Accueil Emploi Délégué à la protection des données : son portrait type

Délégué à la protection des données : son portrait type

Quels sont le parcours professionnel, les compétences et l’activité en entreprise du Délégué à la protection des données (DPO), chargé de faire respecter le RGPD ? Une enquête en ligne réalisée en mars et avril derniers fait le point.

Réalisée à la demande du ministère du travail par l’Agence pour la Formation Professionnelle des Adultes (AFPA) et l’Association Française des Correspondants à la Protection des Données (AFCDP), l’enquête a interrogé 1 265 DPO, internes ou externes à l’entreprise, désignés auprès de la CNIL. Son objectif est de mieux comprendre les conditions d’exercice, les formes d’emploi ou d’activité, les parcours ou compétences détenues ou attendues pour l’exercice du métier.

Son profil  : un cadre de plus de 40 ans, venant du domaine informatique ou juridique

Le DPO est une femme ou un homme (2/3 d’hommes parmi les DPO externes) de plus de 40 ans, cadre ou cadre supérieur. De formation supérieure, il exerce sa fonction en CDI dans une entreprise ou une administration comme DPO interne ou mutualisé et dans un cabinet conseil pour le DPO externe. 9,4% appartiennent à la CSP « employé » et 8 % sont en CDD. 

Il a un essentiellement un parcours professionnel dans le domaine de l’informatique ou du juridique. Les DPO se répartissent à part quasiment égale dans les deux domaines pour 65 % des effectifs, avec un léger avantage à l’expertise informatique (34 % contre 31,1 %). Contrairement à ce que l’on pourrait penser, il n’a pas été Correspondant Informatique et Liberté (CIL). Il a moins de 2 ans d’expérience dans le domaine Informatique et Libertés (pour 51,3 % et pour 1/4 il est novice, avec moins d’1 an d’expérience). Seuls 10,4% ont plus de 10 ans d’expérience dans le domaine de l’informatique et des libertés. Près de 72 % des DPO disent avoir suivi une formation… mais que celle-ci n’a été que de un à cinq jours.

Sa hiérarchie : rattaché à la DG et travaillant pour plusieurs services

Rattaché à la direction générale, avec un positionnement hiérarchique de N-1 par rapport au responsable de traitement (11,7% sont à une distance hiérarchique de N-4 et plus du responsable de traitement), il exerce ses missions de DPO à temps partiel. En complément il travaille pour la direction informatique, juridique ou la direction conformité-risque-qualité. Il n’a pas d’équipe ni de budget dédié – seuls 39,7 % en disposent (ce qui ne signifie pas automatiquement qu’ils ne disposent pas des moyens nécessaires).

Compétences et responsabilités : cartographie des traitements et établissement du registre associé 

Il estime avoir une bonne maîtrise du cadre de mise en conformité – seuls quelques points mineurs lui échappent encore (66,4 %). Il faut donc noter tout de même que 33,6 % des DPO avouent ne pas maîtriser le sujet (« Plusieurs concepts importants m’échappent encore » et « Je suis encore très loin de maîtriser tous ces textes »).
Sa charge de travail est forte (et d’ailleurs 40% des DPO estiment que la fonction est stressante) et l’amène à adapter souvent son agenda. Dans le cadre de ses missions il doit gérer des contrats de sous-traitance et des contrats de co-responsabilité.
Depuis sa prise de fonction, ses principales missions sont la cartographie des traitements et l’établissement du registre associé (respectivement pour 23,4 % et 14,2 %), la sensibilisation du responsable de traitement et des directions ainsi que la mise en conformité des traitements existants.

1/3 des DPO gère les données personnelles de moins de 10 000 personnes, mais il existe une différence entre les typologies de DPO : les DPO externes sont sur-représentés sur la tranche de moins de 10 000 personnes dont il faut gérer les données personnelles, les internes mutualisés sont majoritairement sur la tranche de 10 000 à 1 million.
Plus de 8 % des DPO internes estiment que le nombre de personnes concernées à gérer dans le cadre de leurs missions est supérieur à 10 millions contre 5,1 % pour les DPO mutualisés et 1,7 % pour les DPO externes.
Le DPO évalue différemment le niveau de compétences requis pour mener à bien ses différentes missions, selon son domaine d’expertise professionnelle d’origine

Influence : des recommandations majoritairement suivies 

59 % des DPO estiment que leurs recommandations sont toujours ou souvent écoutées et suivies par le responsable de traitement (ce score monte à plus de 76 % pour les DPO externes). 40,3 % des DPO disent être « systématiquement » ou « très souvent » consultés en amont des projets (donc, à l’inverse…). Enfin, les ¾ sont satisfaits de leur fonction  et recommanderaient « sans hésiter » ou « probablement » leur métier à un jeune.

Perception des DPO de l’importance accordée par leur responsable de traitement aux divers enjeux liés à la protection des données personnelles

Les premiers résultats de cette étude ont été dévoilés le 26 juin dernier à l’occasion de la conférence « Vive le DPO ! » organisée par l’AFCDP .