Une étude sur les DPO, menée par l’AFPA, montre une diversification des profils, une meilleure identification et positionnement de la fonction dans l’organisation, mais 63 % des délégués à la protection des données n’ont pas de budget et 75 % pas d’équipe.
Cette étude réalisée avec la participation de la CNIL et de l’AFCDP, fait suite à une première édition menée en 2019, sur la base d’un questionnaire soumis aux adhérents de l’AFCDP. Cette année, le questionnaire a été proposé à tous les DPD/DPO enregistrés auprès de la CNIL, soit 1 660, qu’ils soient internes, internes mutualisés ou externes). DE fait, elle est l’étude la plus représentative sur la communauté des délégués à la protection des données.
L’enquête constate d’abord que les profils des DPO se diversifient. En effet, si les domaines juridiques et informatiques restent prépondérants, les champs d’expertise professionnelle d’origine se diversifient. « Les profils issus des domaines de l’administratif, la finance, la comptabilité et la qualité/conformité/audit, se développent« , indique les rapport. Les femmes représentent 49 % des DPO, les hommes 51 %.
Quels moyens fournis aux DPO ?
43 % des DPO consacrent moins d’un quart de leur temps de travail à leur mission, un tiers seulement ont un budget en 2020 (ou peuvent bénéficier facilement des budgets d’autres services). La moitié des délégués dispose d’une lettre de mission, et près d’un tiers estiment que leur fonction n’est pas clairement définie. Toutefois, 3/4 des structures ont communiqué autour de la désignation du DPD/DPO et 60 % des délégués ont pu suivre une préparation préalablement à leur prise de fonction. 31 % des DPO bénéficient d’un réseau de référents Informatique et Libertés, et parmi ceux qui bénéficient d’un budget – 63 % n’en ont pas – , celui-ci dépasse 100 000 € annuel (HT) dans 10 % des cas.
Globalement la prise en compte des enjeux par les responsables de traitement progresse depuis 2019, plus particulièrement pour les enjeux de confiance numérique (+ 15 points sur la part de « Très important » à « Crucial ») et sur les enjeux de cybersécurité (+10 points sur la part de « Très important » à « Crucial »). D’ailleurs, les trois quarts des DPD/DPO internes et mutualisés estiment que leur direction a plutôt bien ou tout à fait compris le rôle, les missions et les prérogatives du DPO, en forte progression par rapport à 2019 où les DPO étaient seulement un peu plus de la moitié à exprimer cette perception. Et près de 7 répondants sur 10 estiment que leurs recommandations sont très souvent ou systématiquement écoutées et régulièrement suivies (en progression par rapport à 2019 où ils étaient 6 sur 10).
Vécu professionnel : intérêt et complexité de la fonction
L’étude 2020 a approfondi la manière dont les DPO perçoivent leur mission : 93 % d’entre eux sont convaincus de l’utilité de leur fonction pour leur structure, comme de l’utilité sociale de la protection des données personnelles.
Mais les DPO avouent vivre des situations compliquées, d’autant que 75 % n’ont pas
d’équipe pour les épauler : le manque de moyens est la première des causes citées (40 %) avant la difficulté d’accès aux informations (28 %). 20 % se disent en difficulté au regard de leur conception éthique et des pratiques de leur structure et 18 % des délégués se sentent en difficulté ou en conflit avec les demandes ou pratiques du responsable de traitement.
Au final, la fonction de délégué à la protection des données est vécue comme plutôt stressante (60 %), mais motivante : 65 % des DPD/DPO s’estiment satisfaits de leur fonction, et 70 % se sentent soutenus dans leur mission par leur hiérarchie.
L’enjeu des compétences et de la formation
La compréhension du cadre légal et de l’environnement du règlement général sur la protection des données (RGPD) sont toujours un enjeu pour les DPO : si 56 % des répondants estiment avoir un bon niveau de compréhension, ils sont toujours 44 % à rencontrer des difficultés, et 22 % estiment être encore très loin de maîtriser le cadre légal et l’environnement RGPD.
Ce qui justifie les attentes en termes de formation : si 70 % des DPO ont suivi une formation, parmi eux, 7 sur 10 n’ont suivi qu’une formation de 1 à 5 jours, ce qui peut expliquer les difficultés qui perdurent dans la compréhension du cadre légal et de l’environnement du RGPD, mais aussi une nette volonté de compléter leur formation et développer leurs compétences. Les besoins de formation portent en priorité sur la sécurité informatique (chiffrement, authentification forte, traçabilité…) pour 46 %, la réalisation des premières analyses d’impacts pour 42 %, la connaissance des systèmes d’information (base de données, Cloud, cookies, machine learning, API, etc.) pour 40 %, et la formation complète au métier de DPO pour 33 %.
Pour ce qui est de la certification, sur la base du référentiel de la CNIL, 16 % des DPO sont certifiés, et 29 % envisagent de se certifier dans l’avenir.
Enfin, les DPO estiment que certains métiers au sein de leur structure auraient besoin d’être formés (formation socle) au RGPD : cela concerne surtout les ressources humaines (65 %), la DSI et le RSSI (41 %), le marketing (35 %), les services généraux (28 %), les Data analysts (21 %) et les chefs de produit (14 %).
Les DPO consacrent en moyenne…
- 18 % de leur temps à cartographier et établir le registre des
traitements - Près de 11 % à mettre en conformité les traitements existants
- Près de 10 % à sensibiliser et former le responsable de
traitement, les directions et les salariés - 9 % à assurer la conformité des nouveaux traitements
