Toujours dans le cadre de notre information sur la RGPD, voici un document que publie la CNIL au 17 février 2021.
L’offre de formation sur la protection des données personnelles
Afin d’apporter des garanties sur la qualité des formations délivrées en matière de protection des données, les prestataires devront respecter un référentiel de critères avant d’obtenir une certification auprès des organismes agréés par la CNIL.
Une sensibilisation ou une formation est souvent nécessaire pour découvrir ou mieux appréhender le RGPD. Par exemple, une formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD » est disponible sur le site web de la CNIL. La formation des professionnels leur permet d’accompagner la mise en conformité au sein de leur organisme et d’aider à la sensibilisation des acteurs à la protection des données personnelles.
L’offre de formation professionnelle sur le thème de la protection des données personnelles s’est fortement enrichie depuis l’entrée en application du RGPD. L’obtention d’une certification basée sur le référentiel de la CNIL permet aux prestataires de formation d’obtenir un sceau de reconnaissance attestant de la qualité de la formation qu’ils délivrent dans ce domaine.
Une formation réalisée par un prestataire de formation certifié permet de s’appuyer sur les garanties qu’apportent le respect des critères du référentiel, à savoir :
un socle d’aptitudes et de compétences défini par la CNIL ;
un contenu très régulièrement mis à jour afin de prendre en compte l’actualité en matière de protection des données ;
des intervenants mobilisés en fonction de leurs compétences et de leur capacité à répondre aux objectifs spécifiques de chaque formation (par exemple un secteur d’activité, une thématique ou un traitement de données personnelles en particulier).
Par exemple, les futurs candidats à la certification des compétences du délégué à la protection des données pourront librement choisir de s’orienter vers un prestataire de formation certifié pour réaliser la formation d’au moins 35 h. Celle-ci constitue un prérequis lorsque le candidat ne dispose pas d’une expérience professionnelle d’au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du délégué à la protection des données.
Un mécanisme volontaire
La certification n’est pas obligatoire pour proposer une formation à la protection des données personnelles. Il s’agit d’un mécanisme volontaire permettant aux organismes de formation de justifier que leur prestation s’inscrit dans une logique de conformité au RGPD et à la loi Informatique et Libertés. Par ailleurs, les établissements d’enseignement supérieur bénéficient d’autres systèmes de reconnaissance.
Pour les organismes prestataires d’actions concourant au développement des compétences soumis à l’obligation d’une certification selon le référentiel national qualité (RNQ), il est prévu que ce certificat soit pris en compte lors de l’évaluation réalisée pour obtenir la certification de prestataires de formation à la protection des données.
Quand est-il possible de demander une certification ?
La publication des critères de certification constitue la première étape du lancement de la certification des prestataires de formation à la protection des données. Ainsi, les prestataires de formation, qui souhaitent obtenir leur certification au plus tôt, disposent d’une période d’environ 10 mois pour se mettre en conformité avec les critères du référentiel et préparer leur candidature.
À l’issue de cette période préparatoire, les prestataires de formation pourront se porter candidat à la certification auprès d’un des organismes certificateurs agréés et référencés sur le site web de la CNIL.
S’agissant des organismes certificateurs, ceux-ci devront faire une demande d‘accréditation auprès du Comité français d’accréditation (Cofrac) et pourront recevoir les premiers dossiers des candidats à la certification fin 2021.
Le contenu du référentiel
Le référentiel comporte près d’une trentaine de critères ayant pour objectif de démontrer la qualification du prestataire de formation à la protection des données. Ces exigences sont divisées en thématiques :
les exigences générales ;
l’information du public sur les formations proposées ;
l’identification des besoins et des objectifs de formation ;
la conception des formations ;
la préparation et à l’adaptation des formations aux apprenants ;
les conditions de réalisation des formations ;
les compétences des intervenants ;
le recueil des appréciations et la prise en compte des réclamations.
Il est accompagné d’un référentiel général d’aptitudes et de connaissances (les notions clés à maîtriser, les principes de la protection des données, les responsabilités des acteurs, le délégué à la protection des données et la mise en place de sources de veille).
Un guide de lecture accompagne également le référentiel afin de faciliter l’accès à la certification, notamment à partir d’exemples et de situations pratiques. Ce guide sera enrichi à partir du retour d’expérience des premières évaluations qui seront réalisées.