’accréditation et abrogeant le règlement (CEE) n° 339/93 du Conseil”, signataire d’un accord de reconnaissance multilatéral pris dans le cadre de la coordination européenne des organismes d’accréditation au regard de la norme EN ISO/IEC 17024 en vigueur “Evaluation de la conformité – Exigences générales pour les organismes de certification procédant à la certification de personnes” pour un dispositif particulier de certification de personnes.
« Seule une accréditation délivrée spécifiquement pour le dispositif de certification des compétences du DPO est prise en compte par la Commission dans le cadre d’une demande initiale d’agrément ou d’une demande de renouvellement d’un agrément.
« Dans le cas où l’organisme de certification n’est pas accrédité pour ce dispositif de certification au moment de sa demande auprès de la Commission, il est autorisé, par agrément délivré par la Commission, à démarrer les activités de certification après notification d’une recevabilité opérationnelle favorable de sa demande d’accréditation par l’instance d’accréditation. Pendant cette période transitoire, l’organisme de certification délivre des certificats hors accréditation. L’organisme de certification doit obtenir l’accréditation dans un délai de douze mois à compter de la décision de recevabilité opérationnelle favorable de la part de l’instance d’accréditation. Une fois l’accréditation obtenue, l’organisme de certification transmet à la Commission l’attestation de cette accréditation et réémet les certificats sous accréditation selon les règles de l’instance d’accréditation.
« A défaut de l’obtention de cette accréditation au terme de cette échéance, l’agrément délivré par la Commission est retiré. Les certificats déjà délivrés restent valides pendant une période de six mois. Les personnes certifiées sollicitent un nouvel organisme de certification agréé par la Commission.
« L’organisme de certification informe la Commission de l’évolution du statut de son accréditation prise en compte pour l’obtention de son agrément. » ;
c) A l’exigence 1.2, après les mots : « le référentiel de certification des compétences du DPO », sont ajoutés les mots : « adoptés par la Commission » ;
d) L’exigence 1.2 est complétée par un alinéa ainsi rédigé :
« Lorsque l’organisme de certification est accrédité pour le dispositif de certification de personnes des compétences DPO, l’organisme de certification démontre la conformité aux exigences 2.3, 2.6 et 2.7 du présent référentiel dans le cadre de la procédure d’agrément de la Commission. Les autres exigences du présent référentiel sont évaluées par l’instance d’accréditation dans le cadre de la procédure d’accréditation. » ;
e) Après l’exigence 2.4 est insérée une exigence 2.4 bis ainsi rédigée :
« Exigence 2.4 bis. L’épreuve écrite peut se dérouler à distance. La lutte contre la fraude dans le cadre de cette modalité ne dispense pas l’organisme certificateur du respect des règles relatives à la protection des données (notamment au moment de la vérification de l’identité du candidat, et pendant toute la durée de l’examen). Pour ce faire, il peut prendre en compte les recommandations de la CNIL relatives aux modalités de mise en œuvre des dispositifs de télésurveillance pour les examens en ligne. » ;
f) L’exigence 3.5 est supprimée.
g) Après l’exigence 5.1 est ajoutée une exigence 5.2 ainsi rédigée :
« Exigence 5.2. L’organisme de certification agréé par la Commission l’informe de toute modification substantielle de son questionnaire. » ;
h) L’exigence 6.1 est complétée par les mots : « ainsi qu’un membre d’une association représentative de professionnels dans le secteur de la protection des données » ;
i) Le titre de la catégorie 7 est complétée par les mots : « ou la demande de renouvellement de l’agrément » ;
j) A l’exigence 7.1, après les mots : « Les organismes de certification qui demandent à être agréés par la Commission », sont ajoutés les mots : « ou demandent le renouvellement de leur agrément » ;
k) A l’exigence 7.1, après les mots : « conformément à l’exigence 1.1 de la présente délibération », sont ajoutés les mots : « ou la copie du courrier de recevabilité opérationnelle favorable de la demande de cette accréditation transmis par une instance d’accréditation » ;
l) A l’exigence 7.1, la phrase : « – un document qui présente le processus de certification des compétences du DPO ; et » est supprimée ;
m) A l’exigence 8.1, après les mots : « sur la certification des compétences du DPO comprenant », sont ajoutés les mots : « les statistiques de réussite de l’épreuve écrite, ».
La présente délibération sera publiée au Journal officiel de la République française.

Date et signature(s)

Le 6 octobre 2022.

La présidente,
M.-L. Denis

Ma veille juridique

Veille juridique – Droit privé, Droit des Obligations, Procédure Civile, Droit des Affaires, Droit des Biens, Droit de la Propriété Intellectuelle, Droit du Numérique, RGPD

🟥 [Diffamation] Lorsque l’auteur d’un article publié sur LinkedIn invoque l’excuse de bonne foi, le juge doit d’abord rechercher ses propos s’inscrivent dans un débat d’intérêt général et reposent sur une base factuelle

🟥 [Interdiction de l’abaya et du qamis] Le Conseil d’État a rejeté le référé visant à contester l’interdiction du port de l’abaya (ou qamis), au motif que cette interdiction ne constitue pas une atteinte grave et manifestement illégale à une liberté fondamentale

🟥 [Crime contre l’humanité] La Cour de cassation annule la relaxe d’Eric Zemmour poursuivi pour contestation de crime contre l’humanité pour avoir déclaré que Pétain avait « sauvé » les juifs français

🟥 [Droit des sociétés] La prorogation de la société, décidée par le juge et fondée sur l’intention des associés, n’impose ni de rechercher si ces derniers ont omis de bonne foi de la proroger, ni une intention unanime

🟥 [Brevet] La date limite pour déposer une 2nd demande divisionnaire à partir d’une 1ère demande divisionnaire correspond à la date de paiement de la 1ère demande divisionnaire, et non à celle de la demande initiale

🟥 [Diffamation] La chambre de l’instruction est compétente pour autoriser (réserver) l’action en diffamation concernant des propos contenus dans le mémoire de la partie civile à l’occasion d’un procès

🟥 Le Conseil constitutionnel rejette le RIP relatif à la proposition de loi visant à affirmer que l’âge légal de départ à la retraite ne peut être fixé au-delà de 62 ans

🟥 Le Conseil constitutionnel valide la loi portant sur la réforme de la retraite à 64ans

🟥 [Responsabilité civile] Un salarié victime d’un accident de la route peut demander l’indemnisation du préjudice subi lié à la privation des tickets-restaurant

🟥 [Droit de réponse] La Cour de cassation confirme que l’action en justice afin de faire sanctionner le refus d’un droit de réponse est soumise au délai de prescription de 3 mois

🟧 Délibération CNIL du 6 octobre 2022 modifiant la délibération du 20 septembre 2018 portant adoption des critères du référentiel d’agrément d’organismes de certification pour la certification des compétences du délégué à la protection des données (DPO)

Références

En-tête

Article

Date et signature(s)