Conditions générales de prestations de certification de personnes DPO

1. Préambule

Dans un contexte de renforcement des exigences en matière de protection des données à caractère personnel et de professionnalisation des fonctions de Délégué à la protection des données, Lexing Technologies a conçu un dispositif de certification des compétences visant à évaluer, de manière objective, impartiale et documentée, les connaissances, aptitudes et compétences professionnelles des personnes exerçant ou souhaitant exercer des missions de Délégué à la protection des données.

Ce dispositif de certification s’inscrit dans une démarche de conformité aux principes et exigences applicables à la certification de personnes, notamment ceux résultant de la norme ISO/IEC 17024, ainsi que des Délibérations de la Cnil n° 2018-317 et n° 1018-318 du 20 septembre 2018 modifiées.

Il est expressément rappelé que la certification délivrée, le cas échéant, atteste uniquement de la conformité du Candidat aux critères du référentiel de certification et ne saurait emporter reconnaissance d’un statut légal ou réglementaire, ni exonérer le Candidat ou toute organisation dans laquelle il intervient du respect des obligations résultant de la réglementation applicable, notamment en matière de protection des données à caractère personnel.

2. Objet

Les présentes précisent les modalités selon lesquelles l’Organisme de Certification procède à la demande du Candidat personne physique à l’évaluation de ses compétences en vue de la délivrance, le cas échéant, du certificat Lexing Certification DPO attestant de ses compétences professionnelles, de son aptitude à exercer les missions de Délégué à la protection des données concernées et de sa capacité technique, telles que définies dans le référentiel de certification des compétences du Délégué à la protection des données.

La certification n’emporte aucune reconnaissance d’un statut légal ou réglementaire en dehors de la portée du référentiel de Lexing Certification DPO, ni ne saurait se substituer aux obligations légales du RGPD.

3. Bonne foi

Les parties déclarent et conviennent expressément avoir échangé de bonne foi toutes les informations nécessaires et utiles à l’expression de leur consentement respectif.

4. Définitions

Les termes ci-dessous définis auront entre les parties la signification suivante :

- «Accréditation » : désigne la reconnaissance formelle délivrée par l’organisme national compétent attestant que l’Organisme de Certification satisfait aux exigences de la norme ISO/IEC 17024 pour la certification de personnes.
- « Appel » : désigne toute demande formelle de révision d’une décision prise par l’Organisme de certification concernant l’issue d’une évaluation, y compris un refus de certification, un retrait de certification ou une décision de non-renouvellement.
- « Candidat » : désigne la personne physique qui sollicite la certification des compétences et participe au processus d’évaluation dans les conditions prévues aux présentes, y compris, le cas échéant, dans le cadre de la phase de test.
- « Client » : désigne la personne physique ou morale agissant dans le cadre de son activité professionnelle en tant que professionnel, partie aux présentes, signataire de celui-ci, pouvant être le Candidat lui-même ou toute entité procédant à l’inscription du Candidat. Dans le cas où le Client est différent du Candidat, il se porte fort du respect des engagements du Candidat au titre des présentes ;
- « Personne certifiée » : désigne le Candidat ayant obtenu une décision favorable de certification à l’issue du processus d’évaluation et bénéficiant, pour la durée de validité définie, de la certification délivrée par l’Organisme de Certification.
- « Phase de test » : désigne la période transitoire précédant la délivrance officielle de l’accréditation, durant laquelle certaines activités d’évaluation sont conduites à des fins de validation et d’ajustement du dispositif de certification.

5. Opposabilité des présentes

Les présentes conditions générales sont accessibles à tout moment sur le site www.lexing-technologies.com.

Le Client reconnaît en avoir pris connaissance dans leur intégralité avant toute conclusion du contrat et déclare les accepter sans réserve.

L’acceptation des conditions générales est matérialisée par le fait de cocher la case correspondante figurant dans le formulaire d’inscription au programme de certification.

Les conditions générales applicables sont celles en vigueur à la date de leur acceptation, telles qu’archivées.

6. Conditions particulières « Test préalable à l’accrédidation »

Dans le cadre de sa démarche de reconnaissance de ses activités, Lexing Technologies a engagé une procédure de demande d’accréditation auprès de l’organisme national compétent, sur la base de la norme ISO/IEC 17024, en vue de devenir organisme de certification de personnes.

Dans l’attente de la délivrance officielle de ladite accréditation, Lexing Technologies organise une phase de test préalable, ayant pour objet exclusif de valider et d’ajuster son dispositif de certification, et notamment :

- la passation par les candidats d’un questionnaire à choix multiples (QCM) portant sur les compétences visées ;
- l’analyse statistique et qualitative des résultats ;
- la simulation, à titre de test interne, du processus d’évaluation et de prise de décision de certification.

La phase de test constitue une étape normale et attendue dans la mise en place d’un dispositif de certification conforme à la norme ISO/IEC 17024. Elle vise à garantir la robustesse, l’équité et la fiabilité des épreuves avant toute délivrance officielle de certification. Elle se déroule dans les conditions définies aux présentes.

Le Candidat qui s’inscrit pendant cette phase de test en est expressément informé et reconnaît que :

- la participation à cette phase de test ne constitue pas une certification au sens des articles 42 et 43 du règlement (UE) 2016/679 (RGPD) ni au sens de la norme ISO/IEC 17024 ;
- aucun certificat, attestation de compétence certifiée ne pourra être délivré à l’issue de cette phase de test ;
- les résultats obtenus dans le cadre de cette phase de test n’emportent aucun effet juridique, professionnel ou réglementaire, et ne peuvent être invoqués comme preuve de certification auprès de tiers.

La certification, le cas échéant, ne pourra produire d’effets qu’à compter de la délivrance officielle de l’accréditation et dans les conditions qui seront alors définies par le règlement de certification applicable.

Les clauses des conditions générales sont conditionnées à la délivrance officielle de l’accréditation.

Le Candidat accepte que les données issues de sa participation (résultats, réponses, statistiques anonymisées) puissent être utilisées par Lexing Technologies à des fins de démonstration de conformité dans le cadre de la procédure d’accréditation.

Les inscriptions au programme de certification régularisées pendant la période de test seront gratuites.

7. Processus de candidature

La demande de certification s’effectue avoir pris connaissance de l’ensemble des informations figurant à l’adresse https://lexing-technologies.com/certification-dpo/ au moyen du « Formulaire de demande d’inscription à la certification, accessible à l’adresse : https://lexing-technologies.com/inscription-certification-dpo/.

Ce formulaire comprend notamment les informations suivantes :

- le choix de la date d’examen, sous réserve de la disponibilité des places ;
- l’identité et les coordonnées du Candidat (nom, prénom, adresse, coordonnées de contact) ;
- les prérequis attendus.

Le Candidat doit satisfaire à l’une des conditions préalables suivantes :

- justifier d’une expérience professionnelle d’au moins deux (2) ans dans des projets, activités ou missions en lien direct avec les fonctions du Délégué à la protection des données en matière de protection des données à caractère personnel ; ou
- justifier d’une expérience professionnelle d’au moins deux (2) ans, complétée par une formation d’une durée minimale de trente-cinq (35) heures en matière de protection des données à caractère personnel, dispensée par un organisme de formation reconnu.

Les décideurs réunis en comité de gouvernance examinent les documents transmis afin de vérifier que le Candidat satisfait aux critères requis dans le cadre du programme de certification des compétences du DPO. En l’absence des conditions requises, le candidat ne pourra être définitivement inscrit au programme de certification.

Toute demande incomplète ou non conforme peut être rejetée.

8. Évaluation et décision de certification

Après validation de la recevabilité de sa candidature, le Candidat est convoqué par courrier électronique afin de se présenter à l’examen de certification.

Sauf indication contraire, l’examen est organisé dans les locaux de Lexing Technologies, situés à Paris (17ᵉ arrondissement). Les modalités pratiques (date, heure, lieu exact, consignes) sont précisées dans la convocation.

L’évaluation est conduite selon les modalités prévues dans le référentiel et la documentation associée approuvés.

Elle consiste en une épreuve écrite sous la forme d’un questionnaire à choix multiples (QCM) composé de cent quarante (140) questions, couvrant l’ensemble des thématiques relatives à la protection des données à caractère personnel, conformément au référentiel de certification applicable.

L’examen se déroule sans aucun document autorisé, sous réserve des aménagements éventuellement accordés aux Candidats en situation de handicap, conformément aux dispositions applicables. La durée de l’épreuve est fixée à trois (3) heures.

Tout comportement contraire aux règles de déroulement de l’épreuve, et notamment toute tentative de fraude, est susceptible d’entraîner l’interruption de l’examen et le rejet de la candidature.

La décision de certification est prise par les décideurs réunis en comité de gouvernance après avis des examinateurs, garantissant l’impartialité et la confidentialité du processus. Les décideurs ne participent ni à la conception, ni à la correction, ni à l’évaluation du Candidat.

L’Organisme de certification informe le Candidat de la décision de certification par écrit, selon les modalités prévues dans la documentation applicable.

9. Durée de certification

La décision de certification est délivrée pour une durée de 3 ans. Elle peut être renouvelée dans les conditions définies ci-après.

10. Procédure de plainte

La présente clause régit les modalités de réception, d’instruction et de décision relatives aux plaintes formulées par le Candidat ou toute autre partie intéressée concernant le déroulement du processus de certification.

Les dispositions ci-après s’appliquent sans préjudice des droits légaux du Candidat et des voies de recours juridictionnelles qui lui sont ouvertes par la réglementation applicable.

L’Organisme de certification s’engage à traiter de manière impartiale, objective et confidentielle toutes les plaintes et appels reçus, dans le respect des principes d’équité et de transparence requis par la nature de la certification.

Les plaintes et appels doivent être formulés par écrit (courrier postal ou courrier électronique) et accompagnés de toutes pièces utiles à leur examen.

Le Candidat ou toute autre partie intéressée peut adresser une plainte à l’Organisme de certification à l’adresse suivante : lexing-certification@lexing-technologies.com (ou toute autre adresse publiée à cet effet).

L’Organisme de certification accuse réception écrite dans un délai de deux jours ouvrés d’une plainte.

Il procède à :

- la vérification que la plainte concerne bien ses activités de certification ;
- la collecte et la vérification des informations nécessaires pour analyser la plainte ;
- si la plainte est recevable, elle est soumise à un comité pour examen.

Chaque plainte est enregistrée dans un registre dédié permettant d’assurer la traçabilité complète du traitement, des décisions et des actions correctives éventuelles.

L’Organisme de certification instruit la plainte en respectant les principes d’indépendance et de confidentialité, notamment en s’abstenant de confier l’analyse à toute personne impliquée dans l’objet de la plainte.

Une décision est prise en tenant compte des preuves disponibles.

Si nécessaire, des corrections et actions correctives sont mises en place.

Toute plainte fondée concernant une personne certifiée est notifiée à celle-ci dans un délai raisonnable.

Le plaignant est informé de l’avancement du traitement de sa plainte et de l’issue finale.

À l’issue de l’instruction, l’Organisme de certification notifie au plaignant sa décision motivée, le cas échéant, des mesures correctives prévues.

11. Procédure d’appel des décisions

Le processus documenté de réception, d’évaluation et de prise de décision relatif aux appels formés à l’encontre des décisions de certification rendues par l’Organisme de certification, conformément aux exigences applicables en matière de certification de personnes vise à garantir un traitement impartial, constructif et réalisé dans un délai raisonnable.

Le présent dispositif s’applique à l’ensemble des appels formés à l’encontre des décisions de certification reçus par l’Organisme de certification.

Il garantit que chaque appel est traité de manière objective, impartiale et documentée.

Tout appel fait l’objet d’un enregistrement dans un registre dédié.

Un accusé de réception est adressé à l’appelant.

La validité de l’appel est examinée, notamment au regard de son objet et, le cas échéant, en tenant compte des appels similaires précédemment traités.

Une analyse approfondie de l’appel est réalisée par une personne ou un comité n’ayant pas été impliqué dans la décision initiale contestée.

Les actions nécessaires au traitement de l’appel sont identifiées.

L’appelant est informé des étapes d’examen de son appel ainsi que des délais prévisionnels de traitement.

L’ensemble des actions entreprises dans le cadre du traitement de l’appel est consigné de manière documentée.

Le processus de traitement de l’appel est clôturé par l’envoi d’une notification officielle à l’appelant.

Lorsque l’examen d’un appel met en évidence un problème récurrent, des corrections et actions correctives appropriées sont définies et mises en œuvre. L’efficacité des actions correctives mises en place est évaluée régulièrement.

Une description du processus de traitement des appels est accessible sur le site internet de l’Organisme de certification.

L’Organisme de certification assume la responsabilité de l’ensemble des décisions prises dans le cadre du traitement des appels.

Le personnel impliqué dans le traitement des appels est distinct de celui ayant participé à la décision initiale, afin de garantir l’impartialité du processus.

L’appelant est informé de l’avancement du traitement de son appel tout au long du processus.

Une notification formelle est adressée à l’appelant à l’issue du processus de traitement de l’appel.

12. Effets de plainte et des appels

Le dépôt d’une plainte ou d’un appel ne suspend pas de plein droit les obligations contractuelles du Candidat ni les effets d’une décision de certification, sauf décision contraire expressément notifiée par l’Organisme de certification.

L’Organisme de certification peut mettre en œuvre des actions correctives ou préventives si l’examen de la plainte ou de l’appel révèle un dysfonctionnement du processus de certification.

Les dossiers relatifs aux plaintes et appels sont conservés conformément à la politique de conservation des données applicable et aux obligations de traçabilité et de preuve imposées par les normes d’accréditation.

Les présentes dispositions s’ajoutent à toute voie de recours juridique ouverte au Candidat en vertu de la réglementation applicable.

13. Maintien, suspension, retrait de la certification

Le maintien de la certification est subordonné au respect continu, par la personne certifiée, des exigences du référentiel de certification, des présentes conditions générales et, le cas échéant, des obligations de surveillance définies par l’Organisme de certification.

La personne certifiée demeure seule responsable du maintien de ses compétences professionnelles et du respect des règles applicables à l’usage de la certification.

La surveillance a pour finalité de vérifier, pendant toute la durée de validité de la certification, le maintien des compétences, des connaissances et du comportement professionnel requis par le référentiel de certification.

L’Organisme de certification peut mettre en œuvre une ou plusieurs modalités de surveillance, notamment :

la collecte d’informations déclaratives auprès de la personne certifiée ;
la demande de justificatifs relatifs à l’exercice professionnel, à l’expérience ou à la formation continue ;
toute autre modalité prévue par le référentiel de certification.

Dans le cadre de la surveillance, la personne certifiée s’engage à :

fournir des informations exactes et complètes ;
répondre dans les délais raisonnables aux sollicitations de l’Organisme de certification ;
signaler sans délai toute situation susceptible d’affecter sa conformité aux exigences de certification.

Les éléments recueillis dans le cadre de la surveillance sont analysés par des personnes compétentes et habilitées, dans le respect des principes d’impartialité et d’indépendance.

À l’issue de l’analyse, l’Organisme de certification peut décider :

du maintien de la certification ;
de la mise en œuvre de mesures correctives ;
de la suspension temporaire de la certification ;
du retrait de la certification.

Toute décision est prise sur la base d’éléments objectifs et documentés.

14. Renouvellement

Pour obtenir le renouvellement de son certificat, la personne certifiée doit :

justifier, depuis l’obtention de sa certification, d’une expérience professionnelle d’au moins un an dans des projets, activités ou tâches en lien avec les missions du DPO (protection des données ou sécurité de l’information), attestée par un tiers (employeur ou client) ;
réussir le QCM de renouvellement organisé par l’Organisme de certification, conforme aux exigences du référentiel d’agrément des organismes de certification pour la certification des compétences du DPO.

Trois mois avant l’échéance de la certification, l’Organisme de certification contacte la personne certifiée afin de lui proposer d’engager la procédure de renouvellement.

15. Obligations de l’Organisme de certification

L’Organisme de Certification s’engage à :

évaluer le Candidat au regard du QCM pour la certification des compétences du DPO ;
mener les audits et contrôles nécessaires selon les procédures définies ;
délivrer, refuser, suspendre ou retirer la certification selon les résultats de l’évaluation ;
assurer la confidentialité des informations obtenues dans le cadre de la certification ;
respecter les exigences légales et réglementaires en matière de certification.

16. Obligations du Candidat

Le Candidat s’engage à se conformer aux points suivants :

répondre en permanence aux exigences de certification, incluant la mise en œuvre des changements appropriés qui sont communiqués par l’Organisme de Certification ;
prendre toutes les dispositions nécessaires pour la conduite de l’évaluation et la surveillance (le cas échéant), l’instruction des réclamations, la participation d’observateurs, le cas échéant.
faire des déclarations sur la certification en cohérence avec la portée de la certification ;
ne pas utiliser la certification d’une façon qui puisse nuire à l’Organisme de Certification ni faire de déclaration sur la certification que l’Organisme de Certification puisse considérer comme trompeuse ou non autorisée ;
en cas de suspension, de retrait ou à l’échéance de la certification, cesser d’utiliser l’ensemble des moyens de communication qui y font référence, renvoyer les documents de certification et s’acquitter de toute autre mesure exigée ;
si le Candidat certifié fournit des copies de documents de certification à un tiers, il doit les reproduire dans leur intégralité ou tel que spécifié par le programme de certification ;
en faisant référence à la certification dans des supports de communication tels que documents, brochures ou publicité, se conformer aux exigences de l’Organisme de Certification et/ou aux spécifications du programme de certification ;
se conformer à toutes les exigences qui peuvent être prescrites dans le programme de certification relatives à l’utilisation des marques de conformité et aux informations relatives à la certification ;
informer, sans délai, l’Organisme de Certification des changements qui peuvent avoir des conséquences sur sa capacité à se conformer aux exigences de la certification ;
se conformer aux critères de certification et mettre en œuvre les changements nécessaires à l’occasion de leur mise à jour, notamment lorsque ceux-ci sont communiqués par l’Organisme de certification ;
prendre les dispositions nécessaires pour permettre la participation de la Cnil et du Cofrac à l’évaluation en tant qu’observateur ;
respecter les délais et les procédures applicables et notamment ceux découlant du schéma de certification ;
informer l’Organisme de Certification en cas de changements significatifs de sa situation légale ou de sa situation de fait, de changements significatifs des traitements de données dans le périmètre de la certification, de tout changement susceptible d’affecter la conformité aux critères de certification ou tout changement qui concerne des informations figurant sur la documentation de certification officielle ;
informer sans délai l’Organisme de Certification des manquements au RGPD ou à la loi Informatique et Libertés lorsqu’ils sont établis par la Cnil, ou par une autorité judiciaire, et qu’ils sont susceptibles de constituer une non-conformité aux critères de certification ;
autoriser l’Organisme de Certification à communiquer à la Cnil :
- les informations relatives à la délivrance et au retrait de la certification,
- sur demande de la Cnil, les informations relatives à la procédure de certification.

17. Responsabilité

L’Organisme de Certification ne saurait être tenu responsable des conséquences directes ou indirectes de l’usage de la certification par le Client.

La responsabilité de l’Organisme de certification est limitée à deux fois le montant facturés au titre de la certification.

Toute action en responsabilité à l’encontre de l’Organisme de certification est de 2 ans à compter de la dernière diligence effectuée par l’Organisme au titre de la prestation concernée.

L’action en paiement des factures est soumise à la prescription de droit commun.

18. Usage marque

Le Candidat certifié est autorisé, pendant la durée de validité de celle-ci, à faire mention de sa certification et à utiliser la dénomination correspondante, à titre informatif, conformément au règlement d’usage de la marque de garantie.

19. Force majeure

Dans un premier temps, les cas de force majeure suspendront l’exécution des présentes.

Si l’empêchement est définitif, les présentes sont résolues de plein droit et les parties sont libérées de leurs obligations dans les conditions prévues aux articles 1351 et 1351-1 du Code civil.

De façon expresse, sont considérés comme cas de force majeure ou cas fortuits ceux habituellement retenus par la jurisprudence des cours et tribunaux français.

20. Confidentialité

Les parties s’engagent à garantir la confidentialité des informations échangées dans le cadre de l’exécution des présentes, sauf obligation légale de divulgation.

Le Candidat s’engage à respecter les règles d’intégrité et de confidentialité des épreuves d’évaluation et à ne pas divulguer les sujets ou modalités d’examen à des tiers et signer l’accord de non divulgation.

21. Données personnelles

L’Organisme de certification traite des données à caractère personnel du Candidat à la certification et à la personne certifiée selon les modalités définies dans la politique de protection des données accessible à cette adresse : https://lexing-technologies.com/politique-de-protection-des-donnees/

22. Prix et paiement

22.1 Principes

Les prix sont définis en euros sur le site au moment de l’inscription.

22.2 Paiement

Les paiements seront effectués par virement ou par chèque.

La date de paiement est fixée à la date de réception de la facture.

22.3 Intérêts de retard

A défaut de paiement et en application de l’article 441-10 du Code de commerce, il sera appliqué des intérêts de retard de paiement calculés sur la base du taux d’intérêt de la Banque centrale européenne appliqué à son opération de refinancement la plus récente, majoré de 10 points de pourcentage.

En application de l’article D 441-5 du Code de commerce, le montant de l’indemnité forfaitaire pour frais de recouvrement prévue au douzième alinéa du I de l’article L 441-10 est fixé à 40 euros.

22.4 TVA

Les prix sont définis hors taxes. La TVA applicable est celle en vigueur au jour de l’émission de la facture.

23. Litiges et droit applicable

Les présentes sont régies par le droit français. En cas de litige, les parties s’efforceront de résoudre leur différend à l’amiable.

24. Sincérité

Les parties déclarent sincères les présents engagements. À ce titre, elles déclarent ne disposer d’aucun élément à leur connaissance qui, s’il avait été communiqué, aurait modifié le consentement de l’autre partie.

25. Titres

En cas de difficultés d’interprétation résultant d’une contradiction entre l’un quelconque des titres figurant en tête des clauses et l’une quelconque des clauses, les titres seront déclarés inexistants.

26. Nullité

Si une ou plusieurs stipulations des présentes sont tenues pour non valides ou déclarées comme telles en application d’une loi, d’un règlement ou à la suite d’une décision passée en force de chose jugée d’une juridiction compétente, les autres stipulations garderont toute leur force et leur portée.

27. Intégralité

Les présentes expriment l’intégralité des obligations des parties. Aucune condition générale ou spécifique figurant dans les documents envoyés ou remis par les parties ne pourra s’intégrer aux présentes.

28. Loi applicable

Les présentes sont régies par la loi française.

Il en est ainsi pour les règles de fond et les règles de forme et ce, nonobstant les lieux d’exécution des obligations substantielles ou accessoires.

Cookie	Durée	Description
cookielawinfo-checbox-analytics	11 mois	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 mois	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 mois	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 mois	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	180 jours	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.