Ce que j’ai appris de ma certification GDPR (le CIPP / E)
Le mois dernier, après avoir tergiversé pendant environ deux ans, j’ai passé l’examen pour devenir un Professionnel certifié de la Confidentialité des Informations en droit, normes et pratiques européennes en matière de protection des données (CIPP / E), accrédité par l’International Association of Privacy Professionals (IAPP). À mon grand soulagement, j’ai réussi l’examen. Je voulais partager ce que j’ai appris au cas où quelqu’un d’autre envisagerait de passer l’examen ou s’intéresserait à la certification de protection des données ou, au contraire, jugerait que cela n’est pas pertinent.
Qu’est-ce que la certification CIPP/E et pourquoi est-ce important?
La certification CIPP /E est basée sur la connaissance du Règlement Général sur la Protection des Données (RGPD) et l’obtention de cette certification devient une exigence par défaut pour tout conseil professionnel dans le domaine de la réglementation européenne sur la protection des données et la confidentialité. Pour tous ceux qui viennent de se déconnecter pendant environ un an, le RGPD est la nouvelle loi européenne sur la protection des données qui remplacera la Directive européenne sur la protection des données actuellement en vigueur. Le RGPD entrera en vigueur à partir du 25 mai 2018 dans l’UE. Il a déjà un impact énorme sur un éventail d’industries, car il transformera les obligations de protection des données dans l’UE et aura un impact significatif sur les transferts internationaux de données.
Décider de faire le exam….do J’ai vraiment besoin d’être certifié pour travailler sur des trucs GDPR?
Qu’est-ce qui m’a fait hésiter pendant deux ans avant de réserver la date de l’examen ? J’ai tergiversé pour obtenir cette certification en croyant (à tort) que je n’en avais pas besoin pour conseiller sur la loi sur la protection des données et que mon bilan était suffisant. Mon point de vue était: Je connaissais déjà la loi sur la protection des données basée sur la Directive sur la protection des données, j’avais conseillé, effectué des recherches universitaires, travaillé sur un projet cloud financé par l’UE basé sur la loi sur la protection des données, donné des présentations, enseigné aux étudiants, noté des essais et défini des questions d’examen. J’en savais assez de tout cela pour être au courant des changements à venir avec le RGPD. Ai-je vraiment besoin de passer un examen pour être certifié pour travailler sur des cas GDPR?
La réponse est oui. Les efforts pour obtenir la certification CIPP/E sont devenus incessants. Dans de plus en plus de situations, que ce soit pour un travail client ou même simplement pour un commentaire sur le RGPD, on m’a demandé si j’avais la certification. Je me suis sentie vexée au début, en particulier lorsque des personnes qui avaient à peine travaillé dans le domaine avaient plus de crédibilité que moi à cause de la certification. La vérité est que la certification devient de facto une exigence pour effectuer un travail de conseil sur le RGPD, presque indépendamment de votre expérience dans le domaine.
J’ai finalement mordu la balle et j’ai réservé l’examen en février. Si vous décidez d’aller de l’avant avec l’examen, j’ai énuméré quelques conseils ci-dessous.
Préparation à l’examen
Il existe de nombreux cours qui offrent une préparation d’une journée à l’examen. J’ai décidé de sauter la formation et juste d’aller de l’avant et de réserver l’examen. Je ne voulais pas perdre une journée à m’entraîner sur quelque chose que je connaissais déjà….. Je NE conseille PAS cela comme stratégie, même si j’ai réussi l’examen. Connaître la loi en général et réussir cet examen spécifique sont deux choses distinctes. J’avais une crise cardiaque virtuelle avec certaines des options à choix multiples, toutes semblaient correctes. De plus, la pression pour réussir était énorme puisque j’avais dit à tout le monde que je savais que je passais l’examen. Avec le recul, cela n’aurait pas été si mal d’avoir passé une journée d’entraînement en préparation.
Quelques éléments à considérer lors de la préparation:
· Le format à choix multiples pour l’examen ne signifie pas que c’est facile
Il s’agit d’un examen à choix multiples sur ordinateur, un peu comme le test de théorie de la conduite (et vous obtenez vos résultats immédiatement aussi!). Vous pouvez donc penser que cela ne vaut pas la peine de faire beaucoup d’études puisque vous identifierez facilement la bonne réponse, n’est-ce pas? Détrompez-vous. L’examen est long: 2,5 heures pour 90 questions de réponses à choix multiples, dont certaines sont des questions problématiques détaillées. La plupart des réponses sont entièrement crédibles, donc la bonne réponse n’est pas évidente. C’est le piège à choix multiples pour moi: face à plusieurs options, je suis une ventouse pour changer mes réponses d’avant en arrière et pour me disputer en choisissant de mauvaises réponses. Mon point à retenir: ne sous-estimez pas ce que vous devez savoir par cœur et vraiment comprendre simplement parce qu’il s’agit d’un examen à choix multiples.
· Ne le faites pas sur la base de votre connaissance de la Directive sur la Protection des données
Connaître la Directive sur la protection des données est un bon début, mais cela ne suffit pas. Même la lecture des différences entre la Directive sur la protection des données et le RGPD ne suffit pas. Certaines des questions à choix multiples sont conçues pour jouer sur le fait que certaines personnes vont l’utiliser et donner le choix évident en vertu de la Directive sur la protection des données comme l’une des mauvaises réponses. Donc, si vous espériez le faire en vous basant sur vos connaissances générales passées de la Directive sur la protection des données, complétées par la lecture de quelques articles sur le RGPD, vous pourriez tomber dans pas mal de pièges avec cet examen.
· Regardez le programme et ne sautez aucune section du cours
Le programme de l’examen comporte trois sections distinctes: premièrement, l’introduction à la Protection Européenne des Données qui couvre le contexte institutionnel et la législation, deuxièmement la Loi et la Réglementation Européennes en matière de Protection des Données – le RGPD lui-même, et, enfin, la troisième section est la conformité à la Loi et à la Réglementation Européennes en matière de Protection des Données qui couvre l’application de la loi dans certaines situations, par exemple, l’emploi ou le marketing direct. Vous devez passer chaque section distincte du cours, de sorte que vous ne pouvez pas simplement passer à la section principale du cours ou sauter une section entièrement.
· Matériaux de préparation: le Règlement – article par article
Il existe un manuel de cours IAPP disponible en format papier et en ligne. C’est utile car il couvre complètement le parcours, mais je l’ai trouvé un peu turgescent et en le lisant, j’avais l’impression de patauger dans la boue. Pour la section centrale du programme sur la législation et la réglementation européennes en matière de protection des données, j’ai trouvé que la meilleure façon de travailler était avec le texte du RGPD – le Règlement lui-mêmeYes Oui. C’est aussi simple que cela. Ouvrez-le et lisez les articles et voyez comment tout cela s’intègre et apprenez tout. Il existe également de bons conseils sur le site Web de la Commission européenne et sur le Commissaire aux données du Royaume-Uni, et quelques blogs sur la protection des données sont également utiles pour combler les lacunes afin de donner une explication plus détaillée de certains articles du Règlement. Les exemples de documents d’examen disponibles sur l’IAPP sont également pratiques (mais vous devez les payer).
Si vous ne voulez pas suivre une formation, si vous ne pouvez pas vous le permettre ou si vous avez une autre raison pour laquelle vous ne pouvez pas suivre la formation, un ami compétent qui pratique dans la région (ou qui fait un doctorat sur le sujet – Dimitra – merci:-)) et qui est prêt et capable de vous donner un tutoriel de dernière minute aide vraiment. Certaines des questions sont des questions problématiques, donc l’apprentissage par cœur ne vous aidera pas et vous devez être capable d’appliquer ce que vous avez appris à des situations “réelles”. L’OIC britannique a également des questions et des réponses utiles pour savoir comment les choses s’appliquent dans la vie réelle.
· Pratique privée vs droit public
Les choses institutionnelles comptent aussi, même si cela peut ne pas affecter directement votre pratique, ne sautez pas ce morceau. Je traite avec des clients de pratique privée, donc je n’étais pas tellement dérangé par les procédures de coopération entre les régulateurs de la protection des données de l’UEI J’ai intégré tout cela dans le “droit de l’administration publique, non pertinent pour conseiller des clients privés”, alors j’ai écumé cette partie du RèglementDon Ne faites pas cela. Je changeais frénétiquement mes réponses, me creusais le cerveau pour les détailsThere On ne s’en cache pas. Cela fait partie du cours, étudiez cela aussi.
· Application du RGPD dans la vie réelle
Marketing direct et cookies, cookies, cookies. Nous y sommes. C’est ce que vous devez vraiment savoir! Si vous ne savez pas comment la protection des données s’applique aux cookies, vous manquerez pas mal de questions.
Mon conseil si vous hésitezjustfaites-le
Le RGPD va être avec nous pendant longtemps et c’est la législation sur la protection des données la plus influente au monde, il vaut donc la peine d’investir un peu de temps et d’efforts (quelques week-ends et soirées) pour bien le connaître.
Postscript: Je ne fais pas la promotion de la certification de protection des données pour un gain financier 🙂
Au cas où vous vous poseriez la question, je n’ai aucun intérêt financier dans l’IAPP ni avec aucun organisme connexe, donc je n’écris pas ceci pour les promouvoir ni pour une formation particulière (je n’ai même pas fait la formation!). Cet article est purement pour partager mon opinion et mon expérience au cas où cela vous intéresserait.
