Promue par le RGPD, la certification est un mécanisme facultatif facilitant la conformité et la professionnalisation des candidats. En France, depuis la loi 2018-493 du 20 juin 2018, la CNIL a le pouvoir d’agréer les organismes chargés, ensuite, de délivrer ces certifications.
Le 20 septembre 2018, la CNIL a rendu publiques une liste d’exigences qui seront demandées aux organismes candidats ainsi qu’une liste d’exigences qui seront demandées aux DPO externes candidats à cette certification.
Ainsi, ces derniers devront, au préalable justifier d’une expérience minimale de 2 ans (ayant un lien avec la protection des données personnelles ou – à défaut – qui sera complétée d’une formation de 35 heures sur cette matière), puis réussir une épreuve écrite (75 % – au moins – de réponses exactes à des questions de nature juridique, technique – cybersécurité – et opérationnelle).
Ainsi, le candidat devra, par exemple, « identifier la base juridique d’un traitement », « établir des procédures pour recevoir et gérer les demandes d’exercice des droits des personnes », « participer à l’identification des mesures de sécurité adaptées aux risques » ou encore « identifier les violations de données personnelles nécessitant (…) une communication aux personnes concernées ».
La CNIL devrait prochainement délivrer les premiers agréments aux organismes certificateurs.