La place accordée au DPO dans une organisation en dit souvent plus long que ses discours sur la transformation numérique. Associé trop tard, tenu à distance ou cantonné à un rôle de contrôle, il révèle des fragilités profondes dans la gouvernance des systèmes d’information.
À l’occasion de le journée de la protection des données avec Philippe Salaün, président de l’Association française des délégués à la protection des données personnelles.
De la conformité formelle à la gouvernance réelle
La protection des données reste souvent abordée sous l’angle de la conformité réglementaire, avec une focalisation sur le risque de sanction. Une lecture réductrice, selon Philippe Salaün. « Dans beaucoup d’organisations, on collecte de la donnée sans toujours savoir si le consentement a été correctement recueilli. Parfois, c’est de la bonne foi. Parfois, c’est structurel. »
Données issues de cookies, fichiers achetés à des intermédiaires, croisements de bases internes : la circulation de l’information dépasse largement le cadre des traitements officiellement déclarés. Or, lorsque ces projets se construisent sans le DPO, le risque n’est pas seulement juridique. Il est organisationnel. « Si on croise des fichiers sans en informer le DPO, on peut très vite rentrer dans des zones à risque, sans même s’en rendre compte. »
Le DPO n’est pas là pour dire non
Si le métier reste parfois mal perçu, c’est aussi en raison d’un malentendu persistant sur sa fonction. « Le DPO n’est pas là pour dire non par principe. S’il dit toujours non, au bout d’un moment, on l’évite », résume Philippe Salaün.
Le rôle consiste d’abord à chercher des solutions, à permettre aux projets d’aboutir sans exposer l’organisation à des risques majeurs. Cela suppose une posture de partenaire, pas de censeur. « On doit être un business partner. Apporter de l’aide, du conseil, et trouver comment faire, plutôt que d’expliquer pourquoi on ne peut pas faire. »
Cette posture n’exclut pas des lignes rouges. Certains traitements restent interdits, sans discussion possible. « Si quelqu’un me dit qu’il veut collecter des données raciales pour faire un traitement, la réponse sera non. » Mais ces cas limites ne doivent pas masquer l’essentiel : un DPO efficace est un acteur de la décision, pas un frein externe.
Données personnelles : un sujet éminemment politique
Données de santé, informations bancaires, état civil, orientation personnelle : leur exposition peut avoir des conséquences lourdes, parfois irréversibles. « On ne confie pas ses données, on les confie à une organisation en espérant qu’elle les protège. Ce n’est pas anodin. »
Dans les groupes internationaux, cette dimension devient encore plus sensible. Les cadres juridiques varient, les pratiques aussi. « Quand on est une filiale française d’un groupe étranger, il faut parfois porter une parole qui n’est pas la même que celle du siège. Et ce n’est pas toujours simple. » Là encore, la capacité du DPO à être entendu est révélatrice de la gouvernance réelle.
Cyberattaques : le DPO au cœur de la crise
La multiplication des cyberattaques a profondément renforcé la centralité du DPO. Lorsqu’une violation de données survient, tout converge vers lui. « Il faut réagir vite, mettre des mesures conservatoires, comprendre ce qui a été volé, notifier les autorités, informer les personnes concernées. »
Au-delà de l’obligation réglementaire, l’enjeu est celui de la confiance. « Une attaque, ça marque. Même si elle est bien gérée, elle reste associée à une marque. » La transparence, la préparation et la qualité des dispositifs existants font alors toute la différence.
Les autorités de contrôle examinent précisément ces éléments. « On regarde si l’entreprise avait mis en place des mesures suffisantes, si le DPO a été associé, si les traitements étaient encadrés. » La gouvernance de la donnée se mesure ici en situation réelle, loin des chartes et des discours.
Un rôle stratégique encore trop souvent sous-dimensionné
Positionnement hiérarchique, indépendance, moyens alloués : les conditions d’exercice du DPO restent très hétérogènes. « Il faut déjà le rattacher à un niveau suffisamment élevé pour qu’il soit écouté. »
Le manque de ressources est un autre signal faible mais révélateur. « Un DPO à 10 % de son temps, ce n’est pas une priorité. Il sera jugé sur autre chose. » Sans budget, sans équipe, sans accès direct à la direction, le rôle devient symbolique.
À l’inverse, lorsqu’un dirigeant entretient un lien régulier avec son DPO, lui ouvre sa porte et l’associe aux décisions structurantes, il envoie un message clair. « Le DPO n’est pas là pour embêter. Il est là pour alerter avant que ça devienne grave ».
