DPO : 5 conseils pour décrocher la certification
Désormais, de nombreuses entreprises et tous les organismes publics doivent avoir leur délégué à la protection des données personnelles (DPO, Data Protection Officer en anglais).
Agréée par la CNIL, AFNOR Certification délivre le sésame reconnaissant les compétences de ces personnes qui doivent leur statut au RGPD, le Règlement général sur la protection des données personnelles, entré en vigueur en mai 2018. À la clé : crédibilité, valeur ajoutée et différenciation concurrentielle. Trois DPO certifiés à l’automne 2019 vous livrent leurs secrets pour réussir l’épreuve.
1. Se documenter et faire de la veille
Relire les « classiques » : Pierre Loir, fondateur d’Observantiae SARL, spécialisée dans la protection des données et la prestation de DPO externalisée, s’est d’abord replongé dans le RGPD, le règlement général sur la protection des données, qui donne corps à ce statut. « J’ai aussi relu la loi Informatique et Libertés de 1978, étudié plusieurs livres sur le sujet, ainsi que des documents gratuits de l’AFCDP, dont le RGPD commenté, dans lequel chaque article est mis en parallèle avec d’autres articles », énonce-t-il. Autre source intéressante d’information, les documents en ligne de la CNIL, comme le guide des sous-traitants et ses nombreuses recommandations. Enfin, il est incontournable de faire de la veille technique et réglementaire, en suivant notamment les publications de la CNIL, de son laboratoire d’innovation numérique (LINC) et de l’AFCDP.
2. Parfaire ses connaissances avec des moocs
Pour nos trois DPO, suivre des moocs, de préférence peu de temps avant l’examen, permet de mettre toutes les chances de son côté. « Atelier RGPD », de la CNIL, accessible gratuitement, délivre une attestation de suivi et de réussite, puisqu’il est sanctionné par des examens à chaque module. Et pour se préparer à la partie relative à la sécurité informatique, essayez-vous au mooc « SecNumAcadémie » de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Au programme : bonnes pratiques informatiques, règles de sécurité, cyberattaques, etc. Enfin le CNAM a déjà proposé deux sessions de son mooc, « Protection des données personnelles : le nouveau droit » en 2018 et 2019. En attendant une troisième session en 2020 ?
3. Échanger avec ses pairs et des spécialistes
Passer la certification suppose d’être DPO depuis au moins deux ans : une expérience sur laquelle se baser pour se préparer à l’examen. À l’instar de ses deux pairs, Kadiatou Touré, associée fondatrice de Maatix Conseil, spécialisée dans le management des données personnelles, s’est « replongée dans différents cas pratiques ». Et comme elle est membre de l’AFCDP, interlocuteur privilégié de la CNIL, elle a « accès au forum de discussion des utilisateurs où l’on trouve des questions et réponses très pratiques sur la mise en œuvre du RGPD ». Autre action vertueuse : échanger avec des professionnels de l’IT pour mieux connaître leurs métiers et leurs pratiques. Ainsi, vous vous familiariserez avec les nombreux acronymes qu’ils emploient, dont certains ont en fait le même sens. Et pourquoi ne pas se rapprocher de juristes spécialisés pour renforcer ses connaissances ?
4. Bien préparer l’examen
Les certifiés le confirment : on peut être rassuré sur ses chances de réussir, et sur sa légitimité à passer l’examen, quand on exerce depuis deux ans et plus, qu’on est curieux et touche-à-tout. Ce qui ne dispense pas de vous pencher sur les spécificités de l’épreuve, notamment sa forme, avec ses 100 QCM. Comme le conseille Danièle Blanc, médecin de santé publique et ex-DPO de structure hospitalière, « il faut se familiariser avec la technique du QCM, qu’on retrouve d’ailleurs dans certains des moocs à suivre. Je préconise en outre de faire ses propres QCM, soi-même, afin de mieux mémoriser et de se familiariser à certains pièges ». Elaborez des fiches, des tableaux et des schémas de synthèse pour apprendre par comparaison, par exemple les conditions de l’analyse d’impact. Autre prérequis : le calendrier de révision, à gérer parallèlement à son activité professionnelle, notamment dans les semaines précédant l’examen.
5. Gérer son temps et les questions
Le jour J, la confiance en ses connaissances et ses capacités constitue un premier atout. Attention cependant à bien gérer les deux heures de l’épreuve ! L’examen comporte trois parties – réglementation, responsabilité et sécurité -, mais celles-ci ne sont pas égales en termes de difficulté, et donc de temps à y consacrer. Les premières questions sont relativement simples, ce qui doit vous permettre de gagner quelques précieuses minutes pour la suite, plus compliquée. Tentez de répondre à plus de la moitié des questions en une heure. Et ne revenez pas en arrière sur des questions déjà répondues ; le système informatique aurait d’ailleurs du mal à le gérer. Enfin, restez très concentré.e jusqu’au bout : il faut impérativement passer la barre des 75 % de réponses justes nécessaires pour être certifié.e.
