Formation DPO : laquelle choisir ?

Le Data Protection Officer (DPO) ou délégué à la protection des données est au cœur du RGPD (règlement européen sur la protection des données).

Le DPO a pour principale mission de conseiller son organisation sur tous les aspects touchant à la conformité au RGPD. En effet, la désignation d'un DPO est tantôt obligatoire, tantôt fortement encouragée par le RGPD dès lors qu’un organisme collecte des données personnelles.

Le métier de DPO est devenu essentiel depuis l’entrée en vigueur du RGPD. Et pour cause, dans son classement des métiers en forte croissance, Linkedin a placé le métier de DPO en première position. En effet, ces compétences sont actuellement très recherchées par les entreprises.

Cette fonction vous intéresse et vous souhaitez savoir comment devenir DPO ? Nous vous proposons de répondre à toutes les questions que vous vous posez sur le métier de DPO :

  • Quelles sont les missions du DPO ?
  • Comment devenir DPO ?
  • Est-il obligatoire d’obtenir une certification pour devenir DPO?
  • Quelles sont les meilleures formations DPO ?

1 - Qu’est-ce qu’un DPO (Data Protection Officer) ?

Avant l’entrée en vigueur du RGPD, la fonction de DPO existait déjà sous la dénomination de Correspondant Informatique et Liberté (CIL). Cependant, ces nominations restaient marginales.

Missions du DPO

Depuis 2018, le RGPD accorde un rôle central au délégué à la protection des données personnelles dans la mise en conformité. Ses missions sont définies à l’article 39 RGPD.

Elles se résument ainsi :

Piloter la conformité au RGPD au sein de l’organisme qui l’a désigné

Piloter toute la conformité d’une entité signifie que le DPO est chargé de tous les éléments de la conformité dans tous ses aspects :

  • cartographie des données personnelles,
  • construction de la documentation afférente (registre des traitements de données personnelles, registre des sous-traitants, référentiels adoptés par la CNIL pour la certification des compétences des DPO, etc.)etc.)
  • prioriser les actions à mener,
  • gérer les risques relatifs à la protection des données personnelles.

Contrôler le respect du RGPD en matière de protection des données personnelles

Il est chargé de s'assurer que les données personnelles ont bien été supprimées lorsqu'une demande d'effacement des données a été formée. Au titre de cette mission, il est également chargé de la sensibilisation des collaborateurs à ces sujets.

Se placer comme l’interlocuteur privilégié de la CNIL

Par exemple dans l'hypothèse d'une violation de données personnelles, c'est-à-dire une fuite des données personnelles ou un accès non-autorisé, c'est au DPO d'alerter la CNIL doit être alertée dans les 72 heures. Bien entendu, il est également l'interlocuteur privilégié en cas de contrôle.

Conseiller et informer

Le DPO a pour principale mission d’assister l’organisme au sein duquel il exerce ses fonctions sur toutes les questions relatives aux données personnelles.

C'est peut être la mission la plus importante : celle de conseiller le responsable de traitement et les collaborateurs sur tous les sujets liés à la protection des données personnelles.

Désignation du DPO

L’idée générale du texte est de prévoir une obligation pour l’entité de désigner un DPO dès lors que les traitements de données personnelles deviennent relativement importants en nombre ou en substance.

En effet, l’article 37 RGPD prévoit la désignation obligatoire d’un DPO :

  • Pour le secteur public (à l'exception des juridictions),
  • Lorsque l’organisme opère des traitements de données personnelles exigeant un suivi régulier ou systématique à grande échelle des personnes concernées,
  • Ou lorsque les organismes traitements des données sensibles (article 9 RGPD) ou relatives à des condamnations pénales et infractions (article 10 RGPD).

Précisions qu'il n’existe pas de seuil chiffré rendant obligatoire la désignation d'un DPO.

En dehors de ces hypothèses, la désignation d’un délégué à la protection des données reste facultative pour les organismes. Cependant, celle-ci est fortement encouragée par la CNIL.

2 - Comment devenir délégué à la protection des données ?

Le métier de DPO n’est pas une profession réglementée et aucune formation n’est exigée pour y accéder. Toutefois, ce poste se structure peu à peu et certain prérequis sont nécessaires pour exercer sereinement ce métier.

Les programmes de formation pour devenir DPO incluent généralement un certain nombre d'heures de cours, réparties entre des cours théoriques et des examens pratiques.

Les compétences pour accéder à la fonction de DPO

Comme déjà exposé, le DPO a pour principale mission de conseiller son organisation sur tous les aspects touchant à la conformité RGPD. Par conséquent, deux qualités professionnelles découlent naturellement de l’exercice de cette mission :

  • Une base de connaissance suffisante en droit ;
  • Et une bonne connaissance en matière de traitement de données personnelles et du secteur d’activité dans lequel le DPO est amené à exercer.

D'ailleurs, ces compétences sont reprises à l’article 37 RGPD qui prévoit que les compétences nécessaires pour accéder au métier de délégué à la protection des données : « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions ».

Concernant les connaissances en droit, précisions qu’aucun niveau en matière de diplôme n’est exigé. Il convient uniquement d'être au minimum à l'aise avec le vocabulaire et les notions juridiques afin d’appréhender les exigences qui découlent du RGPD.

Concernant les connaissances en matière de traitement de données personnelles, il s’agit simplement d’avoir des connaissances de base sur la data, et ce qu’est un traitement de données personnelles. Par exemple, la casquette de DPO est souvent portée par une personne de l’équipe Tech ou Data car elle est la mieux placée pour avoir une vue d’ensemble sur les opérations sur les données personnelles.

En plus de ces compétences “hard skills”, il convient d’avoir des compétences plus “soft skills” ou compétences humaines.

Comme nous l’avons vu plus haut, le DPO a pour mission de sensibiliser les collaborateurs et de conseiller l’organisme pour lequel il travaille. Cela implique certaines qualités :

  • Communication : aptitude à communiquer avec l’ensemble des membres de l’organisme sur les sujets RGPD, ,
  • Pédagogie : capacité à animer des formations et sensibiliser les collaborateurs.

Une étude de la CNIL révèle que :

📍 34,9% des DPO ont un profil informatique,

📍 31% ont un profil juridique,

📍 34% sont issus des services administratifs, de la finance, de la conformité, de l’audit etc.

Une formation au métier de DPO est-elle obligatoire ?

Le DPO doit disposer de qualités professionnelles et de connaissances spécifiques. Cependant, en ce qui concerne la formation et les diplômes, le RGPD est muet sur ce point. Ce qui est sûr, c’est que la législation n’exige pas de formation particulière.

La formation n’est donc pas obligatoire pour être DPO car il ne s’agit pas d’un métier réglementé.

Toutefois, si vous souhaitez obtenir une certification par un organisme agréé par la CNIL, elle exige un minimum d’expérience professionnelle :

  • Au moins 2 ans d’expérience professionnelle dans des projets, activités ou tâches en lien avec les missions du DPO s'agissant de la protection des données personnelles.
  • Ou 2 ans d’expérience professionnelle diverse ET une formation d’au moins 35 heures en matière de protection des données personnelles reçu par un organisme de formation.

⚠️ Attention, cette certification n’est pas obligatoire pour devenir DPO.

Les différents types de formations possibles pour devenir DPO

Pour devenir DPO, il est recommandé de posséder des compétences initiales en droit, en ingénierie des données, et/ou en IT. Les formations DPO permettent d'acquérir une compréhension fine et exhaustive du RGPD et des obligations en découlant.

Il existe de nombreux dispositifs de formations pour acquérir ou consolider les compétences de DPO. Cependant, celles-ci sont généralement accessibles à des candidats détenant déjà des compétences initiales en droit, en ingénierie des données, et/ou en IT. Ces formations s’adressent donc principalement à des juristes, à des ingénieurs des données  et/ des informaticiens.

Les formations à distance

Il s’agit des principales formations suivantes :

  • formations de type MOOC : visant à l’acquisition des savoirs fondamentaux et pratiques relatifs au RGPD et au droit de la protection des données personnelles. Pensez notamment au Mooc de la CNIL “l’Atelier RGPD”, un outil gratuit et accessible à tous.
  • formations de type webinaires : accessibles en replay, ces webinaires offrent des outils pédagogiques et des ressources essentielles permettant de monter en compétences pour exercer la fonction de DPO.
  • Les formations e-learning, comme les formations de Leto.

Ces formations courtes à distance ne sont pas toujours certifiantes.

Les formations en présentiel

Ces formations courtes durent de 2 jours à une quinzaine de jours.

Pour accéder à ces formations, il est généralement demandé au candidat un niveau d’études ou une expérience professionnelle dans un domaine lié au droit ou à l’IT.

Ces formations peuvent être certifiantes mais ne le sont pas nécessairement.

3 - La certification est-elle obligatoire pour devenir DPO ?

La certification : une obligation ?

Non. Toute comme la formation, l’obtention d’une certification :

  • n’est pas obligatoire pour exercer des fonctions de DPO,
  • et n’est pas un préalable nécessaire à la désignation du DPO auprès de la CNIL.

Actuellement, il est même tout à fait possible de devenir DPO via une formation non certifiante. Il est cependant recommandé de suivre une formation certifiante qui sera davantage reconnue sur le marché du travail.

💡Le référentiel de la CNIL concernant les formations au métier de DPO vise à garantir que les DPO soient bien qualifiés pour exercer leurs fonctions. La certification permet d’identifier la nature des compétences acquises par le (futur) délégué à la protection des données personnelles.

⚠️ Certains organismes délivrent des certifications mais ne sont pas agréés par la CNIL. Nous vous recommandons de choisir un organisme certificateur agréé CNIL pour la certification des compétences du DPO.

Comment obtenir la certification DPO ?

La certification doit être organisée par des structures de certification ayant obtenu un agrément de la CNIL. Vous trouverez la liste ici : organismes de certification agréés.

Cette certification consiste en un examen de compétences et non un diplôme. Concrètement il s’agit d’un QCM d’une centaine de questions, certaines sous forme de cas pratiques.

Ces questions portent notamment sur les domaines suivants : les principes de licéité du traitement (article 5 RGPD), base juridique du traitement (article 6 RGPD), informations des personnes concernées (article 13 RGPD), cadre juridique des sous-traitants (article 28 RGPD), transferts des données en dehors de l’Union européenne, élaboration et mise en œuvre d’une politique de confidentialité etc.  Vous retrouverez la liste complète juste ici.

En raison de l’évolution rapide des technologies, la certification DPO de la CNIL n‘est délivrée que pour une durée de 3 ans.

Qui peut accéder à l’examen de certification DPO ?

L’examen de certification des compétences du DPO n’est pas accessible à tout public.

Comme évoqué plus haut, la CNIL a précisé ces conditions préalables à l’exigence 1 du référentiel de certification. Pour se présenter à l’examen de certification DPO CNIL, les conditions sont les suivantes :

  • Le candidat justifie d’une expérience d’au moins 2 ans un domaine juridique ou technique lié à la protection des données personnelles : aucune formation n’est nécessaire.

ou

  • Le candidat justifie d’une expérience professionnelle d’au moins deux ans dans n’importe quel domaine : une formation est nécessaire. La durée d’une formation certifiante est de 35 heures minimum.

⚠️ Le mooc de la CNIL “Atelier RGPD” n’est pas certifiant et ne peut pas non plus être pris en compte dans le cadre des 35h de formation permettant de passer la certification DPO. Toutefois, le suivi de l’atelier de la CNIL permet d’obtenir une attestation de suivi du module pour les utilisateurs ayant parcouru la totalité du module et ayant correctement répondu à 80% des questions de chaque module.

4 - Quelles sont les meilleures formations DPO certifiantes ?

Parmi la liste d’organismes vous permettant d’obtenir une certification et/ou de vous préparer à l’examen de certification DPO CNIL, nous en avons sélectionné 5 :

  • AFNOR
  • The Noeshield
  • Anaxia conseil
  • Impact RGPD
  • RGPD Academy

Vous retrouvez leurs principales caractéristiques dans le tableau suivant :

Tous ces organismes de formation sont certifiés par l’un ou plusieurs des organismes certificateurs agréés par la CNIL :

  • AFNOR,
  • APAVE,
  • Bureau VERITAS,
  • CESI Certification,
  • IAPP,
  • LCP Certification
  • LSTI.

5- Exemple de programme de formation

Le programme de formation DPO est structuré en plusieurs modules, chacun couvrant un aspect clé de la protection des données. Voici les principaux modules :

  • Module 1 : Introduction à la protection des données - Ce module offre une vue d’ensemble des concepts fondamentaux de la protection des données.
  • Module 2 : Les principes de la protection des données - Il détaille les principes de base du RGPD, tels que la licéité, la loyauté et la transparence.
  • Module 3 : Les droits des personnes concernées - Ce module explique les droits des individus, comme le droit d’accès, de rectification et d’effacement.
  • Module 4 : Les obligations des responsables de traitement - Il couvre les responsabilités des entreprises en matière de traitement des données personnelles.
  • Module 5 : La mise en place des mesures de protection des données - Ce module enseigne comment implémenter des mesures de sécurité pour protéger les données.
  • Module 6 : La gestion des incidents de données - Il aborde les procédures à suivre en cas de violation de données.
  • Module 7 : La certification DPO - Ce dernier module prépare les participants à l’examen de certification DPO.

Chaque module est conçu pour fournir aux participants les connaissances et les compétences nécessaires pour exercer efficacement la fonction de délégué à la protection des données. La formation est dispensée par des experts en protection des données, possédant une expérience pratique et approfondie dans ce domaine.

6- D'autres approches

La formation DPO peut être complétée par des sessions de sensibilisation RGPD. Leto propose par exemple un système de micro-learning au RGPD qui permet de maintenir dans la durée ses compétences, et développer les bons réflexes aussi d'un point de vue opérationnel pour les collaborateurs.

Pour conclure

✔️ Aucune formation n’est obligatoire pour exercer le métier de DPO

✔️ Toutefois, si vous souhaitez obtenir la certification DPO CNIL : vous devez justifier de 2 ans d’expérience professionnelle dans le domaine de la protection des données personnelles ou suivre une formation d’au moins 35 heures pour vous présenter à l’examen.

✔️ Pensez à suivre le Mooc “l’atelier RGPD” de la CNIL qui constitue une bonne base de départ !

Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. N'hésitez pas à nous contacter pour échanger !

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?