Dans une étude réalisée par l’AFPA, le ministère du Travail dresse une photographie du métier de délégué à la protection des données (ou Data protection officer, DPO), en mettant en exergue les principales évolutions depuis 2019.
La fonction de délégué à la protection des données à caractère personnel est encadrée par les articles 37 à 39 du RGPD. Sa désignation, en principe optionnelle, devient obligatoire dans trois grandes hypothèses.
Cela concerne d’un, les traitements mis en œuvre par une autorité ou un organisme public, de deux, le suivi « régulier et systématique à grande échelle » des personnes physiques, et enfin la situation où un traitement à grande échelle concerne des données dites sensibles.
Sans surprise, l’entrée en application du RGPD a engendré l’arrivée d’une vague de « DPO », sachant que le règlement exige que ce délégué soit « désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions ».
Pour rappel, il doit être associé « à toutes les questions relatives à la protection des données à caractère personnel ». Il doit bénéficier à cette fin des ressources nécessaires pour exercer ces missions. Il ne reçoit aucune instruction concernant l'exercice des missions et est soumis au secret professionnel ou à une obligation de confidentialité.
Ses missions vont donc de l’information et du conseil du responsable du traitement (outre le sous-traitant et les employés), au contrôle du respect du règlement en passant par la coopération avec l’autorité de contrôle. Il est d’ailleurs le « point de contact » pour la CNIL et ses homologues européens. Bref, un rôle pivot au sein des structures concernées.
C’est dans ce contexte règlementaire, quatre ans après l’entrée en application du RGPD, une étude pour le ministère du Travail fait le point sur le métier de délégué à la protection des données. Elle a été réalisée auprès de 1 811 DPO, interrogés entre septembre et octobre 2021.
Elle est éditée par l’Agence pour la Formation Professionnelle des Adultes (AFPA), avec le soutien de la CNIL, de l’Association Française des Correspondants à la Protection des Données (AFCDP) et l’ISEP, école d’ingénieurs du numérique.
De plus en plus de DPO en France
Premier enseignement, le nombre de Délégués à la Protection des Données (DPO) désignés auprès de la CNIL est passé de 21 000 à près de 29 000 en 2021 (28 810, très exactement).
Dans cette photographie-métier, l’étude AFPA relève que 72 % des DPO travaillent en interne, même si les fonctions de plus de la moitié sont mutualisées entre plusieurs structures. 29 % sont en Île-de-France, « première région » dans la répartition géographique.
Sur la représentation des structures, ce sont surtout les petites (de 1 à 49 salariés) qui emploient davantage de DPO (+ 7 points pour les acteurs de 10 à 49 salariés par exemple). Pour les structures de 1 000 salariés ou plus, la baisse est de 12 points. L’étude ne donne que les évolutions, pas un bilan précis à un instant T.
« 47% sont issus d’autres domaines d’expertise que le domaine juridique et informatique » relève la synthèse remise au ministère de la Culture. La représentation femmes/hommes est à l’équilibre, et plus de 6 DPO sur 10 ont plus de 40 ans.
Un tiers n’a suivi aucune formation depuis 2016
Bonne nouvelle, « 69 % des DPO déclarent rencontrer peu ou pas de difficulté dans la compréhension du cadre RGPD et de sa traduction opérationnelle ». Relevons néanmoins que si 70 % ont suivi une formation de 1 à 5 jours sur le règlement depuis 2016, année de publication du règlement au Journal officiel de l’UE, 75 % expriment des besoins de formation et près d’un tiers n’a suivi aucune formation sur le règlement depuis 2016. C’est une hausse de 7 points depuis 2019, alors que ces acteurs sont de plus en plus issus « d’environnement hors Informatique et juridique ».
« Pour autant, ils restent nombreux à être peu ou pas formés, alors qu’ils proviennent de plus en plus plus d’environnement hors Informatique et juridique. Ils sont également de plus en plus nombreux à exercer cette fonction à temps partiel et de façon assez isolée par rapport aux autres DPO », relève l’étude AFPA.
Autre point à relever, 71 % des DPO exercent dans des structures où la présence d’un tel personnage est obligatoire. Sur un terrain plus subjectif, 58 % se disent « satisfaits de l’exercice de leur fonction ». Ils sont tout de même 37 % à estimer « que les causes fréquentes de tensions ou de conflits sont en lien avec les moyens dont ils disposent », quand 28 % considèrent que ces causes concernent l’accès aux informations, pourtant garanti par le règlement général sur la protection des données à caractère personnel.
Une mission utile, avec parfois des tensions
Ils sont la plupart convaincu de l’utilité de leur mission. C’est surtout vrai pour les DPO internes ou mutualisés qui consacrent plus de 70 % de leur temps à cette fonction (75 % de convaincus). Dans cette population, néanmoins, 26 % a connu des moments de tension interne ou de conflit personnel « entre leur rôle de DPO et leur perception des attentes de leur structure ».
Et ils sont seulement 8 % à ne jamais trouver leur fonction « stressante ». « 55 % ont une ancienneté dans la fonction de DPO de 2 ans et moins », souligne le ministère du Travail.
L’accompagnement de la CNIL
Dans son dernier rapport annuel, la CNIL indique que 81 393 organismes ont désigné un DPO. L’autorité note que « certaines plaintes reçues sont traitées plus rapidement « par un rappel de la règlementation applicable », et c’est le cas de plaintes « mettant en cause des organismes disposant d’un délégué à la protection des données ».
En 2021, la commission a élaboré un guide spécifique à destination des DPO. Un document de 56 pages qui rappelle les missions du DPO, outre ses moyens. Dans ses pages, l’autorité propose des liens vers plusieurs outils comme un modèle de registre simplifié, un outil « analyse d’impact » prêt à l’emploi et plusieurs packs de conformités, sans oublier son site Internet, en particulier sa page « DPO : par où commencer ? »
Commentaires (0)