L'essentiel

Icon de la nomenclature

Nomenclature
du niveau de qualification

Niveau 7

Icon NSF

Code(s) NSF

326 : Informatique, traitement de l'information, réseaux de transmission

Icon formacode

Formacode(s)

31022 : Protection données

13235 : Droit données personnelles

31036 : Administration base de données

Icon date

Date d’échéance
de l’enregistrement

09-02-2027

Niveau 7

326 : Informatique, traitement de l'information, réseaux de transmission

31022 : Protection données

13235 : Droit données personnelles

31036 : Administration base de données

09-02-2027

Nom légal Siret Nom commercial Site internet
ASSOCIATION ISEP-EDOUARD BRANLY 78428074500026 - https://www.isep.fr

Objectifs et contexte de la certification :

Les Délégués à la Protection des Données (DPD) ou Data Protection Officer (DPO) sont les garants de la protection des données personnelles traitées par l'entreprise ou l’administration qui les emploie (responsable de traitement). Ils maitrisent les enjeux juridiques, économiques et informatiques liés aux traitements de données personnelles.  Ils assurent la relation avec l’autorité de contrôle national : la Commission Nationale de l'Informatique et des Libertés (CNIL).

Ils participent, au sein de la gouvernance globale des données de l’entreprise, à la sécurisation des flux informatiques et veillent au respect des règles édictés par le règlement général à la protection des données personnelles (RGPD).

Ils sensibilisent les acteurs internes (salariés, administrés) et externes (clients, usagers etc.) aux risques et enjeux associés aux données personnelles. Dans le cadre d’une démarche projet, ils définissent avec les différents acteurs les procédures adéquates au respect des principes édictés par le RGPD.  

Ils gèrent les risques liés aux violations de données en associant avec toutes les parties prenantes de l’entreprise (Responsable de traitement, Responsable de la sécurité du système d’informations, personnes concernées, etc.).

Les activités du DPO peuvent différer selon qu’il soit externe ou interne à l’entreprise.

En interne, la fonction de DPO peut se cumuler avec un poste déjà existant, par exemple, RSSI, sous réserve de ne pas créer de conflit d’intérêts.

La répartition des activités du DPO dépend des métiers préexistants : ainsi, il peut être amené à travailler davantage sur la sécurité des systèmes d’informations, sur les mentions d’informations, etc. Selon ses activités, le DPO est parfois rattaché à une direction spécifique, même si le rattachement à la direction générale reste le plus fréquent.

Dans le cas où il travaille pour le compte de clients tiers, ce qui est le cas notamment lors d’intervention en tant que prestataires (ESN, cabinet d’avocat), des attentes fortes sont exprimées en matière de capacité d’adaptation et d’intégration dans des contextes divers.

Il peut aussi intervenir en tant que « DPO interne mutualisé » pour le compte de plusieurs organismes, partageant son temps de travail entre ceux-ci. Il peut s’agir par exemple de DPO recrutés par des groupements d’employeurs ou par des groupements de collectivités territoriales, ou des groupements hospitaliers de territoire, tant que ce cumul ne crée pas de conflits d’intérêts. Dans tous les cas, il doit faire directement rapport au niveau le plus élevé de la direction de la structure.

La désignation du DPO est une obligation pour tous les organismes publics et pour les entreprises dont l’activité de base nécessite un traitement de données sensibles (telles que les données de santé) ou un suivi régulier de personnes et à grande échelle. Cette désignation est dès lors un enjeu majeur pour une bonne gouvernance de ces organismes.

Activités visées :

Les activités visées par le titre sont les suivantes :

  • Identification des données personnelles, cartographie des flux et traitements associés.
  • Identification des données sensibles.
  • Détermination des bases légales et finalités de traitements dans le but de les inscrire dans le registre de traitement.
  • Identification des acteurs internes et externes associés aux traitements de données personnelles.
  • Sensibilisation et formation des acteurs concernés par les traitements de données personnelles par la communication écrite et orale sur des supports adaptés afin de permettre de mobiliser les personnes concernées sur les enjeux associés à l’utilisation des données personnelles.
  • Management inclusif et égalitaire de la politique de protection des données personnelles vis-à-vis des acteurs internes et externes
  • Identification des traitements à risque.
  • Management de la politique de protection des données personnelles du responsable de traitement au sein de la gouvernance et au travers des référents identifiés au sein de l'organisme.
  • Actualisation du registre de traitement pour supprimer les traitements obsolètes et intégrer les nouveaux traitements.
  • Elaboration et modélisation des outils adaptés pour assurer le respect de la mise en conformité du responsable de traitement.

Compétences attestées :

Dans le cadre du respect du RGPD et des exigences de la CNIL dans la mise en œuvre du métier de DPO, les compétences attestées sont les suivantes :

  • Modéliser un schéma de flux de données afin de pouvoir identifier les traitements de données personnelles tout au long du cycle de vie de la donnée dans un domaine et/ou un secteur déterminé (Assurance, Banque, santé, etc.) et permettre ainsi de délimiter le périmètre d'intervention et la responsabilité des acteurs liés à ces traitements de données et du Délégué à la Protection des données personnelles.
  • Identifier les fondements (finalités et licéité) liés à la collecte des données personnelles par le responsable de traitement et veiller à leur conformité et leur pertinence (choix de la base légale, choix de la durée de conservation, respect du principe de minimisation, exactitude des données)
  • Etudier et identifier les caractéristiques et les enjeux liés à la collecte des données « sensibles » prévues à l’article 9 de la règlementation générale à la protection des données personnelles.
  • Identifier les traitements avec transferts de données dans les pays étrangers afin de pouvoir articuler les législations nationales et européennes et les pays tiers ayant une politique de protection de données personnelles adaptée ou non et, le cas échéant, instaurer les mesures juridiques nécessaires (ex : clauses contractuelles types) pour garantir la sécurité de ces transferts.
  • Identifier les traitements avec transferts de données vers des sous-traitants et mettre en place le cadre légal de la relation entre le responsable de traitement et le sous-traitant.
  • Etablir un registre de traitement conforme à la règlementation pour démontrer la prise en considération par le responsable de traitement des enjeux associés aux données personnelles et répondre ainsi à l’article 30 du règlement général à la protection des données personnelles.
  • Modéliser un tableau de bord de suivi de la mise en conformité juridique et s’assurer de son accessibilité pour tous les acteurs internes afin de permettre au responsable de traitement d'avoir une visibilité globale, dans le cadre d’un bilan annuel, des risques et enjeux sur les traitements de données personnelles.
  • Communiquer et former dans le cadre d’une démarche inclusive toutes les parties prenantes aux enjeux liés aux traitements de données personnelles (personnel, instances dirigeantes, sous-traitants, etc.) en adaptant son discours en fonction des personnes concernées (ex : situation de handicap) et en s’assurant de l’accès pour toutes les personnes en interne aux documents et mentions relatifs à la gestion et au suivi de la politique de la protection des données.
  • Manager une équipe pluridisciplinaire intégrant des personnes en situation de handicap et veiller au respect d’une démarche égalitaire et éthique dans le traitement des données personnelles des acteurs internes et externes.
  • Sensibiliser sur les enjeux juridiques et informatiques des traitements intégrant des nouvelles technologies (intelligence artificielle, blockchain etc.) dans le cadre de la démarche préventive prévue par l’article 32 du RGPD et dispenser des conseils sur le suivi et la méthodologie à appliquer dans le cadre d’un traitement à risque.
  • Identifier les traitements à risque et veiller sur l'application des mesures de sécurisation organisationnelles et techniques spécifiques afin de mettre en place au sein du responsable de traitement une politique de prévention des risques fondée sur la disponibilité, l’intégrité et la confidentialité des données.
  • Suivre et actualiser les traitements de données personnelles au sein de l'organisme de traitement et assurer une traçabilité des activités effectuées par le responsable de traitement sur ses données personnelles.
  • Analyser les impacts sur les traitements existants et mettre en place une politique de protection des données personnelles dès l'origine adaptées aux risques et à la nature des opérations de traitement visant à responsabiliser le responsable de traitement.
  • Assurer le respect des durées de conservation des données personnelles initialement prévues lors de la collecte des données en veillant à leur purge, et mettre en place les procédures adaptées pour la gestion des principes et droits prévus pour les personnes concernées (demande de droit d’accès, gestion des mentions d’informations).
  • Contrôler le respect par le sous-traitant du cadre légal fixé sur les enjeux de données personnelles
  • Superviser l'analyse de risque associé aux traitements à risque, solliciter le cas échéant l'autorisation administrative dans le cas où le traitement a été mis en place malgré un risque résiduel.
  • Identifier et prendre les mesures urgentes (notification à l’autorité de contrôle et/ou aux personnes concernées) afin d’assurer la continuité de l'activité du responsable de traitement dans le cadre d’une situation de crise (ex: violation de données).
  • Documenter les mesures prises en amont par le responsable de traitement dans le cadre de sa démarche de conformité en intégrant dans un registre particulier les situations critiques (ex : violation de données) afin de démontrer la prise en considération par le responsable de traitement des enjeux en matière de protection des données.
  • Savoir préparer et répondre à une demande et/ou un contrôle de l’autorité administrative en vue de pouvoir démontrer sa conformité à la règlementation générale à la protection des données personnelles.

Modalités d'évaluation :

L'évaluation se présente sous la forme d'une combinaison de plusieurs dispositifs :

  • Evaluation de productions écrites : examens sous forme d’interrogations écrites et de cas pratiques à résoudre.
  • Evaluation de mise en situation pratiques et orales (travaux d’analyse, de préconisations, projets d’équipe permettant une évaluation individualisée, travaux en entreprise).

RNCP38585BC01 - Réaliser un audit dans les traitements informatiques et papiers du responsable de traitement dans le but de s’assurer de sa mise en conformité juridique.

Liste de compétences Modalités d'évaluation

Modéliser un schéma de flux de données afin de pouvoir identifier les traitements de données personnelles tout au long du cycle de vie de la donnée dans un domaine et/ou un secteur déterminé (Assurance, Banque, santé, etc.) et permettre ainsi de délimiter le périmètre d'intervention et la responsabilité des acteurs liés à ces traitements de données et du Délégué à la Protection des données personnelles.

Identifier les fondements (finalités et licéité) liés à la collecte des données personnelles par le responsable de traitement et veiller à leur conformité et leur pertinence (choix de la base légale, choix de la durée de conservation, respect du principe de minimisation, exactitude des données)

Etudier et identifier les caractéristiques et les enjeux liés à la collecte des données « sensibles » prévues à l’article 9 de la règlementation générale à la protection des données personnelles.

Identifier les traitements avec transferts de données dans les pays étrangers afin de pouvoir articuler les législations nationales et européennes et les pays tiers ayant une politique de protection de données personnelles adaptée ou non et, le cas échéant, instaurer les mesures juridiques nécessaires (ex : clauses contractuelles types) pour garantir la sécurité de ces transferts.

Identifier les traitements avec transferts de données vers des sous-traitants et mettre en place le cadre légal de la relation entre le responsable de traitement et le sous-traitant.

Etablir un registre de traitement conforme à la règlementation pour démontrer la prise en considération par le responsable de traitement des enjeux associés aux données personnelles et répondre ainsi à l’article 30 du règlement général à la protection des données personnelles.

Un travail écrit sous forme d’examens et de résolution de cas pratiques permettant de :

  • Mesurer les connaissances des principes de base sur la définition de la donnée personnelle, le rôle des différents acteurs, la détermination des bases légales des traitements, les durées de conservation, l’identification des données sensibles, la gestion des sous-traitants, la gestion des traitements avec transferts de données à l’étranger, le registre de traitement.
  • Mettre en pratique ces connaissances dans différents domaines (assurance, santé) et secteurs (marketing, ressources humaines).
  • Apprécier la bonne application des différentes législations nationales et internationales.

Un projet de groupe, intégrant une évaluation individualisée, est prévue dans le cadre de la définition et la mise en œuvre d’un registre de traitement de données personnelles.

RNCP38585BC02 - Instituer et communiquer une politique de protection de données personnelles dans le but d’impliquer et de mobiliser tous les acteurs concernés par le management et la gestion des traitements de données personnelles.

Liste de compétences Modalités d'évaluation

Modéliser un tableau de bord de suivi de la mise en conformité juridique et s’assurer de son accessibilité pour tous les acteurs internes afin de permettre au responsable de traitement d'avoir une visibilité globale, dans le cadre d’un bilan annuel, des risques et enjeux sur les traitements de données personnelles.

Communiquer et former dans le cadre d’une démarche inclusive toutes les parties prenantes aux enjeux liés aux traitements de données personnelles (personnel, instances dirigeantes, sous-traitants, etc.) en adaptant son discours en fonction des personnes concernées (ex : situation de handicap) et en s’assurant de l’accès pour toutes les personnes en interne aux documents et mentions relatifs à la gestion et au suivi de la politique de la protection des données.

Manager une équipe pluridisciplinaire intégrant des personnes en situation de handicap et veiller au respect d’une démarche égalitaire et éthique dans le traitement des données personnelles des acteurs internes et externes.

Sensibiliser sur les enjeux juridiques et informatiques des traitements intégrant des nouvelles technologies (intelligence artificielle, blockchain etc.) dans le cadre de la démarche préventive prévue par l’article 32 du RGPD et dispenser des conseils sur le suivi et la méthodologie à appliquer dans le cadre d’un traitement à risque.

Identifier les traitements à risque et veiller sur l'application des mesures de sécurisation organisationnelles et techniques spécifiques afin de mettre en place au sein du responsable de traitement une politique de prévention des risques fondée sur la disponibilité, l’intégrité et la confidentialité des données.

Des projets de groupe, intégrant une évaluation individualisée, prenant en considération les enjeux liés à la gestion opérationnelle (créer des tableaux de bord et des rapports annuels) et au management (gestion d’équipe, formation) des politiques de protection des données personnelles.

Un projet de groupe, intégrant une évaluation individualisée, est prévue dans le cadre de la définition et la mise en œuvre d’une analyse de risque sur un traitement de données personnelles.

Un travail écrit sous forme d’examens et de résolution de cas pratiques sur les enjeux liés à la sécurisation des données personnelles.

RNCP38585BC03 - Piloter la politique de protection des données personnelles pour s'assurer de sa conformité juridique, pouvoir répondre aux autorités administratives et judiciaires et anticiper la gestion et les risques liés aux traitements de données personnelles dans le cadre d’une situation de crise.

Liste de compétences Modalités d'évaluation

Suivre et actualiser les traitements de données personnelles au sein de l'organisme de traitement et assurer une traçabilité des activités effectuées par le responsable de traitement sur ses données personnelles.

Analyser les impacts sur les traitements existants et mettre en place une politique de protection des données personnelles dès l'origine adaptées aux risques et à la nature des opérations de traitement visant à responsabiliser le responsable de traitement.

Assurer le respect des durées de conservation des données personnelles initialement prévues lors de la collecte des données en veillant à leur purge, et mettre en place les procédures adaptées pour la gestion des principes et droits prévus pour les personnes concernées (demande de droit d’accès, gestion des mentions d’informations).

Contrôler le respect par le sous-traitant du cadre légal fixé sur les enjeux de données personnelles

Superviser l'analyse de risque associé aux traitements à risque, solliciter le cas échéant l'autorisation administrative dans le cas où le traitement a été mis en place malgré un risque résiduel.

Identifier et prendre les mesures urgentes (notification à l’autorité de contrôle et/ou aux personnes concernées) afin d’assurer la continuité de l'activité du responsable de traitement dans le cadre d’une situation de crise (ex: violation de données).

Documenter les mesures prises en amont par le responsable de traitement dans le cadre de sa démarche de conformité en intégrant dans un registre particulier les situations critiques (ex : violation de données) afin de démontrer la prise en considération par le responsable de traitement des enjeux en matière de protection des données.

Savoir préparer et répondre à une demande et/ou un contrôle de l’autorité administrative en vue de pouvoir démontrer sa conformité à la règlementation générale à la protection des données personnelles.

Un travail écrit sous forme d’examens et de résolution de cas pratiques sur la démarche de conformité envisagée dès l’origine, les durées de conservation, la gestion du cadre contractuel de la relation avec les sous-traitants, la préparation et la gestion d’un contrôle CNIL.

Un projet de groupe, intégrant une évaluation individualisée, est prévue dans le cadre de la définition et la mise en œuvre d’une demande de droit d’accès.

Un projet de groupe, intégrant une évaluation individualisée, est prévue dans le cadre de la définition et la mise en œuvre d’une analyse de risque sur un traitement de données personnelles.

Un travail oral est prévu dans le cadre d’une mise en pratique d’une situation de gestion de crise.

Description des modalités d'acquisition de la certification par capitalisation des blocs de compétences et/ou par correspondance :

L’intégralité de la certification s’obtient par :

  • La validation de tous les blocs de compétences identifiés dans ce titre.
  • La validation des deux éléments complémentaires suivants : réalisation d’une mission professionnelle en entreprise (4 mois minimum équivalent temps plein) et validation d’une thèse professionnelle et sa soutenance orale.

Secteurs d’activités :

Le métier de Délégué à la Protection des Données ou Data Protection Officer (DPO) concerne aussi bien le secteur public que privé. L’article 37 du RGPD impose un DPO pour tous les organismes publics et pour les entreprises dont l’activité de base nécessite un traitement de données sensibles (telles que les données de santé) ou un suivi régulier de personnes et à grande échelle.

Type d'emplois accessibles :

  • Délégué à la protection des données personnelles
  • Consultant Privacy
  • Consultant RGPD
  • Juriste protection des données personnelles
  • Compliance Officer / Responsable de conformité

Code(s) ROME :

  • K1903 - Défense et conseil juridique
  • M1806 - Conseil et maîtrise d''ouvrage en systèmes d''information
  • M1802 - Expertise et support en systèmes d''information
  • M1402 - Conseil en organisation et management d''entreprise
  • K1601 - Gestion de l''information et de la documentation

Références juridiques des règlementations d’activité :

Le métier de DPO est encadré et défini avec précision dans les articles 37 à 39 du RGPD.   

 

Le cas échant, prérequis à l’entrée en formation :

L’admission au titre comporte une étude de dossier et un entretien oral.

Sont recevables les candidatures d’étudiants titulaires d’un des diplômes suivants :

  • Diplôme d’ingénieur habilité par la Commission des Titres d’Ingénieur (liste CTI)
  • Diplôme d’une école de management habilitée à délivrer le grade national de Master (liste CEFDG)
  • Diplôme de 3ème cycle habilité par les autorités universitaires (DEA, DESS, Master…) ou diplôme professionnel de niveau BAC + 5
  • Diplôme de M1 ou équivalent, pour des personnes justifiant d’au moins trois années d’expérience professionnelle
  • Titre inscrit au RNCP niveau 7
  • Diplôme étranger équivalent aux diplômes français exigés ci-dessus.

Il existe des conditions d’accès dérogatoires :

  • Niveau M1 validé ou équivalent sans expérience professionnelle
  • Diplôme de L3 justifiant d’une expérience adaptée de 3 ans minimum
  • Candidats justifiant à minima de 5 années d’expérience professionnelle pour lesquelles les activités exercées ont un lien avéré avec les compétences professionnelles visées par la formation. Dans ce cas, ces derniers devront passer par la Validation des acquis personnels et professionnels (VAPP), qui permet d’apprécier les connaissances, les méthodes et les savoir-faire du candidat.

Dans les deux cas ci-dessus, le parcours académique et/ou professionnel devra(ont) démontrer l’acquisition de connaissances et/ou la mise en œuvre de compétences dans domaine de la protection des données personnelles.

Le cas échant, prérequis à la validation de la certification :

Pré-requis disctincts pour les blocs de compétences :

Non

Validité des composantes acquises :

Validité des composantes acquises
Voie d’accès à la certification Oui Non Composition des jurys Date de dernière modification
Après un parcours de formation sous statut d’élève ou d’étudiant X

4 personnes : 2 sont membres de l'ISEP et 2 sont des professionnels du domaine de la protection des données personnelles

-
En contrat d’apprentissage X

4 personnes : 2 sont membres de l'ISEP et 2 sont des professionnels du domaine de la protection des données personnelles

-
Après un parcours de formation continue X

4 personnes : 2 sont membres de l'ISEP et 2 sont des professionnels du domaine de la protection des données personnelles

-
En contrat de professionnalisation X

4 personnes : 2 sont membres de l'ISEP et 2 sont des professionnels du domaine de la protection des données personnelles

-
Par candidature individuelle X - -
Par expérience X

6 personnes :

• Le Directeur de l'enseignement ou le Directeur de l'Ecole

• 3 Professeurs de l'école

• 2 professionnels de la protection des données personnelles

-
Validité des composantes acquises
Oui Non
Inscrite au cadre de la Nouvelle Calédonie X
Inscrite au cadre de la Polynésie française X

Statistiques :

Statistiques
Année d'obtention de la certification Nombre de certifiés Nombre de certifiés à la suite d’un parcours vae Taux d'insertion global à 6 mois (en %) Taux d'insertion dans le métier visé à 6 mois (en %) Taux d'insertion dans le métier visé à 2 ans (en %)
2022 32 1 89 85 93
2021 18 0 67 44 78

Lien internet vers le descriptif de la certification :

https://formation-continue.isep.fr/offres-de-formation/formations-diplomantes/mastere-specialise-management-et-protection-des-donnees-a-caractere-personnel/

Le certificateur n'habilite aucun organisme préparant à la certification

Certification(s) antérieure(s) :

Certification(s) antérieure(s)
Code de la fiche Intitulé de la certification remplacée
RNCP32106 Délégué(e) à la protection des données (Data Protection Officer) (MS)

Référentiel d'activité, de compétences et d'évaluation :