Il y a 18 mois, le RGPD entrait en application. Afin de mieux comprendre leur rôle, leur positionnement dans l’entreprise, les moyens associés à l’exercice de la fonction, le ministère du travail avec l'appui de l'Afpa en partenariat avec l'AFCDP et la CNIL, ont lancé en mars dernier une enquête* sur les data protection officers (DPO). Les résultats ont été dévoilés jeudi dernier.
En fonction des résultats majoritaires livrés par les répondants, le profil-type du DPO a pu être dressé. On apprend ainsi que le DPO est âgé de plus de 40 ans et qu’il exerce sa fonction en CDI à temps partiel (c’est le cas pour 70 % des interrogés). 49 % des DPO sont par ailleurs rattachés à la direction générale ou au secrétariat général, 16 % à la direction informatique et seulement 13 % à la direction juridique.
Concernant son cursus, le DPO a une formation supérieure bac +5 et dispose de moins de 2 ans d’expérience dans le domaine de la protection des données. Lenquête souligne que pour 53 % des DPO, « quelques points mineurs du cadre légal leur échappent encore » et près de ¼ des DPO avouent ne pas maîtriser « plusieurs concepts importants ». Seulement 13.4 % des répondants estiment maîtriser parfaitement le cadre légal et l’environnement RGPD.
Des besoins en formation qui se confirment dans les faits, alors que 33 % des DPO désignés auprès de la CNIL possédant moins d’un an d’expérience déclarent n’avoir suivi aucune formation en lien avec la fonction de DPO au cours des 5 dernières années.
Sur ce point, l’AFCDP conseille aux dirigeants à la recherche d’un DPO externe, « au-delà du diplôme ou de la certification, d’exiger des références et de prendre contact avec elles ».
Concernant l’exercice de la fonction, les DPO semblent manquer de ressources - tant humaines que financières :
- 3 DPO sur 4 travaillent seuls,
- 21 % disposent d’une équipe de 1 à 3 personnes pour les épauler,
- 40 % des DPO ont un budget pour la mise en œuvre de leurs missions,
- 42 % déclarent ne pas en avoir et pensent ne pas en bénéficier l’année prochaine.
Pour autant, 8 DPO sur 10 estiment avoir une charge de travail « de forte à très forte », ce qui les oblige à modifier régulièrement ou très souvent leur planning. Pour l’ensemble des DPO, les 3 principales activités en termes de temps passé sont :
- cartographier les traitements et établir le registre (23 %),
- sensibiliser et former le responsable de traitement, la direction et les salariés (14 %),
- mettre en conformité les traitements existants (14 %).
Enfin, l’étude pointe la « trop grande fréquence des situations stressantes ou des tentatives d’atteinte à l’indépendance des DPO ». Elle révèle notamment que plus de la moitié des DPO sont exposés à des situations de tension interne ou de conflit personnel entre leur rôle de DPO et les attentes perçues de l’organisation.
*L’enquête a été menée auprès de 1265 personnes : DPO internes (859), internes mutualisés par des responsables de traitement (196) ou externes déclarés auprès de la CNIL (210).