Certification du DPD (dispositif AEPD-ENAC) : de quoi s'agit-il

·

Lorsqu'une entreprise cherche à recruter ou à désigner un Délégué à la Protection des Données (DPD), elle se heurte tôt ou tard à un terme qui circule dans le secteur comme s'il s'agissait d'une obligation légale : la certification du DPD. Organismes de formation, écoles et certaines sociétés de conseil la présentent comme le critère décisif pour choisir un prestataire, et il n'est pas rare de lire des annonces laissant entendre qu'un DPD « non certifié » ne pourrait pas exercer. La réalité normative est plus précise et, pour qui doit décider, bien plus utile : le dispositif de certification des Délégués à la Protection des Données de l'AEPD (Esquema AEPD-DPD), avec des organismes certificateurs accrédités par ENAC, existe bel et bien et constitue un label sérieux, mais l'article 37.5 du RGPD exige une qualification professionnelle, et non un certificat précis. Comprendre cette nuance — ce que le dispositif certifie réellement, qui le délivre et ce qu'il ne remplace pas — est ce qui distingue un critère de choix éclairé d'un argument commercial répété sans nuance.

Qu'est-ce que le dispositif de certification des DPD de l'AEPD ?

Le dispositif de certification des Délégués à la Protection des Données (Esquema AEPD-DPD) est un référentiel élaboré par l'Agence espagnole de protection des données pour permettre à des organismes de certification indépendants d'évaluer et de certifier, de façon homogène, les connaissances et les compétences professionnelles des personnes qui exercent ou souhaitent exercer la fonction de DPD. Ce n'est ni un diplôme universitaire ni une simple formation : c'est un dispositif de certification de personnes, la même famille normative qui certifie, par exemple, des auditeurs de systèmes de management ou des soudeurs qualifiés, appliquée ici à la protection des données.

L'AEPD ne certifie pas directement les candidats. Ce que fait l'Agence, c'est définir le dispositif — conditions d'accès, contenus que doit couvrir le processus d'évaluation, critères de renouvellement — et le mettre à la disposition d'organismes de certification qui, pour pouvoir délivrer des certificats valides conformément à ce dispositif, doivent être accrédités par ENAC (l'Entité nationale d'accréditation espagnole) selon la norme UNE-EN ISO/IEC 17024, le référentiel international de certification des personnes. Cette accréditation est ce qui donne sa fiabilité au processus : ENAC audite périodiquement l'organisme certificateur pour vérifier qu'il applique le dispositif avec rigueur, impartialité et traçabilité, et non qu'il se contente de vendre un diplôme.

Le résultat, lorsque le processus aboutit, est un certificat délivré à une personne physique — et non à une entreprise — attestant que son titulaire a réussi une évaluation des connaissances et, selon les organismes certificateurs, dans de nombreux cas également une évaluation de l'expérience pratique en protection des données.

Le cadre légal : pourquoi un dispositif de certification existe-t-il si le RGPD ne l'exige pas

L'article 37.5 du RGPD dispose que le DPD « est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données » ainsi que de sa capacité à exécuter les missions définies à l'article 39. Cette rédaction est délibérément ouverte : le législateur européen n'a fixé ni diplôme précis, ni examen officiel, ni certificat obligatoire, car les profils de DPD peuvent provenir de parcours très différents — droit, audit, sécurité de l'information, conformité — et une exigence formelle unique aurait exclu des profils pourtant valables.

Cette ouverture normative a créé, en pratique, un problème réel : sans référentiel commun, n'importe qui peut se qualifier d'« expert en protection des données » sans qu'il existe de moyen simple de le vérifier. Les lignes directrices sur le DPD du Groupe de travail « Article 29 » (WP243), reprises par le Comité européen de la protection des données (CEPD), soulignent que le niveau de connaissances doit être proportionné à la sensibilité, à la complexité et au volume des traitements, mais elles ne fixent aucune voie formelle pour le démontrer et ne font d'aucune certification une condition. L'AEPD a conçu son dispositif précisément pour combler cet écart : offrir une voie de vérification objective et auditable, facultative, au sein d'un cadre légal qui, délibérément, n'impose pas un chemin unique d'accès à la fonction de DPD.

Comment fonctionne le dispositif : accréditation ENAC, organismes certificateurs et conditions d'accès

Le processus de certification s'articule, avec des nuances propres à chaque organisme certificateur accrédité, autour de trois volets :

  1. Conditions d'accès. Le dispositif exige de justifier d'une formation et/ou d'une expérience professionnelle préalable liée à la protection des données avant de pouvoir se présenter à l'évaluation — il n'existe pas de voie « examen sans expérience », contrairement à d'autres certifications professionnelles.
  2. Évaluation des compétences. Un examen, généralement composé de questions à choix multiples et de cas pratiques, portant sur le cadre juridique (RGPD, LOPDGDD, réglementation sectorielle), les principes et bases légales du traitement, les droits des personnes concernées, les mesures techniques et organisationnelles, la gestion des violations de données et les missions propres à la fonction définies à l'article 39 du RGPD.
  3. Renouvellement périodique. La certification n'est pas illimitée dans le temps : le dispositif prévoit un renouvellement à échéance triennale, conditionné à la justification d'une activité professionnelle continue et d'une formation actualisée, afin que le certificat ne reste pas le reflet figé de connaissances datant de plusieurs années.

Toute personne envisageant de se certifier, ou souhaitant vérifier la certification d'un prestataire, peut consulter sur le site d'ENAC quels organismes sont effectivement accrédités pour le dispositif AEPD-DPD selon la norme UNE-EN ISO/IEC 17024. C'est la seule donnée qu'il convient de vérifier directement : tout organisme annonçant une « certification DPD » n'est pas nécessairement accrédité pour le dispositif officiel de l'AEPD, et certaines écoles commercialisent des formations avec un certificat interne, document de formation légitime mais de nature différente d'une certification de personne accréditée par ENAC.

La certification est-elle obligatoire pour exercer la fonction de DPD ? La nuance que presque personne n'explique

Non. C'est la question centrale de cet article, et la réponse, étayée par le texte même du RGPD, est catégorique : la certification AEPD-ENAC est facultative. L'article 37.5 du RGPD ne mentionne aucun certificat comme condition de désignation ; il exige des qualités professionnelles et des connaissances spécialisées, éléments qui peuvent être démontrés par des voies diverses — parcours professionnel, formation universitaire ou de troisième cycle, expérience vérifiée, publications ou enseignement dans la matière — sans qu'aucune d'entre elles ne soit, à elle seule, obligatoire non plus.

L'AEPD elle-même le confirme dans la documentation publique de son dispositif : la certification est un outil facilitant la démonstration du respect de l'article 37.5, et non une condition légale pour exercer la fonction de DPD. Une organisation peut désigner, avec pleine validité juridique, un DPD sans certification AEPD-ENAC, à condition de pouvoir justifier par d'autres moyens sa qualification et son aptitude au poste — élément qu'il convient de documenter en interne, que le DPD soit certifié ou non, car c'est l'organisation elle-même qui répond devant une inspection de l'AEPD si le DPD désigné s'avère finalement inapte.

Cette nuance importe particulièrement sur un marché où certains prestataires présentent la certification comme un synonyme de validité légale de la désignation. Ce n'est pas le cas. Ce qu'exige la norme, c'est une compétence réelle et démontrable ; le certificat n'est que l'un des moyens — solide, mais pas unique — de la démontrer.

Ce que garantit réellement la certification (et ce qu'elle ne garantit pas)

Il convient de distinguer précisément ce que la certification atteste de ce qu'elle ne peut pas attester :

Autrement dit : la certification est une donnée objective et vérifiable au sein d'un ensemble plus large de critères d'aptitude, non un raccourci dispensant d'évaluer le reste.

Certification versus qualification : comment vérifier l'aptitude d'un DPD sans exiger de certificat

Si la certification n'est pas obligatoire, comment une organisation vérifie-t-elle que son DPD — interne ou externe — respecte réellement l'article 37.5 ? En pratique, il convient de combiner plusieurs éléments, avec ou sans certificat :

Pour approfondir ce qu'un DPD doit effectivement accomplir au quotidien — et le confronter au parcours d'un candidat ou d'un prestataire —, il est utile de consulter en détail les missions du DPD selon l'article 39 du RGPD. Et si l'objectif n'est pas la certification en tant que telle, mais le choix du bon prestataire de DPD externe pour assumer la fonction, la certification n'est que l'un des dix critères à examiner systématiquement, comme détaillé dans le guide sur comment choisir une entreprise de DPD externe.

Combien coûte la certification en tant que DPD (et pourquoi ce n'est pas la même chose que le prix du service)

Le coût d'obtention de la certification AEPD-ENAC — frais d'examen, formation préparatoire le cas échéant, renouvellement triennal — est à la charge de la personne ou de l'organisme certificateur qui la délivre, et varie selon le prestataire ; il n'existe pas de tarif unique de marché, et ce n'est pas un coût qui doit nécessairement se répercuter sur le prix du service de DPD externe qu'une entreprise contracte. Il s'agit de deux questions financières distinctes qu'il convient de ne pas confondre lors de la comparaison des offres : le coût de la certification est une chose, et le coût du service de DPD externe lui-même — avec ses honoraires récurrents, son périmètre de missions et son niveau de dédicace — en est une autre. Pour comprendre quelles variables déterminent ce second coût, le guide sur le prix du DPD externe : variables et fourchette indicative détaille les facteurs qui influencent le tarif, sans publier de chiffres figés qui ne refléteraient pas la réalité de chaque organisation.

Tableau récapitulatif : certification AEPD-ENAC du DPD

Aspect Ce que cela implique Base légale
Nature du dispositif Certification d'une personne physique, délivrée par des organismes accrédités par ENAC selon la norme UNE-EN ISO/IEC 17024, conformément au dispositif défini par l'AEPD Esquema AEPD-DPD
Caractère obligatoire Facultatif ; ce n'est pas une condition légale de désignation du DPD Art. 37.5 RGPD
Ce que la loi exige à la place Qualités professionnelles et connaissances spécialisées, démontrables par des voies diverses Art. 37.5 RGPD
Durée de validité Renouvellement périodique à échéance triennale, avec justification d'une activité et d'une formation continues Esquema AEPD-DPD
Ce qu'elle ne garantit pas L'indépendance du DPD, la conformité réglementaire de l'organisation ni l'exonération de responsabilité du responsable du traitement Art. 38.6 et 39 RGPD
Manquement à l'art. 37 (désignation inadéquate) Amende pouvant atteindre 10 M€ ou 2 % du chiffre d'affaires annuel mondial Art. 83.4.a) RGPD

Questions fréquentes

Est-il obligatoire que mon DPD dispose de la certification AEPD-ENAC ?

Non. L'article 37.5 du RGPD exige des qualités professionnelles et des connaissances spécialisées en protection des données, mais n'impose aucun certificat précis comme condition de désignation. La certification AEPD-ENAC est un outil facultatif qui facilite la démonstration de ces connaissances, non une condition légale pour exercer la fonction.

Quel rôle joue ENAC dans la certification du DPD ?

ENAC — l'Entité nationale d'accréditation espagnole — ne certifie pas directement les personnes. Elle accrédite les organismes de certification qui délivrent le certificat AEPD-DPD, en vérifiant qu'ils appliquent le dispositif de l'AEPD conformément à la norme UNE-EN ISO/IEC 17024. C'est le label qui donne sa fiabilité au processus, en contrôlant périodiquement que l'organisme certificateur maintient rigueur et impartialité.

Quelles conditions faut-il remplir pour se présenter à l'examen de certification de DPD ?

Les organismes certificateurs accrédités exigent, avec des nuances propres à chacun, un minimum de formation et/ou d'expérience professionnelle préalable liée à la protection des données avant d'admettre un candidat à l'évaluation. Ce n'est pas un examen ouvert sans parcours préalable : le dispositif vise à certifier une compétence déjà développée, non à former à partir de zéro.

Combien de temps dure la certification et faut-il la renouveler ?

La certification n'est pas illimitée dans le temps. Le dispositif AEPD-DPD prévoit un renouvellement à échéance triennale, conditionné à la justification d'une activité professionnelle continue et d'une formation actualisée, précisément pour éviter que le certificat ne devienne obsolète face à l'évolution de la réglementation et des critères de l'AEPD.

La certification remplace-t-elle la formation continue du DPD ?

Non. Pas même au sein du dispositif lui-même : le renouvellement triennal exige de justifier d'une formation et d'une activité continues, ce qui confirme que le certificat n'est pas un aboutissement mais une étape dans un parcours d'actualisation permanente, compte tenu de la fréquence à laquelle évoluent les critères de l'AEPD, la jurisprudence européenne et la réglementation sectorielle.

Que se passe-t-il si j'engage un DPD externe sans certification AEPD-ENAC ?

Rien de différent, d'un point de vue juridique, dès lors que ce DPD peut justifier par d'autres moyens — parcours, formation, expérience sectorielle — la qualification exigée par l'article 37.5 du RGPD. L'absence de certificat n'invalide pas la désignation ; ce qui poserait problème serait de désigner une personne sans aucune preuve démontrable de connaissances spécialisées, certifiée ou non.

Comment puis-je vérifier qu'un organisme certificateur est réellement accrédité par ENAC pour le dispositif DPD ?

En consultant directement le moteur de recherche des organismes accrédités sur le site d'ENAC, qui indique le périmètre exact de chaque accréditation. C'est le seul moyen de distinguer une certification de personne conforme au dispositif officiel de l'AEPD d'un certificat de formation propre à une école, qui peut être une formation sérieuse, mais qui n'équivaut pas à une certification accréditée par ENAC.

La certification protège-t-elle mon entreprise contre les sanctions de l'AEPD ?

Pas automatiquement. La certification atteste la qualification de la personne exerçant la fonction de DPD, un facteur pertinent si l'AEPD examine l'aptitude de la désignation au regard de l'article 37.5, mais elle n'exonère pas l'organisation de sa responsabilité en tant que responsable du traitement ou sous-traitant, ni ne remplace une gestion effective du reste des obligations du RGPD et de la LOPDGDD.

Si votre entreprise s'interroge sur la manière de vérifier l'aptitude de son DPD, ou de choisir un prestataire de DPD externe selon des critères solides — certification incluse, mais pas comme seul filtre —, chez Summum Consultoría nous accompagnons ce processus depuis la désignation jusqu'à l'exercice quotidien des missions de l'article 39 du RGPD, avec une équipe spécialisée au parcours vérifié. Consultez notre service de DPD externe pour les organisations pour découvrir comment nous structurons la qualification et l'indépendance de l'équipe qui assumerait la fonction.