Cinq ans après la mise en œuvre du RGPD, l’association constate une baisse significative du nombre de DPO qui considèrent qu’il y a encore du chemin à faire avant de considérer que les données de leur organisation sont bien protégées (37 % vs 53 % en mai 2023).
Autre point positif : le nombre de répondants (274) ayant le sentiment d’avoir une stratégie de protection des données qui s’adapte, et se sentant écoutés, reste stable (37 % vs 35 % en mai 2023).
Une meilleure protection
Toutefois, les réglementations changeantes (DMA, DSA, DA, Privacy Shield/DPF, Cookies Wall, etc.) semblent plus perturber les stratégies de protection des données personnelles mises en place, pour 20 % des DPO répondants (vs 10 % des répondants en mai 2023).“Il est manifeste que la série de mesures, règlements et lois actuellement en cours pour assurer une meilleure protection des données personnelles aux Français et aux Européens va chambouler les stratégies mises en place dans nos organisations. Et, les DPO sont en première ligne et anticipent déjà les évolutions à bientôt mettre en place.”, commente Paul-Olivier Gibert, Président de l’AFCDP.
C’est le cas notamment du Data Privacy Framework (DPF). Succédant au Privacy Shield, le nouveau système d'échange de données entre les États-Unis et l'Europe, a officiellement été signé le 10 juillet dernier par la Commission Européenne qui y travaillait avec les
États-Unis depuis 2022.
Les DPO ont accueilli le DPF avec soulagement après les mois d’incertitude, mais il est évident au vu des chiffres de ce dernier Baromètre que très majoritairement, l’accord ne fait pas l'unanimité.
RSE : casser les silos
La moitié considèrent que l’accord actuel ne résout pas le problème et un tiers le considère comme fragile. D’où un appel pour la mise en œuvre d’un cadre stable pour réguler les transferts de données avec les États-Unis depuis la chute du Privacy Shield.L’AFCDP rappelle que contrairement aux autres accords d’adéquation adoptés à l’égard d’États non européens, le DPF ne garantit pas la conformité globale des traitements effectués aux États-Unis : il ne concerne que les entreprises, et uniquement celles qui s’engagent dans la procédure d’auto-certification.
Concernant la fonction RSE (Responsabilité Sociétale des Entreprises), 58 % des répondants estiment bénéfique pour une entreprise de faciliter la communication et la collaboration entre ces deux domaines pour garantir une gestion responsable et conforme des données personnelles dans le cadre des initiatives RSE.
L’association constate que les DPO sont enclins à casser les silos avec les départements RSE pour consolider l’ambition d’une entreprise responsable.
“L'intégration de la protection des données personnelles dans les initiatives RSE peut être considérée comme une pratique responsable et éthique. Il est important de s’assurer que ces données sont traitées conformément aux réglementations de protection des données et que la vie privée des individus est respectée”, rappelle Paul-Olivier Gibert.