Archives de catégorie : Non classé

Certification de DPO – Décryptage et démêlage de pelote

Publié le par

Formation, certification, accréditation, agrément, formation certifiante, DPO certifié et certification de compétences… Y comprendre quelque chose, faire le tri dans les mots, discerner le vrai du faux !

Comme tout organisme de formation de DPO, nous sommes confrontés jour après jour à des questions du type :

«Votre formation de DPO est-elle certifiante ? »
«Votre formation de DPO est-elle certifiée par la CNIL ? »
«Est-ce que votre formation donne la certification de DPO ? »
«Est-ce que vous avez l’agrément CNIL pour vos formations ? »

Alors, avant de développer une explication technique sur le mécanisme de certification de DPO selon les référentiels CNIL, commençons par remettre les choses à leur place !

  • Une formation de DPO ne peut pas être certifiante, selon les modalités de la CNIL
  • Aucune formation n’est et ne sera certifiée par la CNIL
  • Un organisme de formation ne peut pas certifier un DPO
  • Il n’y a pas d’agrément CNIL pour les formations de DPO
  • Un organisme de formation ne peut pas être aussi un organisme de certification

Décryptage…

Les référentiels de la CNIL pour la certification de DPO

Dans son référentiel CNIL1827457X, la CNIL définit les contours de l’examen de certification de compétences de DPO, à savoir :

  • Les prérequis pour qu’une personne physique puisse accéder à l’examen de certification des compétences de DPO
  • Les domaines de compétences et savoir faire que doit maîtriser un candidat à la certification

Dans son autre référentiel CNIL1827455X, la CNIL définit les règles par lesquelles elle donnera l’agrément, à des organismes de certification, leur permettant de faire passer l’examen et délivrer la Certification de compétences de DPO. Il détermine en outre les modalités de l’examen de certification et les domaines à évaluer.

Ainsi donc, ce sont des Organismes de Certification, agréés par la CNIL, qui seront en mesure de faire passer le test de certification.

A ce jour, 23 mars 2019, aucun organisme de certification n’est encore agréé par la CNIL et les dossiers sont en cours d’examen.

Les formations de DPO ouvrant accès à l’examen de certification

Pour pouvoir passer l’examen de certification des compétences de DPO, un candidat doit :

  • justifier de 2 ans d’expérience dans la protection des données personnelles
    ou
  • avoir 2 ans d’expérience autre et avoir suivi une formation de 35 heures sur le RGPD, les compétences et savoir-faire du DPO…

Cette formation est dispensée par des Organismes de Formation (à ne pas confondre avec les Organismes de Certification).

Quelle formation choisir ?

A priori, n’importe quelle formation de DPO d’au moins 35 heures, dispensée par un organisme de formation enregistré auprès de la Direccte (avec un numéro d’organisme de formation valide), peut permettre à un candidat de se présenter à l’examen de certification.

Dans les faits, il est probable que chaque organisme de certification qui sera agréé par la CNIL, sera libre d’accepter ou refuser les candidats en fonction de la formation qu’ils auront suivie.
Les modalités de validation des formations de DPO, par les organismes de certification, sont laissées à leur appréciation.

La question la plus pertinente à poser, à ce jour, pour le choix d’un organisme de formation est donc « Votre formation est-elle validée par un organisme de certification ayant déposé un dossier d’agrément auprès de la CNIL ? ».

Toutefois, un dernier conseil : N’attendez pas pour vous former, il y aura bientôt la queue au portillon… Soyez juste vigilant dans le choix de vos organismes de formation.

Certification – agrément – accréditation

… faire le tri entre ces trois mots.

Certification

La certification est un processus par lequel un Organisme de Certification et non pas un Organisme de Formation peut délivrer une certification de Compétences du DPO à un candidat.

Agrément

La Cnil a publié en octobre 2018 un référentiel (NOR : CNIL1827455X) qui définit les règles par lesquelles elle peut donner un Agrément à un organisme de certification lui permettant de délivrer la Certification de compétences de DPO

Ce référentiel définit essentiellement 2 points :

  • Les conditions d’agrément des Organismes de Certification par la CNIL, le maintien de cet agrément et son contrôle continu
  • Les conditions de délivrance de la certification de compétences de DPO y compris les conditions du test et son contenu

Accréditation

Pour pouvoir être agréé par la CNIL un organisme de certification doit avant tout être accrédité selon la Norme ISO 17024 (certification de personnes). Cette accréditation à un organisme de certification est délivrée, en France, par le COFRAC (Comité Français d’Accréditation). L’accréditation ISO 17024 ne peut être donnée à un organisme de certification que s’il est totalement indépendant des organismes de formation dans le domaine d’activité cible.

Les référentiels de certification de la CNIL

Certification des compétences du DPO

Référentiel : CNIL1827457X

Les prérequis le candidat ou la candidate doit pouvoir :

  • justifier d’une expérience professionnelle d’au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du DPO s’agissant de la protection des données personnelles ; ou
  • justifier d’une expérience professionnelle d’au moins 2 ans ainsi que d’une formation d’au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation.

Les 17 compétences et savoir-faire du DPO :

  • Le candidat connaît et comprend les principes de licéité du traitement, de limitation des finalités, de minimisation des données, d’exactitude des données, de conservation limitée des données, d’intégrité, de confidentialité et de responsabilité.
  • Le candidat sait identifier la base juridique d’un traitement.
  • Le candidat sait déterminer les mesures appropriées et le contenu de l’information à fournir aux personnes concernées.
  • Le candidat sait établir des procédures pour recevoir et gérer les demandes d’exercice des droits des personnes concernées.
  • Le candidat connaît le cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles.
  • Le candidat sait identifier l’existence de transferts de données hors Union européenne et sait déterminer les instruments juridiques de transfert susceptibles d’être utilisés.
  • Le candidat sait élaborer et mettre en œuvre une politique ou des règles internes en matière de protection des données.
  • Le candidat sait organiser et participer à des audits en matière de protection des données.
  • Le candidat connaît le contenu du registre d’activités de traitement, du registre des catégories d’activités de traitement et de la documentation des violations de données ainsi que de la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données.
  • Le candidat sait identifier des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement.
  • Le candidat sait participer à l’identification des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement.
  • Le candidat sait identifier les violations de données personnelles nécessitant une notification à l’autorité de contrôle et celles nécessitant une communication aux personnes concernées.
  • Le candidat sait déterminer s’il est nécessaire ou non d’effectuer une analyse d’impact relative à la protection des données (AIPD) et sait en vérifier l’exécution.
  • Le candidat sait dispenser des conseils en matière d’analyse d’impact relative à la protection des données (en particulier sur la méthodologie, l’éventuelle sous-traitance, les mesures techniques et organisationnelles à adopter).
  • Le candidat sait gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier).
  • Le candidat sait élaborer, mettre en œuvre et est en capacité de dispenser des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données.
  • Le candidat sait assurer la traçabilité de ses activités, notamment à l’aide d’outils de suivi ou de bilan annuel. 

Agrément d’organismes de certification pour la certification des compétences du DPO

Référentiel : CNIL1827455X

Concernant l’organisme de certification

  • L’organisme de certification doit être accrédité ISO 17024

Concernant le test de certification

  • Epreuve écrite sous forme de QCM d’au moins 100 questions avec 4 propositions doit au moins une est exacte
  • Les questions portent sur 3 domaines
    • Domaine 1. – Réglementation générale en matière de protection des données et mesures prises pour la mise en conformité : 50% des questions ;
    • Domaine 2. – Responsabilité : 30% des questions ;
    • Domaine 3. – Mesures techniques et organisationnelles pour la sécurité des données au regard des risques : 20% des questions.
  • L’épreuve écrite est réussie :
    •  si, au total, au moins 75% des réponses sont exactes ; et
    • si, pour chacun des trois domaines, au moins 50% des réponses aux questions sont exactes.

Concernant la délivrance de la certification

  • Elle est délivrée pour une période de 3 ans
  • Renouvelable selon les conditions suivantes
    • Passage d’un nouvel examen selon les mêmes conditions
    • Justifier d’au moins 1 an d’expérience du métier de DPO au cours des trois années
  • Elle est délivrée avec un certificat portant la mention « Délégué à la protection des données certifié conformément au référentiel de certification des compétences du DPO de la CNIL »

Concernant les questions de l’examen de certification

Le QCM porte sur les trois domaines cités ci-dessus dont voici le détail.

  • Domaine 1. – Réglementation générale en matière de protection des données et mesures prises pour la mise en conformité (50% des questions)
    • 1.1. Règlement européen et loi française sur la protection des données – fondamentaux :
      • 1.1.1. Champ d’application.
      • 1.1.2. Définitions et notions.
      • 1.1.3. Organismes soumis aux obligations règlementaires.
    • 1.2. Règlement européen et loi française sur la protection des données – principes:
      • 1.2.1. Licéité du traitement.
      • 1.2.2. Loyauté et transparence.
      • 1.2.3. Limitation des finalités.
      • 1.2.4. Minimisation des données.
      • 1.2.5. Exactitude des données.
      • 1.2.6. Conservation limitée des données.
      • 1.2.7. Intégrité, confidentialité des données.
    • 1.3. Règlement européen et loi française sur la protection des données – validité du traitement:
      • 1.3.1. Bases juridiques d’un traitement.
      • 1.3.2. Consentement.
      • 1.3.3. Consentement des mineurs.
      • 1.3.4. Catégories particulières de données à caractère personnel.
      • 1.3.5. Données relatives aux condamnations pénales et aux infractions.
    • 1.4. Droits des personnes concernées:
      • 1.4.1. Transparence et information.
      • 1.4.2. Accès, rectification et effacement (droit à l’oubli).
      • 1.4.3. Opposition.
      • 1.4.4. Décisions individuelles automatisées.
      • 1.4.5. Portabilité.
      • 1.4.6. Limitation du traitement.
      • 1.4.7. Limitations des droits.
    • 1.5. Mesures prises pour la mise en conformité :
      • 1.5.1. Politiques ou procédure en matière de protection des données
      • 1.5.2. Qualification des acteurs d’un traitement de données : responsables du traitement, responsables conjoints du traitement, sous-traitants
      • 1.5.3. Formalisation des relations (contrat sous-traitant, accord entre responsables conjoints du traitement).
      • 1.5.4. Codes de conduite et certifications.
    • 1.6. Délégué à la protection des données (DPO):
      • 1.6.1. Désignation et fin de mission.
      • 1.6.2. Qualités professionnelles, connaissances spécialisées et capacité à accomplir ses missions.
      • 1.6.3. Fonction du DPO (moyens, ressources, positionnement, indépendance, confidentialité, absence de conflit d’intérêts, formation).
      • 1.6.4. Missions du DPO et rôle du DPO en matière d’audits.
      • 1.6.5. Relations du DPO avec les personnes concernées et gestion des demandes d’exercice des droits.
      • 1.6.6. Coopération du DPO avec l’autorité de contrôle.
      • 1.6.7. Qualités personnelles, travail en équipe, management, communication, pédagogie.
    • 1.7. Transferts de données hors de l’Union européenne :
      • 1.7.1. Décision d’adéquation.
      • 1.7.2. Garanties appropriées.
      • 1.7.3. Règles d’entreprise contraignantes.
      • 1.7.4. Dérogations.
      • 1.7.5. Autorisation de l’autorité de contrôle.
      • 1.7.6. Suspension temporaire.
      • 1.7.7. Clauses contractuelles.
    • 1.8. Autorités de contrôle:
      • 1.8.1. Statut.
      • 1.8.2. Pouvoirs.
      • 1.8.3. Régime de sanction.
      • 1.8.4. Comité européen de protection des données.
      • 1.8.5. Recours juridictionnels.
      • 1.8.6. Droit à réparation.
    • 1.9. Doctrine et jurisprudence:
      • 1.9.1. Lignes directrices du G29.
      • 1.9.2. Avis, lignes directrices et recommandations du comité européen de protection des données.
      • 1.9.3. Jurisprudence française et européenne.

  • Domaine 2. – Responsabilité (30% des questions)
    • 2.1. Analyse d’impact relative à la protection des données (AIPD).
    • 2.2. Protection des données dès la conception et par défaut.
    • 2.3. Registre des activités de traitement (responsable de traitement) et registre des catégories d’activités de traitement (sous-traitant).
    • 2.4. Violations de données à caractère personnel, notification des violations et communication à la personne concernée.

  • Domaine 3. – Mesures techniques et organisationnelles pour la sécurité des données au regard des risques (20% des questions)
    • 3.1. Pseudonymisation et chiffrement des données personnelles.
    • 3.2. Mesures pour garantir la confidentialité, l’intégrité et la résilience des systèmes et des services de traitement.
    • 3.3. Mesures permettant de rétablir la disponibilité des données et l’accès aux données en cas d’incident physique ou technique. 

RGPD et Education Supérieure : Episode 02 : Paye – Contrôle d’accès – Planning

Publié le par

Le RGPD dans l’éducation supérieure.

Partie 1 : Les traitements classiques

Episode 2 : Paye, Contrôle d’accès et Planning

Dans le premier épisode nous avons discuté de quelques spécificités de l’éducation supérieure quant à l’établissement d’un fichier de prospection et du recrutement de collaborateurs (spécifiquement les professeurs et intervenants).

Dans cette partie nous traitons le triple cas la paye, le contrôle d’accès aux locaux et le planning et la relation entre ces trois activités en matière de RGPD.

Préambule :

Les traitements « Classiques »

Comme toute entreprise, un établissement d’éducation supérieure réalise des traitements assez courant comme :

  • L’établissement d’un fichier de prospection
  • Le recrutement de collaborateurs
  • La paye
  • Le contrôle d’accès à ses locaux
  • Le planning de ses activités et de ses ressources

Dans le cas de l’éducation supérieure ces activités ont des ramifications particulières.

Le triplet :  Paye-Contrôle d’accès – Planning

Une école ou université doit gérer ces trois axes avec des contraintes spécifiques.

Pour la paye, contrairement à une entreprise classique qui est composée d’une majorité de personnels permanents, l’éducation supérieure fait appel en permanence à des professeurs et intervenants dont le volume horaire est faible ou réduit et dont le travail s’effectue sur une grande période de temps (exemple 30 heures de cours sur 3 mois).

Le suivi des activités de ces personnes est totalement lié au planning qui rapproche 4 pivots : un horaire – une classe d’étudiants (nommément identifiés) – une salle de cours (géolocalisée) et un intervenant (lui ou elle aussi identifié). Le rapprochement de ces 4 pivots est nécessaire à la réalisation d’une paye ou d’un rapprochement de facture (si intervenant en honoraires).

D’autre part, les écoles (universités) réalisent de plus en plus un contrôle d’accès par badge tant pour l’accès physique aux bâtiments que pour suivre la présence des étudiants en cours, ou des professeurs (en cours eux aussi).

On peut avoir ici une double finalité à l’utilisation d’un badge nominatif : ouvrir et contrôler la présence.

  • Le contrôle d’accès suit une finalité de sécurité physique.
  • Le contrôle de présence suit une double finalité de jugement académique (points en moins si trop d’absence ou non validation d’un cours pour les étudiants) mais aussi parfois une finalité liée au règlement des salaires des étudiants en alternance par exemple.

Cette double finalité d’un dispositif unique demande un traitement particulier et une approche spécifique des durées de conservation, particulièrement si le stockage des données d’accès / présence est utilisé (comme c’est le cas…mais rarement) dans le cadre de la formation en Alternance ou Apprentissage (contrats de professionnalisation par exemple) comme moyen de « signature » de la présence des étudiants et professeurs pour la prise en charge des frais de scolarité ou de règlement des salaires par les OPCA concernées.

Dans une université ou école comprenant au même endroit…des étudiants en formation initiale et des étudiants alternants, la durée de conservation des historiques de présence doit donc être clairement séparée et gérée de façon univoque.

De même, les données de planning (des intervenants et des étudiants) sont des données de pseudo géolocalisation quand elles sont rapprochables du contrôle d’accès et doivent aussi retenir l’attention du responsable de traitement, de son conseil et de son DPO.