Le SNCD, organisation professionnelle représentative de la Data Marketing industrie, a réalisé une enquête en février 2020 en interrogeant une base de 21 000 DPO déclarés à la CNIL. Objectif : découvrir la perception qu'ils ont de leur fonction.
Le Règlement général sur la protection des données (RGPD) a donné naissance à un nouveau métier : le DPO ou Data protection officer (Délégué à la protection des données).
Pour garantir l’effectivité de ses missions, le délégué :
- doit disposer de qualités professionnelles et de connaissances spécifiques ;
- doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions.
Mais à l’approche des trois ans du RGPD (exécutoire depuis mai 2018), comment les DPO voient-ils leurs missions ? Quelque 500 d’entre eux ont donné au moins une réponse au questionnaire du SNCD et presque que 400 (379 pour être précis) ont répondu à tous les items.
Commençons par son portrait physique. Premièrement, il y a presque une parité puisque 52 % sont des hommes. Les délégués à la protection des données ont plus de 35 ans.
Logiquement, les trois compétences essentielles relèvent du juridique, du technique et du relationnel. De façon un peu surprenante, l’aspect technique arrive en troisième position. Pourtant, la mise en conformité avec le RGPD repose notamment sur des mesures de cybersécurité.
Selon une étude réalisée par l'institut indépendant Sapio Research dans trois pays (France, Allemagne et Royaume-Uni), presque toutes les entreprises opérant sur les marchés européens ont désormais nommé des Délégués à la protection des données (ou DPO).
Mais l’étude du SNCD indique que 83 % de ces professionnels sont à temps partiel. Dans la majorité des cas (60 %), ils exercent au sein de sociétés privées. Il n’est donc pas étonnant que cette « enquête révèle que la moitié des DPO se sentent isolés lorsque certains projets ne leur sont pas remontés.
Un tiers (32 %) souhaitent davantage de communication autour de leurs missions et 20 % désirent plus de temps pour exercer leur fonction.
Presque trois ans après l’entrée en vigueur de ce texte européen, force est de constater que les entreprises sont encore loin de maitriser cette problématique. Seuls 25 à 20 % des DPO ayant répondu à cette enquête indiquent que la définition des responsabilités de traitement et l’identification des traitements au sein de l'entreprise sont faciles à réaliser.
Un quart environ soulèvent les deux principales contraintes de la mise en conformité des entreprises : leurs sous-traitants et le « Privacy by Default ». La nécessité de revoir précisément les contrats en incluant des avenants relève encore du casse-tête. L’Article 28-3 du RGPD précise notamment le lien entre le responsable du traitement et le sous-traitant.
Et la CNIL de rappeler que le chef d’entreprise reste « responsable des traitements et de la sécurité appliqués aux données personnelles y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique »…
Selon cette enquête du SNCD, les DPO estiment que la protection des données au sein des organisations est un élément important et ils optent souvent pour deux approches : à 32 % par le biais de réunions d'information et à 27 % avec le soutien de la direction de leur entreprise.
Malgré le constat mitigé et frustrant (49 % des DPO indique que leur mission est peu valorisée) de cette enquête, les DPO sont satisfaits (56 %) de leur mission.
Le RGPD impose en effet un changement culturel au sein des entreprises. Il est encore trop considéré comme un obstacle au business.
Source: SNCD
