Devenir DPO – Quelle est la formation d’un Data Protection Officer ?

La formation pour devenir DPO est-elle obligatoire ?

Vous souhaitez devenir DPO et vous vous demandez si vous devez obligatoirement suivre une formation pour exercer les missions de Data Protection Officer ? Prenons même un cas très concret : Vous êtes salarié(e) d’une entreprise (juriste, membre de l’équipe IT…) et vous souhaiteriez prendre en charge les fonctions de DPO, en plus de vos autres missions : vous vous interrogez sur la nécessité ou même l’intérêt de suivre une formation pour devenir DPO.

La première chose à dire pour répondre à votre question est que le règlement RGPD n’est pas très loquace sur le sujet. Le règlement général sur la protection des données personnelles détaille les modalités de désignation du DPO, sa fonction au sein de l’organisation ainsi que ses missions. En revanche, très peu de précisions sur la formation. Ainsi, l’article 37 est plutôt « flou »:

« Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39. »

Il n’existe pas de formation obligatoire pour exercer la fonction de DPO. Ce n’est pas un métier réglementé comme peuvent l’être les professions d’avocat, d’huissier ou de notaire. Ce qui bien entendu ne signifie pas que n’importe qui peut exercer le métier de DPO. Le DPO doit être une personne qualifiée, idéalement spécialisée dans le droit de la protection des données personnelles.

La fonction de DPO nécessite en effet des compétences pointues et variées, d’ordres à la fois organisationnels, techniques et juridiques. Pour en savoir plus, nous vous invitons à parcourir notre guide complet sur les compétences du DPO.

Les différents dispositifs de formation possibles pour devenir DPO

Ni le RGPD ni la CNIL ne définissent une formation précise pour devenir DPO. Par conséquent, il existe de nombreuses voies, de nombreux dispositifs de formations pour acquérir ou consolider les compétences de DPO.

Mais attention, toute personne qui envisage de devenir DPO doit disposer d’un bagage préalable très solide, que ce soit en droit, en ingénierie des données ou/et en informatique. Une formation DPO n’est pas suffisante pour délivrer au stagiaire toutes les compétences nécessaires si celui-ci part de rien. Les formations visent à fournir à des juristes ou à des ingénieurs des données une compréhension fine et exhaustive du RGPD et des obligations incombant aux entreprises en matière de gestion des données à caractère personnel.

Cette précision (importante) étant faite, nous allons passer en revue les différents supports et modes de formation pour devenir DPO. Nous écartons de ce panorama les formations longues et initiales. Il faut savoir en effet que les établissements universitaires et les grandes écoles ont développé ces dernières années des formations sur plusieurs années (de 2 à 5 ans) pour se former au métier de DPO.

Les formations en ligne de type MOOC ou webinaires 

Il existe plusieurs formations à distance de type MOOC dédiées à l’acquisition des savoirs fondamentaux et pratiques relatifs au RGPD et au droit de la protection des données personnelles. Ce format est une manière intéressante d’entrer en matière et de se familiariser avec les missions du DPO. Vous trouverez sur internet quelques MOOC pour une formation synthétique au métier de DPO. Il existe également un certain nombre de webinaires accessibles en replay qui peuvent constituer des outils pédagogiques intéressants pour monter en compétences sur le RGPD et la fonction de DPO.

Précisons que ces supports de formations ne permettent pas d’obtenir la certification DPO. Nous reviendrons tout à l’heure sur la certification, ses conditions d’obtention, son caractère obligatoire ou non.

Les formations en présentiel

De plus en plus d’organismes proposent des formations courtes pour devenir incollable sur le RGPD et les missions du DPO. La durée des formations peut varier de quelques jours (2 ou 3 jours) à une quinzaine de jours.

L’accès à ces formations est en général conditionné par un niveau d’études ou une expérience professionnelle dans un domaine lié au droit, à l’informatique. Ce sont des formations qui s’adressent par exemple à des juristes ou à des DSI désireux de se former au RGPD. Certaines formations sont sectorielles : il existe par exemple des formations RGPD/DPO dédiées aux métiers de santé ou aux collectivité territoriales.

Les organismes de formation sont légion et se multiplient. Un des critères de choix, selon nous, est de choisir un organisme de formation DPO agréé par la CNIL. Nous avons produit un guide complet listant les principales structures de formation au métier de DPO agréées par l’autorité de contrôle française.

La certification est-elle obligatoire pour devenir DPO ?

Lorsque l’on parle de certification, il est important de faire une distinction importante. La certification désigne en réalité deux choses :

• La « certification » de l’organisme de formation. Dans ce cas, le terme précis est celui « d’agrément ». On parlera alors d’organismes de formation agréés par la CNIL, ou « ayant reçu un agrément de la CNIL ». Les organismes de formation au RGPD/DPO doivent obligatoirement avoir obtenu un agrément de la CNIL s’ils souhaitent proposer des formations certifiantes.
• La certification de la formation. Certaines formations DPO sont « certifiantes », d’autres ne le sont pas. Vous pouvez devenir DPO en suivant une formation non certifiante (par exemple en participant à un MOOC). Il n’est pas obligatoire d’avoir suivi une formation certifiante pour exercer la fonction de DPO. Cela rejoint ce que nous disions plus haut.

Pour compléter, voici deux conseils :

• Nous conseillons de privilégier les formations DPO certifiantes. Les organismes proposant des formations certifiantes RGPD / DPO sont par définition des organismes « sérieux ». Vous prenez moins de risque et votre formation aura plus de valeur, sera davantage reconnue. La certification est gage d’expertise et de professionnalisme pour la personne qui la reçoit.
• Le deuxième conseil découle du premier : Nous vous recommandons de porter votre choix sur un organisme de formation agréé par la CNIL. Seuls ces organismes sont habilités à proposer des formations certifiantes DPO.

Les conditions d’accès à une formation DPO certifiante

Pour pouvoir suivre une formation certifiante DPO auprès d’un organisme certificateur agréé par la CNIL, vous devez remplir une condition : Avoir une expérience d’au moins deux ans dans un domaine juridique ou technique lié à la protection des données personnelles.

La durée d’une formation aboutissant à la délivrance de la certification est de 35 heures minimum. La durée de validité de la certification est de 3 ans. Cela s’explique par le fait que le paysage technologique et juridique est en évolution constante et rapide.

Pour aller plus loin, découvrez nos autres guides consacrées au DPO :

• DPO Externe – Que dit la CNIL ? Quel coût ? Différence avec le DPO interne ?
• Le DPO : Est-il obligatoire ? Comment trouver le vôtre ? Externe ou interne ?
• DPO interne – Avantages et inconvénients de choisir un Data Protection Officer interne
• DPO – Quelles sont les compétences d’un Data Protection Officer ?