Délibération n° 2022-128 du 6 octobre 2022 modifiant la délibération n° 2018-317 du 20 septembre 2018 portant adoption des critères du référentiel d’agrément d’organismes de certification pour la certification des compétences du délégué à la protection des données (DPO)
JO du 10 mars 2023
Ce texte modifie la délibération n° 2018-317 du 20 septembre 2018 portant adoption des critères du référentiel d’agrément d’organismes de certification pour la certification des compétences du délégué à la protection des données (DPO).
Des évolutions sont introduites car le fonctionnement du dispositif de certification de personnes des compétences du DPO a fait l’objet d’une évaluation, qui a conduit la Commission nationale de l’informatique et des libertés (CNIL) à préciser/ajouter certains points.
Dans ce cadre, le texte précise les critères du référentiel en vue de l’agrément par la CNIL d’organismes en charge de la certification des compétences du DPO.
Il indique que l’agrément de ces organismes est délivré par la CNIL pour une durée de cinq ans.
Il remplace, dans l’ensemble du référentiel, la référence à la norme ISO/IEC 17024 : 2012 par une référence à la norme EN ISO/IEC 17024 en vigueur (pour anticiper toute évolution de la norme).
Par ailleurs, il apporte des éclaircissements concernant les exigences suivantes du référentiel :
* exigence 1.1 relative à l’accréditation. L’organisme de certification est accrédité, pendant toute la durée de son agrément par la Commission, par le Comité Français d’Accréditation ou par un autre organisme national d’accréditation visé par le règlement n°765/2008 du 9 juillet 2008, signataire d’un accord de reconnaissance multilatéral pris dans le cadre de la coordination européenne des organismes d’accréditation au regard de la norme EN ISO/IEC 17024 en vigueur pour un dispositif particulier de certification de personnes. Le texte fixe notamment les mesures applicables dans le cas où l’organisme de certification n’est pas accrédité pour ce dispositif de certification au moment de sa demande auprès de la Commission ;
* exigence 2.4 bis relative à l’évaluation du candidat à la certification. En particulier, le texte définit les modalités de l’épreuve écrite, laquelle peut se dérouler à distance. La lutte contre la fraude dans le cadre de cette modalité ne dispense pas l’organisme certificateur du respect des règles relatives à la protection des données (notamment au moment de la vérification de l’identité du candidat et pendant toute la durée de l’examen). Pour ce faire, il peut prendre en compte les recommandations de la CNIL relatives aux modalités de mise en œuvre des dispositifs de télésurveillance pour les examens en ligne ;
* exigence 5.2 relative au matériel d’évaluation. En ce sens, le texte précise que l’organisme de certification agréé par la CNIL l’informe de toute modification substantielle de son questionnaire ;
* exigence 7.1 relative au contenu du dossier des organismes de certification qui demandent à être agréés par la CNIL ou qui demandent le renouvellement de leur agrément ;
* exigence 8.1 relative aux informations que les organismes de certification agréés font parvenir à la Commission.
Les plus lus…
À la suite d’un accident du travail grave dû à la défaillance d’un connecteur, l’OPPBTP, France Travaux sur Cordes,…
Alors qu'une personne victime de violences internes sur cinq estime avoir subi un harcèlement sexuel[1], prendre conscience de ce…
Le colonel Frédéric Goulet a officié en tant que chef du Bureau de la prévention et de la réglementation…
Dans la nuit du 13 au 14 juillet 2015, un important incendie a touché le site pétrochimique de l’américain…
Dans un flash Aria daté de juillet 2025, le Bureau d’analyse des risques et des pollutions industrielles (Barpi) rappelle l’importance…
L'entreprise Blue Solutions, filiale du groupe Bolloré, a répondu aux accusations de l'entreprise Highway France Logistics 8, propriétaire de…
À lire également