En Europe, le RGPD a été un tournant majeur, jouant le rôle d’accélérateur et de catalyseur du développement et de la reconnaissance du métier de DPO (Data Protection Officer) ou DPD (Délégué à la Protection des Données). En imposant aux organismes publics et à certaines entreprises privées (notamment celles traitant des données sensibles ou effectuant un suivi régulier et systématique à grande échelle) de désigner un DPO, la règlementation a subitement stimulé la demande pour ce métier.
L’étude sur le métier de Délégué à la Protection des Données (DPD/DPO) réalisée en 2024 par le ministère du Travail, avec le soutien de la CNIL et de l’AFCDP, montre une augmentation substantielle du nombre de DPO. Cette quatrième édition de l’observatoire, menée par la direction prospective de l’AFPA, a recueilli les réponses de 3 625 délégués désignés auprès de la CNIL entre janvier et février 2024, peu après le 6e anniversaire de l’entrée en application du RGPD.
Le nombre de DPO a explosé en six ans
Ainsi, le nombre de DPO en exercice est passé de 21 000 en 2019 à 34 440 au début de 2024. Cette croissance s’accompagne d’une présence accrue de DPD/DPO dans les petites et moyennes structures, avec 54 % d’entre eux exerçant dans des entreprises de moins de 250 salariés, contre 38 % en 2019.Cette tendance est à mettre en corrélation avec l’évolution règlementaire, bien entendu, mais avec la démocratisation des solutions applicatives et des services nécessitant la gestion des risques liés à la protection des données, la gestion de la confidentialité et la promotion d’une culture de la protection des données au sein des organisations.
Ces tendances contribuent non seulement à l’augmentation du nombre de DPO, mais aussi à l’évolution du métier vers une dimension aussi stratégique que technique. Cela est le résultat d’une conjonction de facteurs liés à la complexité croissante des enjeux de protection des données, à la reconnaissance de l’importance de la conformité règlementaire et à la transformation des données en un actif stratégique pour les organisations.
Les DPO sont à présent impliqués dans les décisions stratégiques concernant la gouvernance des données. Ils conseillent la direction sur les implications des traitements de données et participent à l’élaboration de politiques de protection des données.
L’informatique et le juridique ne sont plus les seuls pourvoyeurs
L’étude met en lumière une autre évolution des profils des DPD/DPO : la prédominance de professionnels issus de domaines d’expertise autres que l’informatique et le juridique. En 2024, un peu plus de la moitié des DPD/DPO (51 %) appartient à des domaines autres, contre 39 % en 2019. Tandis que les informaticiens ne représentent plus que 34 % et les juristes 31 % des professionnels de la protection des données.Qui plus est, le métier attire les hommes et les femmes avec une égale représentation des deux sexes et une répartition territoriale qui reflète la démocratisation citée plus haut : 70 % exercent en dehors de l’Île-de-France ; 60 % sont issus d’une formation supérieure de niveau 7 ou 8 ; 69 % sont âgés de 40 ans et plus, et 85 % exercent à temps partiel en plus d’une autre fonction. Ces données sur les cursus montrent l’hétérogénéité des parcours menant au métier de DPD. Du fait de la nouveauté du métier et de l’explosion subite de la demande, la formation ne permet pas de fournir des professionnels dûment formés aux exigences du métier.
Ils évaluent positivement l’exercice de leur fonction
Quant à leur perception, les DPD/DPO évaluent positivement l’exercice de leur fonction, avec 72 % estimant que leurs recommandations sont écoutées et suivies, 91 % convaincus de l’utilité sociale de leur métier, et 54 % satisfaits de leur fonction. Cependant, une perception contrastée des enjeux du RGPD est relevée, notamment chez les DPD/DPO exerçant dans des structures plus petites et provenant de domaines non juridiques ou informatiques.D’après le rapport, « Le développement des DPD/DPO au sein de plus petites structures, souvent associé à des moyens plus limités et à des profils hors juridique et informatique, pourrait conduire une partie des DPD/DPO à moins bien percevoir les enjeux de leurs missions, les moyens à y associer et les attentes en termes de résultats ». En clair, la représentation que peuvent avoir ces professionnels — en transition — de leur nouveau métier peut être imparfaite ou approximative.
Si elle coïncide avec un manque de moyens et de compréhension des exigences de la conformité, « Cela pourrait constituer une zone de fragilité pour les organisations », prévient le rapport. Car, outre les compétences juridiques et techniques, les DPO doivent posséder des compétences en sécurité informatique, en gestion de projet, en communication et en éthique des données.
