Répertoire des certifications
Inactif Niveau 7 RNCP35086

Délégué à la protection des données (DPO)

Cette certification est inactive. Elle a été remplacée par RNCP41460.

Présentation

  • Le délégué à la protection des données ou data protection officer (DPO) est une personne nommée dont la mission principale consiste à garantir le respect de la protection des informations à caractère personnel. Pour cela, il intervient sur les mécanismes de traitement et de stockage des données de l’entreprise en lien avec le service informatique et les autres départements concernés (RH, marketing etc) afin de concevoir et mettre en place une politique de conformité du traitement des données à caractère sensible.
  • Maîtrisant parfaitement tous les éléments du règlement nᵒ 2016/679, dit règlement général sur la protection des données (RGPD), il réalise un diagnostic de la conformité de son organisation. Il élabore puis met en place une politique de protection des données personnelles, veille au respect des obligations légales. Pour cela, il cartographie les catégories de données à sécuriser pour répondre aux exigences de la législation en cours puis crée et alimente un registre de traitement des données.
  • Disposant de solides compétences autour de la sécurité des systèmes d’information (SI), il conçoit aux côtés de la direction informatique et juridique, un système de management des données à caractère personnel (SMDCP) puis participe à la mise en œuvre de ce système dans le respect de la loi et des normes de sécurité.
  • Il est garant des questions de conservation, d’archivage, d’anonymisation et d’exploitation des données. D’autre part, ses connaissances dans le domaine de la cybersécurité lui permettent de proposer un plan de gestion de crise en cas de piratage des données, en coopération avec la direction informatique de son organisation. Il doit alors informer les personnes concernées de la perte de leurs données et jouer alors un rôle de médiateur auprès du public. Enfin, il assure la relation avec la commission nationale de l’informatique et des libertés (CNIL) et coordonne la réponse en cas de contrôle.
  • Ses activités principales sont:
  • - La conception d’une politique de conformité dans le respect du cadre légal « informatique et libertés »
  • - La mise en œuvre d’un système de management organisationnel et technique du traitement des données
  • - L'évaluation et gestion des risques liés aux données personnelles

Compétences attestées

  • Nous avons listé 18 compétences organisées en trois blocs de compétences :
  • Bloc de compétences " Conception d’une politique de conformité dans le respect du cadre légal « informatique et libertés »"
  • 1-Effectuer un audit préliminaire de conformité légale et réglementaire de l'organisation, en collectant toutes les données nécessaires afin de révéler le niveau de risques afférant à chaque non-conformité
  • 2-Rédiger un rapport de synthèse de l’audit préliminaire en cartographiant les traitements existants de données personnelles afin de sensibiliser les différents acteurs de l’organisation, de l’obligation de recensement et des risques ;
  • 3-Créer et tenir le registre de traitements et de conservation des données afin de lister l'ensemble des processus de traitement des données personnelles en rassemblant une preuve pour chacun des processus ;
  • 4-Créer une politique de gestion des données personnelles en listant les modalités de traitements des données personnelles afin d’informer les personnes concernées (salariés, clients, consommateurs …) de leurs droits et des procédures de mise en œuvre de ces droits ;
  • 5-Gérer les risques en réalisant une étude d’impact sur la protection des données afin de mettre en place un dispositif d’alertes (« Privacy impact assessment ») ;
  • Bloc de compétences "Mise en œuvre d’un système de management organisationnel et technique du traitement des données"
  • 6-Répondre aux demandes externes en s’appuyant sur un processus de traitement des réclamations de personnes, relatives à l’exercice de leurs droits, afin de répondre rapidement aux sollicitations des personnes concernées et éviter les contentieux ;
  • 7-Désigner les responsables de traitement internes ou externes et les sous-traitants afin de formaliser par écrit les relations entre les acteurs traitant les données, leurs rôles et responsabilités ;
  • 8-Conduire un projet lié à la protection des données en définissant l’organisation et la planification du projet afin de réussir la conduite du changement ;
  • 9-Animer des sessions de formation et de sensibilisation des collaborateurs au cadre légal « informatique et libertés », afin de responsabiliser les équipes et définir les nouveaux rôles transverses des personnes concernées ;
  • 10-Organiser la protection des données dès la conception informatique d’un traitement (« Privacy By design ») en participant aux réunions de conception pour anticiper les risques de non-conformité ;
  • 11-Piloter le système de management des données à caractère personnel (SMDCP) en disposant d’indicateurs afin de produire un bilan annuel de l’activité ;
  • Bloc de compétences "Évaluation et gestion des risques liés aux données personnelles"
  • 12-Établir une politique de sécurité informatique, en coordination avec les acteurs concernés (direction informatique) en déterminant notamment les données qui doivent relever d’une anonymisation ou d’une pseudonymisation afin de garantir la protection des données personnelles (« Privacy by default »);
  • 13-Établir un plan de gestion de crise en cas de piratage des données en lien avec la direction informatique afin d’informer les personnes concernées des éventuelles diffusions de leurs données personnelles ;
  • 14-Évaluer et gérer les risques dans le cadre d'un transfert de données hors Union européenne (UE) en utilisant les instruments juridiques de transfert adaptés ;
  • 15-Renseigner et transmettre les formulaires de déclaration et/ou de demande d’autorisation délivrées par la CNIL afin d'informer la CNIL des éventuels risques liés au traitement ;
  • 16-Gérer un audit de la CNIL en coopérant avec les autorités de contrôle concernées, afin de faciliter le processus interne de réponses à leurs sollicitations ;
  • 17-Mettre à jour régulièrement le registre de traitement afin de répondre aux consignes et évolutions notifiées par la CNIL, en mettant en place préalablement, un plan d’actions correctives, le cas échéant ;
  • 18-Réaliser une veille permanente sur son domaine d’activité en suivant la législation nationale, européenne et internationale afin de faire évoluer les pratiques internes le cas échéant ;

Blocs de compétences (3)

Conception d’une politique de conformité dans le respect du cadre légal « informatique et libertés » RNCP35086BC01

Compétences

  • C1-1-Effectuer un audit préliminaire de conformité légale et réglementaire de l'organisation, en collectant toutes les données nécessaires afin de révéler le niveau de risques afférant à chaque non-conformité
  • C1-2-Rédiger un rapport de synthèse de l’audit préliminaire en cartographiant les traitements existants de données personnelles afin de sensibiliser les différents acteurs de l’organisation, de l’obligation de recensement et des risques
  • C1-3-Créer et tenir le registre de traitements et de conservation des données afin de lister l'ensemble des processus de traitement des données personnelles en rassemblant une preuve pour chacun des processus
  • C1-4-Créer une politique de gestion des données personnelles en listant les modalités de traitements des données personnelles afin d’informer les personnes concernées (salariés, clients, consommateurs …) de leurs droits et des procédures de mise en œuvre de ces droits
  • C1-5-Gérer les risques en réalisant une étude d’impact sur la protection des données afin de mettre en place un dispositif d’alertes (« Privacy impact assessment »)

Modalités d'évaluation

L’évaluation du bloc est composée de deux volets : 1/ Une évaluation certificative finale du bloc devant un Jury composé de 2 professionnels extérieurs et en présence d’un membre du corps pédagogique Il s’agit d’une mise en situation professionnelle simulée consistant en la présentation de la mise en place d’un audit de conformité et d’une étude d’impacts sur la vie privée (EIVP). 2/ Plusieurs épreuves formatives* de type contrôles continus (*sauf pour les candidats en VAE)

Mise en œuvre d’un système de management organisationnel et technique du traitement des données RNCP35086BC02

Compétences

  • C2-1-Répondre aux demandes externes en s’appuyant sur un processus de traitement des réclamations de personnes, relatives à l’exercice de leurs droits, afin de répondre rapidement aux sollicitations des personnes concernées et éviter les contentieux
  • C2-2-Désigner les responsables de traitement internes ou externes et les sous-traitants afin de formaliser par écrit les relations entre les acteurs traitant les données, leurs rôles et responsabilités
  • C2-3-Conduire un projet lié à la protection des données en définissant l’organisation et la planification du projet afin de réussir la conduite du changement
  • C2-4-Animer des sessions de formation et de sensibilisation des collaborateurs au cadre légal « informatique et libertés », afin de responsabiliser les équipes et définir les nouveaux rôles transverses des personnes concernées
  • C2-5-Organiser la protection des données dès la conception informatique d’un traitement (« Privacy By design ») en participant aux réunions de conception pour anticiper les risques de non-conformité
  • C2-6-Piloter le système de management des données à caractère personnel (SMDCP) en disposant d’indicateurs afin de produire un bilan annuel de l’activité

Modalités d'évaluation

L’évaluation du bloc est composée de deux volets : 1/ Une évaluation certificative finale du bloc devant un Jury composé de 2 professionnels extérieurs et en présence d’un membre du corps pédagogique Il s’agit d’une mise en situation professionnelle simulée consistant en la description d’un système de management des données à caractère personnel (SMDCP) 2/ Plusieurs épreuves formatives* de type contrôles continus (*sauf pour les candidats en VAE)

Évaluation et gestion des risques liés aux données personnelles RNCP35086BC03

Compétences

  • C3-1-Établir une politique de sécurité informatique, en coordination avec les acteurs concernés (direction informatique) en déterminant notamment les données qui doivent relever d’une anonymisation ou d’une pseudonymisation afin de garantir la protection des données personnelles (« Privacy by default »)
  • C3-2-Établir un plan de gestion de crise en cas de piratage des données en lien avec la direction informatique afin d’informer les personnes concernées des éventuelles diffusions de leurs données personnelles
  • C3-3-Évaluer et gérer les risques dans le cadre d'un transfert de données hors Union européenne (UE) en utilisant les instruments juridiques de transfert adaptés
  • C3-4-Renseigner et transmettre les formulaires de déclaration et/ou de demande d’autorisation délivrées par la CNIL afin d'informer la CNIL des éventuels risques liés au traitement
  • C3-5-Gérer un audit de la CNIL en coopérant avec les autorités de contrôle concernées, afin de faciliter le processus interne de réponses à leurs sollicitations
  • C3-6-Mettre à jour régulièrement le registre de traitement afin de répondre aux consignes et évolutions notifiées par la CNIL, en mettant en place préalablement, un plan d’actions correctives, le cas échéant
  • C3-7-Réaliser une veille permanente sur son domaine d’activité en suivant la législation nationale, européenne et internationale afin de faire évoluer les pratiques internes le cas échéant

Modalités d'évaluation

L’évaluation du bloc est composée de deux volets : 1/ Une évaluation certificative finale du bloc devant un Jury composé de 2 professionnels extérieurs et en présence d’un membre du corps pédagogique Il s’agit d’une mise en situation professionnelle simulée consistant en la présentation d’un cas de transfert de données hors Union européenne (UE). Le candidat devra mettre à jour les registres de traitement ainsi que toutes les démarches auprès de la CNIL, après avoir vérifié la législation nationale et internationale. 2/ Plusieurs épreuves formatives* de type contrôles continus (*sauf pour les candidats en VAE)

Voies d'accès

  • En contrat de professionnalisation
  • Par candidature individuelle
  • En contrat d’apprentissage
  • Après un parcours de formation continue
  • Par expérience

Emplois accessibles

  • •Délégué / Déléguée à la protection des données - Data Protection Officer
  • •Correspondant / Correspondante informatique et libertés - CIL
  • •Auditeur / Auditrice en sécurité des systèmes d'information

Secteurs d'activité

Tous les secteurs d’activités et toutes les entreprises, publiques ou privées mais aussi des associations reconnues d’utilité publique, qui gèrent des données de leurs clients, leurs abonnés, leurs salariés quels que soit le statut et la taille de la structure.

Réglementations

  • L'exercice du métier de Délégué à la protection des données n'est pas réglementé mais ce professionnel travaille en s'appuyant sur un cadre réglementaire précis:
  • * Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il constitue le texte de référence en matière de protection des données personnelles. Ses dispositions sont directement applicables dans l'ensemble des États membres à compter du 25 mai 2018.
  • * La loi " Informatique et Libertés " du 6 janvier 1978 et la loi du 20 juin 2018 relative à la protection des données personnelles.
  • * Délibération n° 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données (DPO).

Composition des jurys

Contrat d'apprentissage

3 personnes : -Le référent pédagogique -2 professionnels extérieurs soit 66% de membres extérieurs

Formation continue

3 personnes : -Le référent pédagogique -2 professionnels extérieurs soit 66% de membres extérieurs

Contrat de professionnalisation

3 personnes : -Le référent pédagogique -2 professionnels extérieurs soit 66% de membres extérieurs

Candidature individuelle

3 personnes : -Le référent pédagogique -2 professionnels extérieurs soit 66% de membres extérieurs

VAE

3 personnes : -Le référent pédagogique -2 professionnels extérieurs soit 66% de membres extérieurs

Métiers visés (codes ROME)

K1903 — Défense et conseil juridique

Informations générales

Code
RNCP35086
Type d'enregistrement
Enregistrement sur demande
Date de décision
17/11/2020
Date d'effet
Fin d'enregistrement
18/11/2023