Un positionnement dans l’organisation qui a évolué depuis 2018 et l’entrée en vigueur du RGPD

Pour 60% des répondants, le RGPD est perçu comme une contrainte (vs. 16% qui pensent le contraire).
L’enjeu pour les DPO et les directions générales est de faire de la conformité RGPD un vecteur de sécurité et de confiance aussi bien pour les salariés qu’à l’égard des tiers.
Alors qu’en 2018, la fonction était principalement rattachée aux directions des systèmes d’information, ou juridique, en 2022 seulement 27 % de DPO sont rattachés à cette dernière. 13 % dépendent de la direction des risques (risques, audit et contrôle interne), ce qui est assez nouveau, et 21 % de la direction générale. En revanche, uniquement 10 % restent rattachés à une direction informatique / systèmes d’information.

Une implémentation en progression même s’il reste du chemin à parcourir

59% des DPO interrogés considèrent la conformité RGPD comme partiellement implémentée dans les entreprises et les organisations.
Toutefois, un nombre encore élevé d’acteurs ont des difficultés à « embarquer » les équipes opérationnelles sur les sujets de protection des données personnelles. 34% jugent que le niveau d’acculturation globale est encore trop faible.

Des DPO satisfaits de leur rattachement et relativement visibles

80 % des DPO se disent satisfaits de leur rattachement.
42 % ont déclaré que leur visibilité était bonne et suffisante au sein de l’entreprise. Si cela reste encore minoritaire, le résultat apparaît relativement satisfaisant après quatre années d’existence seulement. 40%, soit une part quasi équivalente, considèrent qu’elle doit cependant être encore améliorée. Ce sont les DPO rattachés aux « nouvelles directions » (risques et direction générale) qui estiment majoritairement que leur visibilité en interne reste insuffisante.
Mais, une profession qui estime manquer de moyens pour exercer sa fonction …
55 % des sondés jugent insuffisants les moyens qui leur sont alloués. Selon eux, l’ampleur de la fonction de DPO reste parfois sous-estimée, y compris au sein de grands groupes, tant pour ce qui concerne son rôle que sur sa responsabilité et ses missions.
Ainsi, selon leur rattachement à une direction ou à une autre, tous les DPO ne sont pas égaux concernant les moyens auxquels ils ont accès.

Une conformité opérationnelle majoritairement déployée mais parfois complexe à mettre en œuvre

La déclinaison opérationnelle des principes de protection des données passe essentiellement par un corpus documentaire et des outils de conformité mis en place par le DPO.
Les procédures instaurées dès 2018 semblent être efficaces pour la majorité des DPO : 62 % des répondants estiment qu’elles sont suffisamment déployées et connues des opérationnels. 65 % des DPO ont déclaré être avertis dans les temps d’une demande de droits des individus et 53 % d’une violation de données personnelles.
Par ailleurs, le registre des traitements n’est plus un sujet : 68% affirment que celui-ci est en adéquation avec leur entreprise. Toutefois, pour plus de la moitié des DPO interrogés, des difficultés subsistent notamment sur la complexité d’utilisation des systèmes d’information de gestion de la conformité (paramétrage, gestion…) et leur coût de revient annuel qui reste élevé.

La gestion de la relation avec les tiers, un « casse-tête » pour le DPO

Selon les DPO, la vraie difficulté réside dans le contrôle de la conformité des tiers, pour lequel ils cherchent encore le meilleur processus. En effet, ils jugent peu satisfaisantes les méthodes existantes, particulièrement l’envoi de questionnaires de conformité qui s’avère pénible à traiter et chronophage.
Alors que les relations avec un sous-traitant doivent être encadrées par un dispositif contractuel (article 28 RGPD), 58 % des DPO ne sont pas certains que cela soit le cas au sein de leur organisation.
Le responsable de traitement doit s’assurer que le sous-traitant respecte ses obligations légales et contractuelles. 43 % estiment que ce travail de vérification est trop lourd et trop complexe à gérer, notamment lorsqu’ils ne sont pas rattachés à la fonction juridique.
35 % souhaitent qu’une certification RGPD se mette en place, 23 % prônent un audit annuel par un tiers externe (cabinet d’audit) et 24 % des solutions du type plateforme « tiers de confiance ».
Cette dernière est jugée séduisante, car elle permet de digitaliser l’évaluation, et donne au sous-traitant la possibilité de la partager avec ses responsables de traitement. Une nouvelle solution est en cours de mise en place avec la certification Europrivacy, validée par le CEPD (Comité Européen de la Protection des Données) comme Label européen de protection des données pour évaluer et certifier la conformité de toutes sortes de traitements de données avec le RGPD.

La sécurité des données ne se limite pas aux systèmes d’information

La sécurité des données, formulée par l’article 32 du règlement, requiert des compétences que le DPO doit mettre en œuvre. Ce sujet était déjà l’une des principales missions des DSI et RSSI. Le DPO doit donc à la fois s’insérer dans le dispositif existant des DSI, mais également le faire évoluer sur des sujets spécifiques à la protection des données.
60% estiment d’ailleurs que les exigences du RGPD en matière de sécurité des données sont suffisamment prises en compte par les équipes DSI. Egalement 60% des sondés considèrent aussi que les analyses d’impact sur la vie privée sont difficiles à mener.
La sécurité est perçue comme antinomique avec la performance. A la question : « la sécurité est-elle un frein à l’activité ? », la réponse est clivante : 35 % sont d’accord, 39 % ne le sont pas et 26 % se positionnent entre les deux.

Nicolas Gasnier-Duparc, Associé en charge des offres Data Privacy et co-rédacteur de l’étude Déclare : « La fonction de DPO, qui a su s’installer dans les organisations depuis 2018, entre dans une phase de mutation et certains chantiers restent à initier : gestion des contrats et gages de conformité des tiers, sensibilisation des collaborateurs et pour les groupes internationaux, la gestion multiréglementaire des législations locales en matière de protection des données personnelles... Les DPO, chefs d’orchestre et pivots de ces dispositifs, voient que leur métier évolue de plus en plus vers une gestion opérationnelle des risques liés à la conformité. C’est par les risques que cette conformité doit être appréhendée, implémentée et contrôlée. En amont, afin de bien discerner les enjeux et en aval, pour assurer une conformité dans le temps. »

Pour Nicolas Rémy-Néris, Avocat au sein du Cabinet Grant Thornton Société d’Avocats, DPO externalisé et co-rédacteur de l’étude : « Cette enquête démontre que la fonction DPO a évolué depuis 2018. D’une position de développeur d’une conformité supplémentaire en entreprise, le DPO, avec la digitalisation de tous les acteurs, accélérée par la crise sanitaire, et l’explosion des risques cyber, est devenu un homme clé de la Direction, un manager de projet, intégré sur tous les sujets numériques de l’entreprise. Il doit appréhender des cadres législatifs multiples dans l’Union européenne et à l’international afin d’assurer la conformité de son organisation. Désormais indispensable à la vie des entreprises, Il ne fait nul doute que cette la fonction de DPO va continuer à évoluer, pour toujours plus d’efficacité et de visibilité. »