Avec son Observatoire trimestriel, l’AFCDP souhaite estimer l’évolution de la conformité des organisations, et évaluer la perception des DPO sur des sujets techniques et d’actualité.
Quel est le principal constat de ses 6000 membres ? Son enquête en ligne menée en septembre note que les DPO et les professionnels de la protection des données personnelles se montrent assez fatalistes.
A la question « Avez-vous confiance dans la protection des données privées au sein de vos organisations ? », ces spécialistes indiquent à une forte majorité (77 %) une réponse négative. Pour les DPO et professionnels de la protection des données personnelles, il y a encore du chemin à faire avant de considérer leurs organisations comme conformes au RGPD et aux autres mesures de protection. Mais d’un autre côté, beaucoup d’entre eux se sentent écoutés et utiles.
Un travail mieux reconnu
À noter que la part des répondants jugeant que les réglementations changeantes (chute du Privacy Shield, Cookies Wall, etc.) perturbent les stratégies de protection des données personnelles mises en place a quelque peu baissé également, atteignant les 17 % (versus 22 % au 1er trimestre 2022).L’association note cependant une raison d’être optimiste avec une nette augmentation en un an du sentiment positif des DPO/DPD. Il laisserait entendre que leurs organisations protègent mieux les données personnelles et que leur travail est mieux reconnu. Concernant les personnes avec lesquelles ils collaborent, la majorité des répondants (90 %) cite logiquement en premier lieu le RSSI ou l’équipe DevOps de leur organisation (interne ou externe). « L’AFCDP est par ailleurs ravie de constater que les DPD/DPO et professionnel(le)s de la protection des données personnelles, interagissent avec de plus en plus de fonctions au sein de leur organisation, tant des fonctions terrains que la direction générale (plus de la moitié des répondants, soit 58 %) », lit-on dans ce rapport.
Sentiment d’attente
« Si aucun rôle spécifique n’est formellement confié au DPO ou à tout autre acteur interne de l’organisation, un travail commun s’impose entre DPO, RSSI et DevOps pour sécuriser l’accès aux données et protéger les systèmes. De même, une collaboration entre DPO et CDO sera incontournable pour mettre en place une bonne gouvernance des données mixtes, dont le délégué pourrait bien devenir, dans les mois à venir, le DPO » commente Paul-Olivier Gibert, Président de l’AFCDP.Par contre, de nombreux répondants n’expriment pas d’avis sur le paquet législatif européen (graphique ci-dessous à propos de cet item). Selon l’association, ce constat est assez « remarquable et témoigne d’un certain sentiment d’attente des professionnel(le)s de la protection des données personnelles, DPD/DPO face à ces textes réglementaires en cours de finalisation ». Seuls 18 % des répondants ont un avis positif sur la question quand 46 % estiment que ces textes rendront la gouvernance des données plus compliquée, et notamment la mise en conformité.
« DMA et DSA (Digital Market Act et Digital Services Act) forment deux nouveaux textes européens non focalisés sur les données à caractère personnel. Leurs implications sont fortes en particulier pour le DPO et le professionnel de la publicité en ligne, avec de nouveaux flux de données à encadrer, les organismes émetteurs et récepteurs de données devant s’assurer de leur conformité », précise l’association.
« Le DGA et le DA sont deux règlements qui s’appliqueront sans préjudice du règlement RGPD et de la directive ePrivacy, y compris lorsque les données à caractère personnel et non personnel forment un ensemble inextricable. En cas de conflit ou de contradiction entre le DGA, le RGPD et l’e-Privacy, ces deux derniers prévaudront et il est fort probable qu’il en soit de même pour le Data Act » analyse Paul-Olivier Gibert.
« L’AFCDP a étudié de façon approfondie cette question, et poursuit ces analyses, afin d’accompagner les DPO/DPD et professionnel(le)s de la protection des données dans leur anticipation des enjeux liés à ces nouveaux règlements », poursuit l’association.