🟧 DĂ©libĂ©ration CNIL du 6 octobre 2022 modifiant la dĂ©libĂ©ration du 20 septembre 2018 portant adoption des critères du rĂ©fĂ©rentiel d’agrĂ©ment d’organismes de certification pour la certification des compĂ©tences du dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es (DPO)

Références

NOR : CNIL2305666X
Source : JORF n°0059 du 10 mars 2023, texte n° 72

En-tĂŞte

La Commission nationale de l’informatique et des libertĂ©s,
Vu le règlement (UE) 2016/679 du Parlement europĂ©en et du Conseil du 27 avril 2016 relatif Ă  la protection des personnes physiques Ă  l’Ă©gard du traitement des donnĂ©es Ă  caractère personnel et Ă  la libre circulation de ces donnĂ©es, et abrogeant la directive 95/46/CE (règlement gĂ©nĂ©ral sur la protection des donnĂ©es) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă  l’informatique, aux fichiers et aux libertĂ©s, notamment son article 8 I 2° h ;
Vu le dĂ©cret n° 2019-536 du 29 mai 2019 modifiĂ© pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative Ă  l’informatique, aux fichiers et aux libertĂ©s, notamment son article 74 ;
Vu la dĂ©libĂ©ration n° 2018-317 du 20 septembre 2018 portant adoption des critères du rĂ©fĂ©rentiel d’agrĂ©ment d’organismes de certification pour la certification des compĂ©tences du dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es (DPO) ;
Vu la délibération n° 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données (DPO) ;

Article

Après avoir entendu le rapport Mme Anne DEBET, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Formule les observations suivantes :
La Commission nationale de l’informatique et des libertĂ©s (ci-après, la CNIL ou la Commission) est compĂ©tente pour agrĂ©er des organismes en vue de dĂ©livrer la certification des compĂ©tences du dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es (ci-après « DPO ») sur la base d’exigences qu’elle adopte ;
Le fonctionnement du dispositif de certification de personnes des compĂ©tences du DPO a fait l’objet d’une Ă©valuation en vue d’adapter, le cas Ă©chĂ©ant, les exigences du rĂ©fĂ©rentiel adoptĂ© par la Commission ;
Cette dĂ©libĂ©ration modifie la dĂ©libĂ©ration n° 2018-317 du 20 septembre 2018, qui fixe les exigences d’agrĂ©ment des organismes de certification pour la certification des compĂ©tences de personnes physiques en tant que dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es, tel que mentionnĂ© Ă  la section 4 du chapitre IV du règlement (UE) 2016/679,

DĂ©cide :

1° La dĂ©libĂ©ration n° 2018-317 du 20 septembre 2018 portant adoption des critères du rĂ©fĂ©rentiel d’agrĂ©ment d’organismes de certification pour la certification des compĂ©tences du dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es (DPO) est ainsi modifiĂ©e :
a) Après la phrase : « Formule les observations suivantes », la phrase : « ConformĂ©ment Ă  l’article 11-I-2° f bis de la loi n° 78-17 modifiĂ©e, » est supprimĂ©e ;
b) Après l’alinĂ©a :
« La prĂ©sente dĂ©libĂ©ration fixe les critères d’agrĂ©ment d’organismes de certification pour la certification des compĂ©tences de personnes physiques en tant que dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es, tel que visĂ© Ă  la section 4 du chapitre IV du règlement (UE) 2016/679. », il est insĂ©rĂ© un alinĂ©a ainsi rĂ©digĂ© :
« Le fonctionnement du dispositif de certification de personnes des compĂ©tences du DPO a fait l’objet d’une Ă©valuation, qui a conduit la Commission Ă  modifier le rĂ©fĂ©rentiel par une dĂ©libĂ©ration n° 2022-128 en date du 6 octobre 2022. » ;
c) Après l’alinĂ©a :
« Les critères du rĂ©fĂ©rentiel annexĂ© Ă  la prĂ©sente dĂ©libĂ©ration en vue de l’agrĂ©ment par la Commission d’organismes en charge de la certification des compĂ©tences du dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es sont approuvĂ©s. »,
l’alinĂ©a :
« Le fonctionnement de ce dispositif fera l’objet, au plus tard dans un dĂ©lai de deux ans Ă  compter de son entrĂ©e en vigueur, d’une Ă©valuation en vue d’adapter, le cas Ă©chĂ©ant, les exigences du prĂ©sent rĂ©fĂ©rentiel. »
est remplacé par :
« L’agrĂ©ment est dĂ©livrĂ© par la Commission pour une durĂ©e de cinq ans. » ;

2° Le rĂ©fĂ©rentiel annexĂ© Ă  la dĂ©libĂ©ration n° 2018-317 du 20 septembre 2018 portant adoption des critères du rĂ©fĂ©rentiel d’agrĂ©ment d’organismes de certification pour la certification des compĂ©tences du dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es (DPO) est ainsi modifiĂ© :
a) La référence à la norme ISO/IEC 17024 : 2012 est remplacée par une référence à la norme EN ISO/IEC 17024 en vigueur ;
b) L’exigence 1.1 est remplacĂ©e par les dispositions suivantes :
« Exigence 1.1. L’organisme de certification est accrĂ©ditĂ©, pendant toute la durĂ©e de son agrĂ©ment par la Commission, par le ComitĂ© Français d’AccrĂ©ditation ou par un autre organisme national d’accrĂ©ditation visĂ© par le règlement (CE) n° 765/2008 du Parlement europĂ©en et du Conseil du 9 juillet 2008 “fixant les prescriptions relatives Ă  l’accrĂ©ditation et abrogeant le règlement (CEE) n° 339/93 du Conseil”, signataire d’un accord de reconnaissance multilatĂ©ral pris dans le cadre de la coordination europĂ©enne des organismes d’accrĂ©ditation au regard de la norme EN ISO/IEC 17024 en vigueur “Evaluation de la conformitĂ© – Exigences gĂ©nĂ©rales pour les organismes de certification procĂ©dant Ă  la certification de personnes” pour un dispositif particulier de certification de personnes.
« Seule une accrĂ©ditation dĂ©livrĂ©e spĂ©cifiquement pour le dispositif de certification des compĂ©tences du DPO est prise en compte par la Commission dans le cadre d’une demande initiale d’agrĂ©ment ou d’une demande de renouvellement d’un agrĂ©ment.
« Dans le cas oĂą l’organisme de certification n’est pas accrĂ©ditĂ© pour ce dispositif de certification au moment de sa demande auprès de la Commission, il est autorisĂ©, par agrĂ©ment dĂ©livrĂ© par la Commission, Ă  dĂ©marrer les activitĂ©s de certification après notification d’une recevabilitĂ© opĂ©rationnelle favorable de sa demande d’accrĂ©ditation par l’instance d’accrĂ©ditation. Pendant cette pĂ©riode transitoire, l’organisme de certification dĂ©livre des certificats hors accrĂ©ditation. L’organisme de certification doit obtenir l’accrĂ©ditation dans un dĂ©lai de douze mois Ă  compter de la dĂ©cision de recevabilitĂ© opĂ©rationnelle favorable de la part de l’instance d’accrĂ©ditation. Une fois l’accrĂ©ditation obtenue, l’organisme de certification transmet Ă  la Commission l’attestation de cette accrĂ©ditation et rĂ©Ă©met les certificats sous accrĂ©ditation selon les règles de l’instance d’accrĂ©ditation.
« A dĂ©faut de l’obtention de cette accrĂ©ditation au terme de cette Ă©chĂ©ance, l’agrĂ©ment dĂ©livrĂ© par la Commission est retirĂ©. Les certificats dĂ©jĂ  dĂ©livrĂ©s restent valides pendant une pĂ©riode de six mois. Les personnes certifiĂ©es sollicitent un nouvel organisme de certification agrĂ©Ă© par la Commission.
« L’organisme de certification informe la Commission de l’Ă©volution du statut de son accrĂ©ditation prise en compte pour l’obtention de son agrĂ©ment. » ;
c) A l’exigence 1.2, après les mots : « le rĂ©fĂ©rentiel de certification des compĂ©tences du DPO », sont ajoutĂ©s les mots : « adoptĂ©s par la Commission » ;
d) L’exigence 1.2 est complĂ©tĂ©e par un alinĂ©a ainsi rĂ©digĂ© :
« Lorsque l’organisme de certification est accrĂ©ditĂ© pour le dispositif de certification de personnes des compĂ©tences DPO, l’organisme de certification dĂ©montre la conformitĂ© aux exigences 2.3, 2.6 et 2.7 du prĂ©sent rĂ©fĂ©rentiel dans le cadre de la procĂ©dure d’agrĂ©ment de la Commission. Les autres exigences du prĂ©sent rĂ©fĂ©rentiel sont Ă©valuĂ©es par l’instance d’accrĂ©ditation dans le cadre de la procĂ©dure d’accrĂ©ditation. » ;
e) Après l’exigence 2.4 est insĂ©rĂ©e une exigence 2.4 bis ainsi rĂ©digĂ©e :
« Exigence 2.4 bis. L’Ă©preuve Ă©crite peut se dĂ©rouler Ă  distance. La lutte contre la fraude dans le cadre de cette modalitĂ© ne dispense pas l’organisme certificateur du respect des règles relatives Ă  la protection des donnĂ©es (notamment au moment de la vĂ©rification de l’identitĂ© du candidat, et pendant toute la durĂ©e de l’examen). Pour ce faire, il peut prendre en compte les recommandations de la CNIL relatives aux modalitĂ©s de mise en Ĺ“uvre des dispositifs de tĂ©lĂ©surveillance pour les examens en ligne. » ;
f) L’exigence 3.5 est supprimĂ©e.
g) Après l’exigence 5.1 est ajoutĂ©e une exigence 5.2 ainsi rĂ©digĂ©e :
« Exigence 5.2. L’organisme de certification agrĂ©Ă© par la Commission l’informe de toute modification substantielle de son questionnaire. » ;
h) L’exigence 6.1 est complĂ©tĂ©e par les mots : « ainsi qu’un membre d’une association reprĂ©sentative de professionnels dans le secteur de la protection des donnĂ©es » ;
i) Le titre de la catĂ©gorie 7 est complĂ©tĂ©e par les mots : « ou la demande de renouvellement de l’agrĂ©ment » ;
j) A l’exigence 7.1, après les mots : « Les organismes de certification qui demandent Ă  ĂŞtre agrĂ©Ă©s par la Commission », sont ajoutĂ©s les mots : « ou demandent le renouvellement de leur agrĂ©ment » ;
k) A l’exigence 7.1, après les mots : « conformĂ©ment Ă  l’exigence 1.1 de la prĂ©sente dĂ©libĂ©ration », sont ajoutĂ©s les mots : « ou la copie du courrier de recevabilitĂ© opĂ©rationnelle favorable de la demande de cette accrĂ©ditation transmis par une instance d’accrĂ©ditation » ;
l) A l’exigence 7.1, la phrase : « – un document qui prĂ©sente le processus de certification des compĂ©tences du DPO ; et » est supprimĂ©e ;
m) A l’exigence 8.1, après les mots : « sur la certification des compĂ©tences du DPO comprenant », sont ajoutĂ©s les mots : « les statistiques de rĂ©ussite de l’Ă©preuve Ă©crite, ».
La présente délibération sera publiée au Journal officiel de la République française.

Date et signature(s)

Le 6 octobre 2022.

La présidente,
M.-L. Denis