La qualité des formations délivrées en matière de protection des données peut être assurée par le nouveau référentiel CNIL. Pour en bénéficier les prestataires devront respecter un référentiel de critères avant d’obtenir une certification auprès des organismes agréés par la CNIL. L’obtention d’une certification basée sur le référentiel de la CNIL permet aux prestataires de formation d’obtenir un sceau de reconnaissance attestant de la qualité de la formation qu’ils délivrent dans ce domaine.

Référentiel CNIL  

Une formation réalisée par un prestataire de formation certifié permet de s’appuyer sur les garanties qu’apportent le respect des critères du référentiel, à savoir i) un socle d’aptitudes et de compétences défini par la CNIL ; ii) un contenu très régulièrement mis à jour afin de prendre en compte l’actualité en matière de protection des données ; iii) des intervenants mobilisés en fonction de leurs compétences et de leur capacité à répondre aux objectifs spécifiques de chaque formation (par exemple un secteur d’activité, une thématique ou un traitement de données personnelles en particulier).

Par exemple, les futurs candidats à la certification des compétences du délégué à la protection des données pourront librement choisir de s’orienter vers un prestataire de formation certifié pour réaliser la formation d’au moins 35 h. Celle-ci constitue un prérequis lorsque le candidat ne dispose pas d’une expérience professionnelle d’au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du délégué à la protection des données.

Le référentiel comporte près d’une trentaine de critères ayant pour objectif de démontrer la qualification du prestataire de formation à la protection des données. Ces exigences sont divisées en thématiques : les exigences générales ; l’information du public sur les formations proposées ; l’identification des besoins et des objectifs de formation ; la conception des formations ; la préparation et à l’adaptation des formations aux apprenants ; les conditions de réalisation des formations ; les compétences des intervenants ; le recueil des appréciations et la prise en compte des réclamations.

Il est accompagné d’un référentiel général d’aptitudes et de connaissances (les notions clés à maîtriser, les principes de la protection des données, les responsabilités des acteurs, le délégué à la protection des données et la mise en place de sources de veille).

Un guide de lecture accompagne également le référentiel afin de faciliter l’accès à la certification, notamment à partir d’exemples et de situations pratiques. Ce guide sera enrichi à partir du retour d’expérience des premières évaluations qui seront réalisées.

Un mécanisme volontaire

La certification n’est pas obligatoire pour proposer une formation à la protection des données personnelles. Il s’agit d’un mécanisme volontaire permettant aux organismes de formation de justifier que leur prestation s’inscrit dans une logique de conformité au RGPD et à la loi Informatique et Libertés. Par ailleurs, les établissements d’enseignement supérieur bénéficient d’autres systèmes de reconnaissance.

Pour les organismes prestataires d’actions concourant au développement des compétences soumis à l’obligation d’une certification selon le référentiel national qualité (RNQ), il est prévu que ce certificat soit pris en compte lors de l’évaluation réalisée pour obtenir la certification de prestataires de formation à la protection des données.