Description
Cette certification vise à répondre aux obligations que les services publics et certains organismes privés doivent respecter en matière de protection des données personnelles afin de répondre aux évolutions du numérique. D'après le règlement RGPD (article 37 de la section 4), la désignation d'un DPO est rendue obligatoire dans tout organisme public ou autorité publique, pour toute entreprise qui procède à un suivi de personnes ou qui traite des données sensibles (comme la santé) à grande échelle.
Cette certification va en outre dans le sens des recommandations de l'OCDE et de la CNIL pour lesquels, même si l'obligation ne s'applique pas encore à tous les organismes, la désignation d'un DPO est fortement recommandée. Or, comme la plupart des entreprises françaises ne dispose pas encore d'un DPO (la législation actuelle ne l'exige pas dans tous les cas), cette certification répond à des besoins actuels et futurs.
Objectif
- Mentionner les principes de licéité et loyauté du traitement, de limitation des finalités, de minimisation des données, d'exactitude des données, de conservation limitée des données, d'intégrité, de confidentialité et de responsabilité.
- Identifier la base juridique correcte d'un traitement.
- Prendre des mesures appropriées sur le contenu d'informations à fournir aux personnes concernées.
- Rédiger des procédures pour recevoir et gérer les demandes d'exercice des droits des personnes concernées : droit d'accès, rectification et effacement, droit à la limitation du traitement, droit à la portabilité des données, droit d'opposition.
- Faire appliquer le cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles.
- Identifier l'existence de transferts de données hors Union européenne et déterminer les instruments juridiques de transfert susceptibles d'être utilisés.
- Mettre en oeuvre une politique ou des règles internes en matière de protection des données.
- Organiser et participer à des audits en matière de protection des données.
- Mettre en place le registre d'activités de traitement et de la documentation des violations de données ainsi que de la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données.
- Trouver des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement.
- Participer à l'identification des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement.
- Distinguer les violations de données personnelles nécessitant une notification à l'autorité de contrôle et celles nécessitant une communication aux personnes concernées.
- Effectuer une analyse d'impact relative à la protection des données (AIPD) si cela est nécessaire.
- Conseiller en matière d'analyse d'impact relative à la protection des données (en particulier sur la méthodologie, l'éventuelle sous-traitance, les mesures techniques et organisationnelles à adopter).
- Gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier).
- Élaborer et mettre en oeuvre des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données.
- Assurer la traçabilité de ses activités en tant que DPO, notamment à l'aide d'outils de suivi ou de bilan annuel.
Niveau
Sans équivalence de niveau
Date de validité
30/03/2025
Domains
- droit données personnelles
NSF
- Spécialites plurivalentes de la communication et de l'information
- Informatique, traitement de l'information, réseaux de transmission
- Droit, sciences politiques
- Informatique, traitement de l'information, réseaux de transmission des données
- Spécialité plurivalentes de la communication
- Droit, sciences politiques
GFE
Rome
| Nom légal | Rôle |
|---|