Délégué à la protection des données (DPO)
L'essentiel
Nomenclature
du niveau de qualification
Niveau 7
Code(s) NSF
326p : Informatique, traitement de l'information (organisation, gestion)
128 : Droit, sciences politiques
Formacode(s)
31022 : Protection données
13235 : Droit données personnelles
Date d’échéance
de l’enregistrement
01-06-2025
| Nom légal | Siret | Nom commercial | Site internet |
|---|---|---|---|
| ASSOCIATION POUR LA FORMATION A L'INFORMATIQUE ET AU NUMERIQUE (AFINUM) | 39350481600231 | WIS (Web International School) | https://www.wis-ecoles.com |
Objectifs et contexte de la certification :
Cette certification a comme objectif de répondre à un besoin croissant en compétences dans le domaine de la protection des données.
Elle a été créée dans le contexte où l’utilisation des données à caractère personnel de plus en plus généralisée et importante au sein des entreprises, a fait naître une nouvelle approche de la donnée via l’éthique de celle-ci. Ainsi, avec cette approche et sous l’impulsion du RGPD, la fonction de délégué à la protection des données (DPO) a émergé et est aujourd’hui demandée et exigée au sein des entreprises et organisations utilisant des données à caractère personnel.
Activités visées :
Activité 1 : Définition de la politique de la protection de données personnelle en accord avec la stratégie de l’entreprise et dans le respect du cadre législatif
A1T1- Analyse du système d'information de l’entreprise dans le cadre de la protection des données personnelles
A1T2- Cadrage règlementaire lié à la protection de données personnelles (RGPD)
Activité 2 : Pilotage du projet de conformité règlementaire liée à la protection de données
A2T1.Organisation des actions spécifiques au projet de conformité réglementaire liée à la protection des données
A2T2. Conception de la stratégie du projet de conformité règlementaire liée à la protection de données
Activité 3 : Déploiement et règlement général sur la protection des données au sein de la structure
A3T1 Conception des mesures de sécurité informatique pour les données à caractère personnelle
A3T2 La gestion des documents juridiques dans le contexte du RGPD
Activité 4 : Amélioration continue de la stratégie de mise en conformité réglementaire RGPD
A4T1 Sensibilisation des collaborateurs pour la protection des données
A4T2 Amélioration continue de la stratégie de mise en conformité réglementaire liée à la RGPD
Compétences attestées :
A1C1. Analyser le système d'information (SI) existant au sein de la structure dans son intégralité, selon une méthode d’analyse adaptée, afin de pouvoir en tirer un diagnostic sur le système étudié
A1C2. Identifier les rôles et responsabilités de chacun au sein de l’organisation en lien avec la politique de protection des données établie afin de définir un plan de communication sur le projet adapté
A1C3. Réaliser un diagnostic organisationnel de la structure afin de clarifier les objectifs de la protection des données
A1C4. Etablir les enjeux techniques, juridiques, financiers et éthiques de la structure, en lien avec les différents services, afin d'assurer une stratégie de protection des données conforme et cohérente.
A1C5. Définir la politique de protection des données adaptée aux contraintes structurelles, organisationnelles de la structure, afin que le SI soit en accord avec les règles de protection des données en rigueur
A1C6. Restituer auprès de la direction et des différentes direction métiers le diagnostic du système de l’entreprise afin de faire valider par les décisionnaires la politique de protection des données choisies et d’impliquer les différents acteurs
A2C1.Déterminer les actions spécifiques du projet de conformité réglementaire afin de pouvoir les ordonner et les prioriser, à travers une feuille de route (roadmap)
A2C2.Définir la méthode de gestion de projet adaptée à mettre en œuvre afin de gagner en efficacité pendant le déploiement du projet de conformité règlementaire et de veiller à réduire les écarts avec le cadre législatif en vigueur
A2C3.Décomposer le projet en grande séquence afin d'en déterminer les résultats attendus à chaque fin de séquence et ainsi, permettre d'en déduire les indicateurs de suivi et de performance.
A2C4.Repérer les risques (techniques et humains) en amont du projet afin d'en maitriser les impacts à court terme.
A2C5. Adopter une stratégie d’accueil aux handicaps afin de favoriser l’inclusion des profils en situation de handicap au sein de l’équipe et permettre leur pleine intégration, en collaboration avec le référent handicap de l’entreprise
A2C6.Etablir le planning global du projet afin d'organiser la mise en œuvre du projet en tenant compte des contraintes de délais, de coûts et de moyens du projet.
A2C7. Cartographier Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l'Union européenne
A2C8. Déployer un registre de traitement de données personnelles de la structure afin de recenser de façon précise les différents traitements de données personnelles de la structure et de le transmettre, le cas échéant, à la CNIL
A2C9.Définir une structure organisationnelle de protection des données en interne, en identifiant pour chaque direction métier, une personne relais afin de sécuriser la politique de protection des données qui sera mise en œuvre
A2C10.Identifier les acteurs externes qui traitent les données personnelles, en précisant clairement les prestataires sous-traitants afin d’actualiser les clauses de confidentialité
A2C11. Etablir la liste des actions prioritaires à partir de l’analyse des risques en s’appuyant sur le du registre de traitements des données afin de rendre ses traitements conforme à la réglementation et ainsi sécuriser les risques sur les droits et les libertés des personnes concernées
A3C1.Auditer les mesures existantes mise en place pour la sécurité des données au sein de la structure afin de mettre en évidence les dysfonctionnement et anomalies du SI existant
A3C2. Déployer les mesures de sécurité applicative et système en proposant des solutions techniques innovantes pour le système d'information en commun accord avec le responsable de la sécurité du S.I (RSSI) de la structure afin de traiter chaque risque de façon spécifique et ainsi garantir la conformité règlementaire
A3C3. Concevoir les procédures internes en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement des données afin d’installer des bonnes pratiques d’utilisation de données et veiller à leurs applications par les différentes direction métiers
A3C4. Effectuer une veille constante dans le domaine technique, légale et juridique sur la protection des données, afin de pouvoir déterminer des actions de rectification par rapport aux nouvelles techniques ou lois et assurer ainsi la conformité du traitement des données à caractère personnel
A3C5. Collecter la documentation juridique en lien avec la règlementation RGPD afin de constituer une base documentaire juridique utile et ainsi répondre, le cas échéant, aux sollicitations de la CNIL en se basant sur des éléments de preuves législatives A3C6.Élaborer un plan de communication interne pour informer l’ensemble des employés de la structure de son rôle en tant que DPO, de son statut et de ses futurs plans d'action
A4C1Concevoir une campagne de sensibilisation afin d’informer l’ensemble des collaborateurs et d’initier une réflexion globale sur la protection des données à caractère personnel dans la structure
A4.C2 Former les publics cibles à l’aide de contenus thématiques adapté afin de les guider dans l’appropriation des procédures RGPD mis en place par la structure
A4.C3 Réaliser des présentations orales à l'aide d'un support visuel pour des publics cibles en interne afin de les informer sur le RGPD et d'en faciliter l'acceptation.
A4.C4 Concevoir des supports adaptés aux personnes en situation de handicap afin de permettre à tout public d’accéder librement et facilement au numérique (public cible, collaborateurs interne, sous-traitants …)
A4.C5 Appliquer les procédures d’audits de sécurité informatiques périodiques afin d’ajuster la politique de sécurité des données de façon régulière et le cas échéant, de donner lieu à un plan d'action correctif
A4.C6 Contrôler la bonne application des mesures de la protection des données afin de vérifier leurs applications opérationnelles par les différents acteurs et alerter les directions métiers en cas de non-respect des procédures de sécurité des données
A4.C7 Mutualiser l'expérience et les difficultés avec des DPO du même secteur afin de diffuser plus largement les solutions et les bonnes pratiques
Modalités d'évaluation :
L'évaluation des compétences est réalisée par le biais des mises en situation professionnelle reconstituées (MSPR) et d’un dossier professionnel
1. Mises en situation professionnelle reconstituées (MSPR) :
A partir d’un cahier des charges, établi par l’organisme certificateur précisant les besoins d’une entreprise fictive, le candidat doit réaliser
-Une production écrite individuelle
-Une soutenance orale par équipe devant un jury de deux professionnels Experts dans le métier
-Une évaluation individuelle par le jury à la suite d’un échange individuel avec le jury
La préparation des MSPRs se fait par équipe de 3 maximum
2. Dossier Professionnel :
Le candidat doit mettre en avant les compétences acquises en entreprise durant le stage ou l’alternance et fait l’objet d’une production écrite individuelle de 50 à 60 pages et une soutenance individuelle orale devant un jury de deux professionnels Experts dans le métier visé et un représentant de l’organisme de certification
RNCP36448BC01 - Elaborer le cadre juridique RGPD et protection des données de l'entreprise
| Liste de compétences | Modalités d'évaluation |
|---|---|
|
Mise en situation professionnelle reconstituée A partir d’un cahier des charges d’une entreprise fictive, établi par l’organisme certificateur précisant les besoins d’une entreprise fictive, le candidat doit définir les objectifs de la protection de données personnelles, rédiger un diagnostic organisationnel, réaliser un document clair et précis présentant une politique de protection de données personnelles et la présenter oralement, lister les enjeux enjeux techniques, juridiques, financiers et éthiques de l’entreprise, rédiger une synthèse, présenter un document détaillant les différents acteurs externes en lien avec les données personnelles, les documents juridiques liés au RGPD et un registre des traitement de données
|
RNCP36448BC02 - Déployer une stratégie de protection des données
| Liste de compétences | Modalités d'évaluation |
|---|---|
|
Mise en situation professionnelle reconstituée A partir d’un cahier des charges, établi par l’organisme certificateur précisant les besoins d’une entreprise fictive, le candidat doit analyser le système d’information, définir une politique de la protection des données personnelles adaptée au contexte de l’entreprise, présenter un document détaillant pour chaque traitement de données l’origine, la destination, les acteurs, une synthèse d'un audit de sécurité du SI en proposant un plan d’actions suite à une analyse d’impacts relatifs à la protection de données, rédiger des procédures internes pour assurer la sécurité des données et des solutions de sécurité de SI à mettre en place, présenter un état d’avancement des mesures mises en place et un process permanent d’Audit de sécurité Informatique
|
RNCP36448BC03 - Manager un projet de protection de données
| Liste de compétences | Modalités d'évaluation |
|---|---|
|
Mise en situation professionnelle reconstituée A partir d’un cahier des charges, établi par l’organisme certificateur précisant les besoins d’une entreprise fictive, le candidat doit définir un organigramme fonctionnel avec le rôle de chaque ressource dans la mise en place d’une politique de protection de données et présenter la méthode de gestion de projet inclusif adaptée à la mise en place de la politique de protection de données personnelles et les ressources du projet en détaillant les différentes étapes du projet et en présentant une analyse des risques du projet
|
RNCP36448BC04 - Accompagner les directionS métiers et les collaborateurs dans la mise en œuvre de la stratégie de protection des données
| Liste de compétences | Modalités d'évaluation |
|---|---|
|
Mise en situation professionnelle reconstituée A partir d’un cahier des charges, établi par l’organisme certificateur précisant les besoins d’une entreprise fictive, le candidat doit présenter un process de veille dans le domaine de la protections des données personnelles, le candidat doit présenter un plan de communication sur le rôle du DPO et ses plans d’actions, une compagne de sensibilisation sur la protection des données personnelles, un exemplaire d'une fiche de formation sur la règlementation RGPD, une ébauche de présentation générale d’une procédure RGPD, des supports de communication tenant en compte d’un public à situation de handicap et une synthèse des réseaux utiles identifiés et un process d’échange sur la conformité règlementaire
|
Description des modalités d'acquisition de la certification par capitalisation des blocs de compétences et/ou par correspondance :
Afin de faciliter l’accès à la formation pour les candidats souhaitant pour différentes raisons accéder à la certification par validation de blocs de compétences, nous avons établi les modalités d’accès suivantes :
- Pour chacun des blocs : sur examen du dossier en fonction des acquis et des expériences antérieures.
Chaque bloc de compétences fait l’objet d'au moins une épreuve.
Chaque bloc peut ainsi être validé indépendamment l’un de l’autre.
Toutefois, l’acquisition de l’ensemble des blocs de compétences ne vaut pas acquisition de la certification pour laquelle une évaluation finale est requise.
La certification ne peut être obtenue que par la détention de l’ensemble des blocs de compétences et la réussite à l’épreuve finale de certification, qui permet au jury de certification de vérifier la réalité de l’acquisition de l’ensemble du spectre de compétences nécessaires.
Secteurs d’activités :
Le DPO peut exercer ses fonctions au sein soit du service de traitement des données, soit en tant que sous-traitant indépendant ou faisant parti d’associations et autres organismes représentant des responsables du traitement ou des sous-traitants. Le DPO peut donc intégrer le service de traitement des données et dépend dans ce cas-là du responsable de traitement des données
Le DPO peut donc être amené à exercer dans tous les secteurs d’activités existants et au sein de tous types de structures telles que :
- Une entreprise privée dont l’activité de base les amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
- En intégrant le service de traitement des données, sous la hiérarchie du responsable de traitement des données
- En tant que sous-traitant indépendant ou faisant parti d’associations et autres organismes représentant des responsables du traitement ou des sous-traitants.
- Un organisme public ou autorité publique (indépendamment de la nature des données qu’ils traitent)
Type d'emplois accessibles :
Pour assurer cette fonction, selon les entreprises et organisations, il existe différents types d’emplois qui sont les suivants :
- Data Protection Officer (DPO)
- Délégué à la Protection des Données (DPD)
- Data Protection Manager/Specialist
- Consultant RGPD
- Chargé de mission Données Personnelles/Protection des Données
- Consultant Données à Caractère Personnel Relais Informatique et Libertés
Nous trouvons les différents intitulés d’emploi dans les analyses effectuées sur les 821 offres d’emploi
Code(s) ROME :
- K1903 - Défense et conseil juridique
- M1802 - Expertise et support en systèmes d''information
Références juridiques des règlementations d’activité :
Il n’existe pas de règlementation d’activité ou de dépendance avec une convention ou une règlementation concernant le métier de DPO. En revanche, dans l’exercice de ses fonctions et pour la bonne réalisation de ses missions, le DPO devra prendre en compte ;
- Le RGPD, Chapitre IV, Section 4 ;
- La Délibération n° 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données (DPO) ;
- La loi « Informatique et Libertés » du 6 janvier 1978 et la loi du 20 juin 2018 relative à la protection des données personnelles.
Le cas échant, prérequis à l’entrée en formation :
La formation est accessible aux :
1- en Formation initiale ou par alternance : Titulaires d’un diplôme (licence professionnelle) ou d’une certification professionnelle RNCP de niveau 6 en informatique en Informatique/ sécurité informatique et ou en droit informatique/ droit en propriété intellectuelle. Pour ces candidats, l’accès au dispositif de certification est le suivant : passage de tests de connaissances et de compétences suivis d’un entretien de motivation.
ou
2- Salariés des entreprises du secteur numérique et ou juridique ; .Jeunes de 19 à 26 ans et adultes demandeurs d’emplois de plus de 26 ans possédant : un diplôme de niveau 5 (BTS/DUT) ou une certification de niveau 5 en informatique / sécurité informatique et ou en droit informatique/ droit en propriété intellectuelle avec une expérience professionnelle d’au moins un an dans un métier informatique ou en droit informatique
Ou un diplôme (licence professionnelle) ou une certification professionnelle RNCP de niveau 6 en informatique ou en droit informatique
Pour ces candidats, l’accès au dispositif de la certification est le suivant : tests d’auto-positionnement (tests de compétences) suivis d’un entretien individualisé (entretien de positionnement) afin de proposer un parcours de formation adapté selon les expériences acquises auparavant.
Ou
3- Personnes en reconversion professionnelle : sur examen du dossier en fonction des acquis professionnels et des expériences professionnelles antérieures.
Pour ces candidats, l’accès au dispositif de la certification est le suivant : tests d’auto-positionnement (tests de compétences) suivis d’un entretien individualisé (entretien de positionnement) afin de proposer un parcours de formation adapté selon les expériences acquises auparavant.
Le cas échant, prérequis à la validation de la certification :
Pré-requis disctincts pour les blocs de compétences :
Non
Validité des composantes acquises :
| Voie d’accès à la certification | Oui | Non | Composition des jurys | Date de dernière modification |
|---|---|---|---|---|
| Après un parcours de formation sous statut d’élève ou d’étudiant | X |
Le président du jury est un professionnel extérieur à l’organisme de formation et est désigné par l’ensemble des membres du jury. Le jury se compose de trois personnes : - Deux membres externes professionnels (employeur ou salarié de métier délégué à la protection des données (Professionnels du secteur non intervenant au sein du parcours de formation préparant à la certification). L’un de ces deux membres est président du jury ; - Un membre de la Direction de l'innovation et de la pédagogie de l'organisme certificateur ou son représentant/sa représentante qui peut être : le Directeur ou le Responsable pédagogique du campus EPSI régional auquel est rattaché le candidat |
09-06-2022 | |
| En contrat d’apprentissage | X |
Le président du jury est un professionnel extérieur à l’organisme de formation et est désigné par l’ensemble des membres du jury. Le jury se compose de trois personnes : - Deux membres externes professionnels (employeur ou salarié de métier délégué à la protection des données (Professionnels du secteur non intervenant au sein du parcours de formation préparant à la certification). L’un de ces deux membres est président du jury ; - Un membre de la Direction de l'innovation et de la pédagogie de l'organisme certificateur ou son représentant qui peut être : le Directeur ou le Responsable pédagogique du campus EPSI régional auquel est rattaché le candidat
|
09-06-2022 | |
| Après un parcours de formation continue | X |
Le président du jury est un professionnel extérieur à l’organisme de formation et est désigné par l’ensemble des membres du jury. Le jury se compose de trois personnes : - Deux membres externes professionnels (employeur ou salarié de métier délégué à la protection des données (Professionnels du secteur non intervenant au sein du parcours de formation préparant à la certification). L’un de ces deux membres est président du jury ; - Un membre de la Direction de l'innovation et de la pédagogie de l'organisme certificateur ou son représentant qui peut être : le Directeur ou le Responsable pédagogique du campus EPSI régional auquel est rattaché le candidat. |
09-06-2022 | |
| En contrat de professionnalisation | X |
Le président du jury est un professionnel extérieur à l’organisme de formation et est désigné par l’ensemble des membres du jury. Le jury se compose de trois personnes : - Deux membres externes professionnels (employeur ou salarié de métier délégué à la protection des données (Professionnels du secteur non intervenant au sein du parcours de formation préparant à la certification). L’un de ces deux membres est président du jury ; - Un membre de la Direction de l'innovation et de la pédagogie de l'organisme certificateur ou son représentant qui peut être : le Directeur ou le Responsable pédagogique du campus EPSI régional auquel est rattaché le candidat. |
09-06-2022 | |
| Par candidature individuelle | X | - | - | |
| Par expérience | X |
Le président du jury est un professionnel extérieur à l’organisme de formation et est désigné par l’ensemble des membres du jury. Le jury se compose de trois personnes : - Deux membres externes professionnels (employeur ou salarié de métier délégué à la protection des données (Professionnels du secteur non intervenant au sein du parcours de formation préparant à la certification). L’un de ces deux membres est président du jury ; - Un membre de la Direction de l'innovation et de la pédagogie de l'organisme certificateur ou son représentant qui peut être : le Directeur ou le Responsable pédagogique du campus EPSI régional auquel est rattaché le candidat.
|
09-06-2022 |
| Oui | Non | |
|---|---|---|
| Inscrite au cadre de la Nouvelle Calédonie | X | |
| Inscrite au cadre de la Polynésie française | X |
Certifications professionnelles enregistrées au RNCP en correspondance partielle :
| Bloc(s) de compétences concernés | Code et intitulé de la certification professionnelle reconnue en correspondance partielle | Bloc(s) de compétences en correspondance partielle |
|---|---|---|
| RNCP36448BC01 - Elaborer le cadre juridique RGPD et protection des données de l'entreprise | RNCP32106 - Délégué(e) à la protection des données (Data Protection Officer) (MS) |
RNCP32106BC01 - Réaliser un diagnostic de la conformité légale et réglementaire de l'organisation sur le plan "Informatique et Libertés" ET RNCP32106BC02 - Contrôler la mise en oeuvre d'une politique de conformité et coopérer avec l'autorité de contrôle CNIL |
| Date de décision | 01-06-2022 |
|---|---|
| Durée de l'enregistrement en années | 3 |
| Date d'échéance de l'enregistrement | 01-06-2025 |
Statistiques :
Liste des organismes préparant à la certification :
Référentiel d'activité, de compétences et d'évaluation :
