Accueil Confidentialité des données DPO et IA : une profession qui revendique sa place dans la...

DPO et IA : une profession qui revendique sa place dans la gouvernance du règlement IA

Le ministère du Travail, l’AFCDP et la CNIL publient les résultats de la cinquième édition de l’Observatoire du métier de DPO. Menée par l’Afpa, cette enquête dessine les contours d’une fonction qui revendique, avec insistance, une place dans la gouvernance de l’intelligence artificielle.

Une majorité de délégués à la protection des données réclame un élargissement de leurs attributions au règlement IA, alors même que le texte ne les mentionne pas et que leur niveau de maîtrise du sujet reste encore fragile.

Depuis 2018, la Délégation générale à l’emploi et la formation professionnelle et la CNIL suivent, aux côtés de l’AFCDP, l’évolution du métier de DPO et les enjeux de compétences liés au RGPD. Cette nouvelle livraison de l’Observatoire se penche spécifiquement sur les effets de l’intelligence artificielle et de son règlement sur la fonction, à travers les témoignages recueillis directement auprès des DPO.

Le règlement IA, une extension de périmètre revendiquée malgré les lacunes

Le règlement IA ne cite pas le DPO parmi les acteurs de sa gouvernance, ce qui laisse en théorie son rôle facultatif dans les organisations. Dans les faits, l’enquête montre l’inverse.

« 55 % des DPO déclarent qu’ils ont déjà le RIA dans leur périmètre de responsabilité. »

Un chiffre que l’étude complète par une attente encore plus nette du côté de la profession :

« 71 % souhaitent un élargissement du périmètre de la fonction à la conformité au RIA. »

Cette appétence contraste avec le niveau de préparation réel de la profession. Seuls 27 % des DPO estiment bien connaître le règlement IA, et 85 % n’ont suivi aucune formation spécifique sur l’intelligence artificielle à ce jour. Si les DPO disposent des réflexes et des outils nécessaires pour traiter les aspects RGPD des systèmes d’IA, l’étude souligne qu’ils manquent encore de méthodes dédiées pour aborder les exigences propres au RIA.

Des usages d’IA en hausse, une gouvernance encore balbutiante

Cette revendication s’appuie sur une réalité déjà bien installée dans les organisations. Sept organismes répondants sur dix déclarent utiliser ou envisager d’utiliser l’intelligence artificielle, avec une nette préférence pour les systèmes génératifs, cités par plus de huit organismes sur dix parmi les utilisateurs. Deux tiers d’entre eux achètent leurs solutions auprès de fournisseurs externes, contre un peu plus d’un cinquième qui développe ses outils en interne. Cette adoption progresse d’autant plus vite que la structure est grande.

Face à cette dynamique, l’encadrement interne peine à suivre. Moins d’un quart des organisations disposent d’une politique ou d’une stratégie formalisée sur l’IA, et moins d’un tiers ont mis en place une charte d’usage ou des actions de sensibilisation auprès des salariés. Un peu moins d’un tiers des organismes a entamé sa préparation à l’entrée en application du règlement IA. Les DPO, eux, restent associés au dossier : plus de la moitié d’entre eux indiquent être sollicités souvent, voire systématiquement, sur les projets impliquant de l’intelligence artificielle, notamment parce que ces systèmes traitent le plus souvent des données personnelles.

Les répondants n’ignorent pas l’ampleur du chantier : l’essor de l’IA appelle selon eux de nouvelles compétences et complexifie leur rôle, tout en ouvrant une perspective d’évolution professionnelle. La CNIL indique de son côté vouloir poursuivre son accompagnement des DPO, en développant des outils et ressources pour faciliter l’application du RGPD aux systèmes d’IA et soutenir la prise en main du règlement IA.

L’étude confirme par ailleurs la physionomie déjà connue de la profession. Près de huit DPO sur dix exercent en interne, plus de la moitié viennent d’horizons autres que le juridique ou l’informatique, et la fonction reste très largement exercée à temps partiel au sein des structures internes ou mutualisées. Une expérience solide s’est toutefois installée, puisque près de la moitié des répondants cumulent plus de six années dans la protection des données.