L’IAPP est un organisme international qui propose des certifications individuelles dans le domaine de la protection des données personnelles. La certification CIPP/E valide que les connaissances élémentaires sur la protection des données à caractère personnel sont acquises et que le corpus légal et réglementaire européen est maitrisé. Le programme de la certification est complet et l’examen demande un travail individuel soutenu. Comme toute certification individuelle, les thèmes abordés à l’examen sont régulièrement mis à jour. La version de l’examen en vigueur à partir du 1^er juillet 2021 développe et précise de nouveaux thèmes comme les évaluations liées aux transferts de données ou « Transfert Impact Assessment » (TIA), aux actions collectives ou Class Actions et à l’intelligence artificielle ou Artificial Intelligence (AI).

Transferts de données

L’arrêt «Schems II » de la Cour de justice de l'Union européenne (CJUE) a eu des conséquences sur les transferts de données : invalidation du dispositif « Privacy Shield » mais aussi sur les conditions d’application des clauses contractuelles types ou « Standard Contractual Clauses » (SCC). Les groupes internationaux amenés à transférer dans le cadre de leurs traitements des données en dehors de l’espace économique européen doivent évaluer précisément les mécanismes à mettre en œuvre. Dans le cadre du CIPP/E, deux documents sont particulièrement intéressants pour aborder le thème du TIA.

Le premier est un rapport du contrôleur européen à la protection des données ou European Data Protection Supervisor (EDPS).

 Source : EDPS

Le deuxième est la recommandation du comité européen de la protection des données ou (European Data Protection Board (EDPB).

  Source : EDPB

Actions collectives

Les « Class Actions » sont rentrées dans le paysage du droit européen et le CIPP/E aborde à présent ce concept dans le programme de l’examen. En France par exemple, en cas d'atteinte à des données personnelles, des personnes peuvent initier une action de groupe appelée aussi recours collectif. Cette procédure permet d'obtenir l'arrêt de la violation des données personnelles et aussi d'obtenir réparation du préjudice subi (si les faits se sont produits après le 24 mai 2018). La personne concernée doit s’ adresser à une association agréée ou à certains syndicats. L’association ou le syndicat met en œuvre l'action de groupe. Une « class action » peut être lancée si plusieurs personnes estiment avoir subi un préjudice résultant du même manquement en matière de données personnelles. Par exemple, si le site internet d'une entreprise ne respecte pas les règles de protection des données personnelles des utilisateurs. Pour faire appel à un recours collectif, il faut que deux personnes au moins estiment avoir subi un préjudice du fait du manquement d'un responsable de traitement à ses obligations.

Intelligence Artificielle

La Commission Européenne a proposé dans le domaine de l’IA de nouvelles règles et actions qui devra aboutir à un règlement. Ces nouvelles règles seront directement applicables dans tous les États membres. Elles suivent une approche fondée sur les risques. Parmi les systèmes d’intelligence artificielle considérés comme à haut risque, on trouve par exemple les IA utilisées dans :

• Les infrastructures critiques susceptibles de mettre en danger la vie et la santé des citoyens.
• La notation d’épreuves d’examens.
• Le tri de CV.
• L’évaluation du risque crédit.
• L’administration de la justice.

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :