L'Association française des correspondants à la protection des données à caractère personnel (AFCDP) prend régulièrement le pouls des DPO sur leur perception des entreprises à respecter les nombreuses directives et règlements européens dans ce domaine. Le baromètre trimestriel comprend un triple volet, jauger la conformité des organisations, aborder les sujets techniques et l’actualité. Avec la pléthore de textes législatifs européens, les DPO ont de quoi s’occuper. Pour cela, ils doivent faire preuve de pédagogie et de capacités relationnelles pour échanger avec les métiers.
Globalement, les répondants sont majoritairement répartis entre ceux qui sont satisfaits de leur stratégie (41 %) et ceux qui considèrent qu’il reste beaucoup à faire (36 %). Le récent sondage de l’AFCDP montre un résultat stable avec le précédent baromètre et témoigne d’une nette différence entre les organisations déjà conformes et celles encore en retrait.
A noter, un répondant sur cinq pense que l'instabilité réglementaire rend difficile la mise en œuvre d'une stratégie efficace sur la protection des données. Un frein probable à l’amélioration continue de l’action des DPO. Cependant, la confiance des organisations dans leur capacité à protéger les données s'améliore tout de même avec le temps. On remarque une croissance plus rapide de la confiance, ce qui incite à poursuivre les efforts.
« Les organisations moins avancées continuent de ressentir un besoin important d'améliorations de leur stratégie de protection des données personnelles, et les évolutions règlementaires à venir, notamment NIS2 ou l’IA Act en 2025, mais aussi DORA » commente Paul-Olivier Gibert, Président de l’AFCDP.
Les avis mitigés des DPO sur le Data Privacy Framework (DPF)
Une minorité (10 %) des répondants considère que le Data Privacy Framework (DPF) apporte une solution pleinement satisfaisante, ce qui démontre une adoption limitée ou un niveau de confiance réduit dans cette solution. ll s’agit du nouveau système d'échange de données entre les États-Unis et l'Europe qui succède au Privacy Shield. La plus grande proportion des répondants (36 %) estime que le Data Privacy Framework est une solution partielle mais incomplète, considérant qu’il reste des lacunes dans le cadre ou des besoins supplémentaires pour répondre pleinement aux exigences organisationnelles. Une part importante des répondants (22 %) jugent que cette solution n'est pas adaptée à leur organisation. A noter que près d’un tiers (32 %) des répondants n’a pasd’avis sur la question.
Le DPF ne semble pas encore convaincre pleinement les DPO interrogés. Une majorité des répondants, soit 58 % d’entre eux, jugent la solution incomplète ou non adaptée. Selon l’AFCDP, des améliorations sont nécessaires pour renforcer la sécurité et la conformité des transferts de données transatlantiques. « Les attentes des DPO restent insatisfaites à ce stade face à cette solution partielle » rappelle Paul-Olivier Gibert.
L’application encore embryonnaire de la directive NIS 2
Face aux risques accrus en matière de sécurité, ce texte incite fortement les organisations à renforcer leurs défenses. Seulement 13 % des DPO déclarent être déjà prêts à appliquer la loi de transposition de la directive NIS 2. Cela montre que de sérieux progrès doivent être faits pour se mettre en conformité, mais aussi un défaut d’information claire sur le cadre, les exigences et les échéances. Une part significative (31 %) des répondants a commencé à se préparer. Un tiers des répondants reconnaissent ne pas avoir pris de mesures concrètes, mais ils comptent le faire. Quant à 23 % des interrogés, ils n'ont pas d'avis ou de visibilité sur cet enjeu réglementaire important.Pour accélérer la mise en conformité, les adhérents de l’AFCD doivent mettre en place des outils, des formations et des audits pour aider leurs organisations à se mettre en conformité dans les délais. Mais selon Paul-Olivier Gibert, il reste encore des freins à dépasser, telle la méconnaissance des procédures, le coût des actions
ou le manque de moyens.
