Les contraintes ne manquent pas pour les DPO (Délégué à la protection des données) : forte charge de travail, manque de moyens, insuffisance de soutien ou d’écoute, tensions avec certaines directions métier ou même avec le responsable de traitement des données. Une étude très complète de l’AFCDP documente cette situation préoccupante.

La lecture de l’enquête de l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) est fort instructive. Elle explique notamment que de nombreux DPD/DPO sont en difficulté dans leur activité, voire à la limite du burnout. Au point que l’AFCDP propose à ses membres un service d’assistance psychologique par téléphone. Ce constat se rapproche de nombreuses études concernant le stress important des RSSI que nous avons mentionné dans cet article.

Le rôle du DPO est de mettre en œuvre au sein des entreprises et organisations la conformité au RGPD (règlement européen sur la protection des données) ce qui peut générer des conflits frontaux avec la direction et les métiers. L’AFCDP résume ainsi l’équilibre délicat auquel font face les délégués à la protection des données : « Le DPO n’est ni un paillasson ni un ennemi ». Dans l’étude, de nombreux cas représentatifs de leurs difficultés illustrent une situation plutôt tendue et conflictuelle. Stagiaires exploités, confrontation avec le DGS (délégué général des services), mise en quarantaine voire falsification des rapports du DPO par la direction. Le « Privacy by design » signifie que la protection de la vie privée se fait dès la mise en place d’un processus de création des données jusqu’à leur publication. Il est lui aussi mis en cause par certains responsables dans les entreprises, accusé de ralentir les opérations. De plus, l’AFCDP observe fréquemment une absence de dialogue entre le DPO et le Responsable de traitement, les DPO ne pouvant juger que rétrospectivement si la conception d'un projet était conforme au RGPD.

« L’important, c’est de ne pas faire de vague »

Le texte européen sur la protection des données personnelles n’est pas toujours du goût des directions qui y voient un frein à l’activité commerciale. Cela dit l’étude de l’AFCD pointe du doigt une situation très tendue mais se garde aussi de généraliser ses observations. L’Association précise ainsi qu’il existe des conflits habituels au sein des entreprises et les causes de friction ne manquent jamais dans le milieu professionnel, personne ne pouvant être du même avis en permanence. Cependant, les situations décrites dans l’enquête par plusieurs témoins sortent du cadre normal des relations en entreprise.

L’étude n’exonère pas les délégués à la protection des données de toute responsabilité. Certains d’entre eux peuvent se montrer trop cassants, maximalistes et peu diplomates. Surtout s’ils n’ont pas compris ou acceptent mal qu’il appartient au responsable de traitement de prendre les décisions finales, une répartition des rôles qui figure dans le règlement RGPD.

L’association AFCDP est préoccupée par le fait que des délégués soient licenciés ou poussés au départ car leurs actions ont déplu ou bousculé quelques mauvaises habitudes, alors même que les DPO en cause se sont pleinement investis pour réduire leur risque juridique. Et de rappeler une règle essentielle : « la conformité au RGPD et à la loi Informatique et Libertés n’est pas obtenue par la grâce de la seule présence du DPO et le travail du DPO ne se limite pas à « mettre un coup de tampon ».