Aller à la navigation principale Aller au contenu Aller à la navigation de bas de page
Répertoire national des certifications professionnelles

Délégué à la protection des données (DPO) (DU)

Active

N° de fiche
RNCP35085
Nomenclature du niveau de qualification : Niveau 7
Code(s) NSF :
  • 128 : Droit, sciences politiques
  • 326 : Informatique, traitement de l'information, réseaux de transmission
Formacode(s) :
  • 13235 : droit données personnelles
Date d’échéance de l’enregistrement : 18-11-2023
Nom légal SIRET Nom commercial Site internet
UNIVERSITE D EVRY VAL D ESSONNE 19911975100014 - https://www.univ-evry.fr
Objectifs et contexte de la certification :

Le nouveau métier de Délégué à la Protection des Données (DPO), au carrefour du droit, de la sécurité informatique, de la compliance et de l’éthique nécessite l'acquisition de compétences transverse à plusieurs champs d'activité. C’est à cette problématique que le DU Délégué à la protection des données vise à répondre. 

Cette fonction a été créée par  le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données, dit « RGPD ».  L'article 38 du texte dispose que le délégué à la protection des données est « désigné sur la base de ses qualités professionnelles, et en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données ». 

Le DPO doit donc avoir des compétences juridiques mais également des compétences techniques en matière de sécurité de l’information afin de lui permettre de comprendre ces systèmes. Le DPO doit enfin disposer de compétences organisationnelles afin de structurer la gestion de la protection des données dans son entreprise, notamment dans les grands groupes ou les organismes comportant de multi-établissements.   

L'objectif de ce titre à finalité professionnelle est de certifier des professionnels compétents sur les aspects juridique, technique et organisationnel que requière la fonction de DPO .

Activités visées :
  • Conseil de l’entreprise dans l’application des principes fondamentaux de la protection des données et dans l’information à communiquer aux personnes concernées.
  • Participation à l’élaboration des contrats avec les partenaires et les sous-traitants et gestion de ces relations tout au long de leur cycle de vie.
  • Identification des violations de données personnelles et assistance de l’entreprise dans leur notification à l’autorité de contrôle et leur communication aux personnes concernées
  • Être l’interface entre l’entreprise et les autorités de contrôle en matière de protection des données personnelles en France et en Europe
  • Conseil de l’entreprise dans la gestion des transferts de données hors Union européenne
  • Conseil de l'entreprise sur l’obligation de procéder à une analyse d'impact relative à la protection des données
  • Analyse des principes fondamentaux de la sécurité
  • Conseil de l'entreprise en cas de violations de données et anticipation des risques
  • Assistance de l'entreprise dans l'identification des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement
  • Définition des règles internes en matière de protection des données
  • Audit de la protection des données
  • Gestion de projets de mise en conformité
  • Réponses aux demandes d'exercice des droits des personnes concernées
  • Communication et formation en matière de protection des données
  • Organisation d'une gouvernance de la protection des données à l'échelle d'un Groupe
Compétences attestées :

C1 - Définir les principes fondamentaux applicables à un traitement de données pour identifier le cadre juridique qui lui est applicable

C2- Connaître et appliquer le cadre juridique de la sous-traitance ou des échanges entre responsables du traitement 

C3 - Assister   l'entreprise dans le traitement des violations de données personnelles

C4 - Gérer les relations avec les autorités de contrôle en particulier les opérations de contrôle en connaissant leur rôle respectif, leurs   missions, le mécanisme de l’autorité chef de file, etc. 

C5 - Identifier   l'existence de transferts de données hors Union européenne et déterminer les   instruments juridiques de transfert susceptibles d'être utilisés pour   garantir la conformité d'un organisme aux règles de protection des données  

C6- Déterminer s'il est  nécessaire ou non d'effectuer une analyse d'impact relative à la protection   des données (AIPD), dispenser des conseils sur cette analyse et en vérifier  l'exécution pour garantir la conformité d'un organisme aux règles de  protection des données     

C7 - Connaître les normes applicables en matière de sécurité des   systèmes d’information pour mettre en place les mesures de sécurité adaptées   et limiter les risques de violation de données

C8 - Identifier ou participer à l’identification des mesures de sécurité à mettre en place quant aux données personnelles et contrôler ou   faire contrôler leur mise en œuvre en collaborant avec les opérationnels en   charge de ces questions

C9 - Mettre en œuvre les principes de protection des données dès la conception et par défaut en les adaptant aux risques et à la nature des opérations de traitement   

C10 - Organiser un plan de management de la conformité en identifiant   les ressources nécessaires à son déploiement

C11 - Organiser et, le cas échéant, participer à des audits en matière de protection   des données

C12 - Mobiliser les fondamentaux de la gestion de projet pour mettre   en œuvre un système de management de la protection des données

C13 - Établir des procédures pour recevoir et gérer les demandes d'exercice des droits des personnes concernées

C14 - Communiquer sur le plan de management de la conformité et former l'ensemble des collaborateurs à la protection des données

C15 - Gérer un réseau de correspondants afin d'organiser la gouvernance de la protection des données au sein d'un Groupe de sociétés    

Modalités d'évaluation :

L'évaluation est réalisée par le biais de  cas pratiques ( résolution de problématiques juridiques ou technique) de QCM ( connaissances juridiques).

Sont également prévus  deux projets collectifs : il s'agit de productions en sous-groupe visant à traiter collectivement une problématique relative à la protection des données personnelles. Elles prennent la forme d'un écrit (une quinzaine de pages hors annexe) et d'une courte présentation orale

La réalisation d'un mémoire professionnel est également prévu (une quarantaine  de pages). Ce mémoire fait l'objet d'une soutenance orale.

N° et intitulé du bloc Liste de compétences Modalités d'évaluation
RNCP35085BC01

Assurer la conformité aux règles de protection des données

C1 - Définir les   principes fondamentaux applicables à un traitement de données pour identifier le cadre juridique qui lui est applicable

C2- Connaître et appliquer le cadre juridique de la sous-traitance ou des échanges entre responsables du traitement

C3 - Assister   l'entreprise dans le traitement des violations de données personnelles

C4 - Gérer les relations avec les autorités de contrôle, en particulier les opérations de contrôle, en connaissant leur rôle respectif, leurs   missions, le mécanisme de l’autorité chef de file, etc.     

C5 - Identifier l'existence de transferts de données hors Union européenne et déterminer les   instruments juridiques de transfert susceptibles d'être utilisés pour   garantir la conformité d'un organisme aux règles de protection des données

C6- Déterminer s'il est nécessaire ou non d'effectuer une analyse d'impact relative à la protection   des données (AIPD), dispenser des conseils sur cette analyse et en vérifier   l'exécution pour garantir la conformité d'un organisme aux règles de protection des données     

1 cas pratique juridique (épreuve certificative)  

QCM individuel relevant d'un contrôle continu 



RNCP35085BC02

Gérer les risques techniques des systèmes d'information

 C7 - Connaître les normes applicables en matière de sécurité des systèmes d’information pour mettre en   place les mesures de sécurité adaptées et limiter les risques de violation de   données 

C8 - Identifier ou   participer à l’identification des mesures de sécurité à mettre en place quant   aux données personnelles et contrôler ou faire contrôler leur mise en œuvre en   collaborant avec les opérationnels en charge de ces questions

C9 - Mettre en œuvre les   principes de protection des données dès la conception et par défaut en les adaptant aux risques et à la nature des opérations de traitement     

1 cas pratique technique sous la forme d'un devoir individuel (épreuve certificative) 

QCM individuel de contrôle des connaissances techniques relevant d'un contrôle continu 


RNCP35085BC03

Gérer un système de management des données personnelles

C10 - Organiser un plan de management de la conformité en identifiant les ressources nécessaires à  son déploiement

C11 - Organiser et, le cas échéant, participer à des audits en matière de protection des données

C12 - Mobiliser les  fondamentaux de la gestion de projet pour mettre en œuvre un système de management de la protection des données     

C13 - Etablir des procédures pour recevoir et gérer les demandes d'exercice des droits des   personnes concernées 

C14 - Communiquer sur le plan de management de la conformité et former l'ensemble des collaborateurs à la protection des données

C15 - Gérer un réseau de correspondants afin d'organiser la gouvernance de la protection des données au sein d'un Groupe de sociétés    

Réalisation de deux projets collectifs. 

Il s'agit de productions en sous-groupe visant à traiter collectivement une problématique relative à la protection des données personnelles. Elles prennent la forme d'un écrit (d'une quinzaine de pages hors annexe) et d'une présentation orale.   



Description des modalités d'acquisition de la certification par capitalisation des blocs de compétences et/ou par équivalence :

La certification est validée par cumul des blocs et sous réserve de la validation du mémoire de fin d'études. 

Un bloc de compétence n'a pas de durée de validité, il est acquis à vie. Cependant, l'Université d'Evry peut faire évoluer sa certification quand les conditions d'exercice des activités changent ou évoluent.

Dans le cas d'un bloc de compétence, la conservation des notes constitutives du bloc de compétences est valable un an en cas de non validation du bloc.

Secteurs d’activités :

 Le DPO est désigné par son (ses) responsable(s) de traitement auprès de la CNIL, soit de façon obligatoire au titre de l’article 37du RGPD, soit de façon volontaire. Le DPO exerce ses missions dans des structures du secteur non marchand (administration, collectivité territoriale, association) ou marchand. 

La majorité des DPO exercent dans le secteur marchand (59.4%) et dans des entreprises privées 39,6%. Ils peuvent également exercer au sein de cabinets conseil/ indépendants 17,6% ou autre 2,2%. Quant au secteur non marchand (40.6 % des DPO), ils exercent dans des organismes du secteur public ou assimilé pour 10,2% d’entre eux. 23,1% travaillent dans une administration publique ou une collectivité territoriale et 7,3% dans une association.

Tous les secteurs d’activités et type d’entreprise sont donc concernés et la désignation d’un DPO est obligatoire à partir du moment où :   

a) le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ; 

b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou

c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 du RGPD ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 du RGPD.  

Type d'emplois accessibles :

Délégué à la protection des données ou Data Protection Officier (DPO), assistant DPO, chargé de conformité en matière de protection des données, compliance officer 

Code(s) ROME :
  • K1903 - Défense et conseil juridique
Références juridiques des règlementations d’activité :

 L'exercice du métier de Délégué à la protection des  données n'est pas réglementé mais ce professionnel travaille en  s'appuyant sur un cadre réglementaire précis:   

  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27  avril  2016, relatif à la protection des personnes physiques à l'égard  du  traitement des données à caractère personnel et à la libre  circulation  de ces données. Il constitue le texte de référence en  matière de protection des données personnelles. Ses dispositions sont  directement applicables dans l'ensemble des États membres à compter du  25 mai 2018. 
  • La loi " Informatique et Libertés " du 6 janvier 1978 et la loi du   20 juin 2018 relative à la protection des données personnelles.
  • Délibération n° 2018-318 du 20 septembre 2018 portant adoption des  critères du référentiel de certification des compétences du délégué à  la protection des données (DPO).
Le cas échéant, prérequis à la validation des compétences :

Les prérequis pour intégrer le parcours de formation sont les suivants :   

  • Être titulaire d’une certification de niveau 6 dans le domaine du droit ou de l’informatique. 
  • Ou justifier d’une expérience significative dans le domaine de la protection des données personnelles (exercice de la fonction de Correspondant Informatique et Libertés ou de Délégué à la Protection des Données (DPO) depuis plusieurs années)  


Validité des composantes acquises :
Voie d’accès à la certification Oui Non Composition des jurys
Après un parcours de formation sous statut d’élève ou d’étudiant X -
Après un parcours de formation continue X

Le jury est composé au minimum d'un enseignant chercheur, d'un professionnel qualifié participant à la formation menant à la certification, de deux professionnels qualifiés extérieurs à la formation menant à la certification.

En contrat de professionnalisation X -
Par candidature individuelle X -
Par expérience X

Le jury est composé au minimum de 4 membres délibératifs, nommés par le Président de l’Université d’Evry :  un enseignant chercheur (présidant le jury), un professionnel qualifié participant à la formation menant à la certification, deux professionnels qualifiés extérieurs à la formation menant à la certification. 

En contrat d’apprentissage X -
Oui Non
Inscrite au cadre de la Nouvelle Calédonie X
Inscrite au cadre de la Polynésie française X
Lien avec d’autres certifications professionnelles, certifications ou habilitations : Non
Date de décision 18-11-2020
Durée de l'enregistrement en années 3
Date d'échéance de l'enregistrement 18-11-2023
Statistiques :
Lien internet vers le descriptif de la certification :

Le certificateur n'habilite aucun organisme préparant à la certification

Référentiel d’activité, de compétences et d’évaluation :

Référentiel d’activité, de compétences et d’évaluation
Ouvre un nouvel onglet Ouvre un site externe Ouvre un site externe dans un nouvel onglet