Publication des critères de certification pour les prestataires de formation à la protection des données personnelles

Par une délibération du 3 décembre 2020 (délibération n° 2020-139), la CNIL a publié les critères de son référentiel, à démontrer par tout prestataire souhaitant obtenir la certification de formateur à la protection des données personnelles.

En complément des exigences générales pour tout prestataire de formation, le prestataire doit mettre en place et respecter des procédures visant à assurer le respect de la protection des données dans le cadre des traitements liés aux activités de formation (notamment concernant l’évaluation des compétences des intervenants et stagiaires).

Le prestataire devra proposer au moins une formation recouvrant l’ensemble des objectifs du « référentiel général d’aptitudes et de compétences », qui sont répartis sous 5 thématiques :

  • La protection des données, ses notions clés et ses acteurs ;
  • Les principes de la protection des données ;
  • Les responsabilités des acteurs ;
  • Le DPO et les outils de la conformité ;
  • Sources de veille

Le contenu des formations doit comprendre à la fois une dimension théorique et pratique. Si la thématique d’une formation est spécifique (ne visant qu’un secteur d’activité, une thématique particulière ou un type particulier de traitements), le prestataire doit prendre en compte les référentiels applicables publiés par la CNIL et le Comité européen de la protection des données (CEPD).

Le prestataire doit par ailleurs réaliser une veille de l’actualité en matière de protection des données, de la législation applicable et de l’état de l’art en matière de sécurité de l’information, et mettre à jour ses formations en conséquence. Pour s’assurer de cette mise à jour, le prestataire doit vérifier que le contenu des formations a été actualisé depuis moins de 3 mois au moment de leur réalisation.

Les intervenants, qu’ils soient concepteurs ou formateurs, doivent présenter une expérience professionnelle significative en sécurité de l’information (profil technique) ou en protection des données personnelles (profil juridique). Si la thématique de la formation est spécifique, le prestataire doit veiller à ce que les intervenants disposent des compétences nécessaires aux objectifs identifiés. Pour compléter les exigences de mise à jour du contenu des formations, le prestataire doit également s’assurer que les intervenants entretiennent leurs connaissances en protection des données. 

 

Recommended Posts