Sur la proposition de Mme Anne DEBET, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Formule les observations suivantes :
La Commission nationale de l'informatique et des libertés (ci-après, la CNIL ou la Commission) est compétente pour agréer des organismes en vue de délivrer la certification des compétences du délégué à la protection des données sur la base d'exigences qu'elle adopte.
Le fonctionnement du dispositif de certification de personnes des compétences du délégué à la protection des données a fait l'objet d'une évaluation en vue d'adapter, le cas échéant, les exigences du référentiel adopté par la Commission.
La présente délibération modifie la délibération n° 2018-317 du 20 septembre 2018 portant adoption des critères du référentiel d'agrément d'organismes de certification pour la certification des compétences du délégué à la protection des données (DPO), qui fixe les exigences d'agrément des organismes de certification pour la certification des compétences de personnes physiques en tant que délégué à la protection des données, tel que mentionné à la section 4 du chapitre IV du règlement (UE) 2016/679.
La présente délibération modifie également la délibération n° 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données (DPO).
Il est précisé que, les deux délibérations susmentionnées utilisent le sigle « DPO ». Ce sigle correspond à la notion de délégué à la protection des données telle qu'entendue par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et la loi n° 78-17 du 6 janvier 1978,
Décide :
1° Au premier paragraphe de la délibération n° 2018-317 du 20 septembre 2018, les mots : « (ci-après « DPO ») » sont supprimés ;
2° Au troisième paragraphe de la délibération susmentionnée, le sigle : « DPO » est remplacé par les mots : « délégué à la protection des données » ;
3° Le référentiel annexé à la délibération susmentionnée est ainsi modifié :
a) A l'exigence 8.1, les mots « ; - tous les 6 mois à compter de la délivrance de l'agrément, les statistiques de réussite de l'épreuve écrite ainsi que le registre actualisé des personnes certifiées DPO comprenant les noms, prénoms, la date de délivrance de la certification et la date d'expiration » sont supprimés ;
b) L'exigence 3.2 est ainsi rédigée : « L'organisme de certification adresse à la personne certifiée un certificat de délégué à la protection des données certifié portant sur le libellé “Délégué à la protection des données certifié conformément au référentiel de certification des compétences du DPO de la CNIL”. A compter du 1er janvier 2024, le libellé est ainsi rédigé “Certifié conformément au référentiel de certification des compétences du délégué à la protection des données de la CNIL”. » ;
c) A l'exception de l'exigence 3.2 et de l'intitulé du référentiel annexé, le sigle : « DPO » est remplacé par les mots : « délégué à la protection des données » ;
d) L'annexe « Programme de l'évaluation écrite (domaines) » est ainsi modifiée :

- au point 1.6, les mots : « (DPO) » sont supprimés ;
- aux points 1.6.3 à 1.6.6 inclus, le sigle : « DPO » est remplacé par les mots : « délégué à la protection des données » ;

4° Dans l'annexe « RÉFÉRENTIEL DE CERTIFICATION DES COMPÉTENCES DU DÉLEGUÉ À LA PROTECTION DES DONNÉES (DPO) » de la délibération n° 2018-318 du 20 septembre 2018, à l'exception de l'intitulé, le sigle : « DPO » est remplacé par les mots : « délégué à la protection des données ».
La présente délibération sera publiée au Journal officiel de la République française.