Délibération n° 2022-128 du 6 octobre 2022 modifiant la délibération n° 2018-317 du 20 septembre 2018 portant adoption des critères du référentiel d’agrément d’organismes de certification pour la certification des compétences du délégué à la protection des données (DPO)

JO du 10 mars 2023

Ce texte modifie la délibération n° 2018-317 du 20 septembre 2018 portant adoption des critères du référentiel d’agrément d’organismes de certification pour la certification des compétences du délégué à la protection des données (DPO).
Des évolutions sont introduites car le fonctionnement du dispositif de certification de personnes des compétences du DPO a fait l’objet d’une évaluation, qui a conduit la Commission nationale de l’informatique et des libertés (CNIL) à préciser/ajouter certains points.
Dans ce cadre, le texte précise les critères du référentiel en vue de l’agrément par la CNIL d’organismes en charge de la certification des compétences du DPO.
Il indique que l’agrément de ces organismes est délivré par la CNIL pour une durée de cinq ans.
Il remplace, dans l’ensemble du référentiel, la référence à la norme ISO/IEC 17024 : 2012 par une référence à la norme EN ISO/IEC 17024 en vigueur (pour anticiper toute évolution de la norme).
Par ailleurs, il apporte des éclaircissements concernant les exigences suivantes du référentiel :
* exigence 1.1 relative à l’accréditation. L’organisme de certification est accrédité, pendant toute la durée de son agrément par la Commission, par le Comité Français d’Accréditation ou par un autre organisme national d’accréditation visé par le règlement n°765/2008 du 9 juillet 2008, signataire d’un accord de reconnaissance multilatéral pris dans le cadre de la coordination européenne des organismes d’accréditation au regard de la norme EN ISO/IEC 17024 en vigueur pour un dispositif particulier de certification de personnes. Le texte fixe notamment les mesures applicables dans le cas où l’organisme de certification n’est pas accrédité pour ce dispositif de certification au moment de sa demande auprès de la Commission ;
* exigence 2.4 bis relative à l’évaluation du candidat à la certification. En particulier, le texte définit les modalités de l’épreuve écrite, laquelle peut se dérouler à distance. La lutte contre la fraude dans le cadre de cette modalité ne dispense pas l’organisme certificateur du respect des règles relatives à la protection des données (notamment au moment de la vérification de l’identité du candidat et pendant toute la durée de l’examen). Pour ce faire, il peut prendre en compte les recommandations de la CNIL relatives aux modalités de mise en œuvre des dispositifs de télésurveillance pour les examens en ligne ;
* exigence 5.2 relative au matériel d’évaluation. En ce sens, le texte précise que l’organisme de certification agréé par la CNIL l’informe de toute modification substantielle de son questionnaire ;
* exigence 7.1 relative au contenu du dossier des organismes de certification qui demandent à être agréés par la CNIL ou qui demandent le renouvellement de leur agrément ;
* exigence 8.1 relative aux informations que les organismes de certification agréés font parvenir à la Commission.