Portrait-robot du DPO en France

Le ministère du Travail, en lien avec l’Agence pour la Formation Professionnelle des Adultes (AFPA), a mené une étude sur la mise en œuvre du Règlement général sur la protection des données (RGPD) afin de préciser et promouvoir le nouveau métier de Délégué à la Protection de Données (DPO).

Un métier pas tout à fait nouveau en réalité, car il prend la suite du Correspondant Informatique et Libertés, rôle créé lors de la modification de la loi « Informatique et Libertés » de 2004.

Cette enquête permet de dresser un portrait robot du DPO français mais aussi de leurs employeurs. Elle expose leurs fonctions et moyens d’action ainsi que leurs compétences et formation. Elle révèle leur regard sur ce métier, encore jeune, et sur l’avenir de cette fonction.

1- Portrait-robot d’un DPO

Ce profil type, issu des résultats majoritaires de l’enquête, doit cependant être nuancé. Un DPO peut aussi être un employé en CDD avec une formation inférieure ou égale au baccalauréat avec une distance hiérarchique de N-4 avec le responsable du traitement. Il peut aussi s’agir d’une personne ayant plus de 10 ans d’expérience en matière de protection des données…

2- Quid des DPO externes ?

Contrairement à la parité globale qui règne pour l’ensemble des délégués, le DPO externe est majoritairement un homme qui exerce dans un petit cabinet conseil ou en qualité d’indépendant.

Si les deux tiers des DPO ont une formation bac +5 et plus, la proportion de DPO de niveau de formation élevée est plus importante dans les cabinets conseil et chez les indépendants.

De plus, les DPO externes sont plus représentés dans la tranche d’expérience de plus de 10 ans alors que les DPO internes mutualisés, par exemple, ont pour près d’un tiers moins d’un an d’expérience.

La désignation des DPO externe se fait, pour moitié, sur une durée d’un an et, pour un tiers d’entre eux, sur une durée de trois ans et plus.

La grande majorité des DPO externes (près de 79%) sont désignés pour un à dix responsables de traitements. 75% de ces responsables de traitements sont français, les autres peuvent être belges, allemands ou espagnols.

3- Et leurs employeurs ?

La désignation d’un délégué à la protection des données est obligatoire dans certains cas :

– Dans le secteur public

– Dans le secteur privé lorsque les activités de base des organismes les amènent à traiter de manière régulière et systématique des données personnelles à grande échelle ou à traiter des données sensibles ou relatives à des condamnations pénales et infractions à grande échelle.

Cette désignation est, bien sûr, recommandée dans tous les cas !

L’enquête du ministère du travail indique que les trois quarts des DPO ont été désigné après le 25 mai 2018. Ils l’ont été surtout dans l’administration publique (26%), le secteur Enseignement, Information et Communication (19%), Recherche, Informatique et Conseil (10%) et Industrie, BTP et Construction (10%).

On peut relever que près de 80% des cas de désignation d’un DPO concernent des organismes qui étaient dans l’un des cas où cela est très fortement conseillé, bien que non obligatoire.

Les raisons qui ont poussées les organismes à désigner un DPO sont :

– dans plus de 86% des cas, pour respecter la réglementation ;

– dans 34% des cas, pour la confiance des usagers, clients ou prospects ;

– et dans plus de 28% des cas, par peur des sanctions de la Cnil.

D’après les DPO, près de la moitié des responsables de traitements considèrent les enjeux de cybersécurité très importants ou cruciaux ainsi que les enjeux sur l’usage des données personnelles au sein de l’organisme. Ils sont encore malgré tout plus de 10% à considérer les enjeux de cybersécurité peu important !

En dépit d’un intérêt certain de leurs employeurs pour la sécurité des données personnelles, 42% des DPO ne disposent pas de budget et ne pensent pas en obtenir l’année prochaine. 75% des DPO n’ont d’ailleurs pas d’équipe.

Le manque de budget et d’équipe induit une charge de travail élevée et des conséquences sur le planning de mise en conformité. En effet, près de 8 DPO sur 10 estiment avoir une charge de travail de forte à très forte, les obligeant à modifier régulièrement ou très souvent leur planning.

Il faut préciser que plus de la moitié des DPO se trouvent exposés à des situations perçues comme relevant d’une tension interne entre leur rôle de DPO et les attentes de l’organisme pour lequel ils travaillent. Près de 40% d’entre eux considèrent leur fonction de stressante à très stressante.

4- Quelles sont les missions du DPO les plus chronophages ?

Dans le top 3 des missions qui prennent le plus de temps au DPO, on trouve sans surprise :

1. La cartographie des traitements de données en vue d’établir le registre ;

2. La sensibilisation et la formation en interne ;

3. La mise en conformité des traitements existants.

L’ensemble de ces activités représente plus de 50% de leur temps. Les DPO externes passent également du temps sur la veille légale et doctrinale.

Au titre des activités exigeantes, les DPO estiment, pour un tiers d’entre eux, ne pas avoir réussi leur première analyse d’impact.

Par contre, plus des deux tiers des DPO considèrent avoir réussi, ou très bien réussi, à gérer les demandes de droit des personnes.

5- Quelle formation pour les DPO ?

Se former est également une activité importante dans le cadre de la fonction de DPO puisque près de 75% des DPO ont suivi une formation en matière de protection des données dans les 5 dernières années.

On peut noter qu’il reste tout de même un quart de DPO à ne pas s’être formé en 5 ans, ce qui, compte tenu de l’évolution de la réglementation et de la doctrine, est étonnant voire critique. En effet, un tiers des DPO de moins d’un an d’expérience n’ont suivi aucune formation sur les 5 dernières années !

Au titre des besoins de formation des DPO, on trouve en tête, et de loin, des besoins de connaissance dans le domaine de :

– La sécurité informatique (chiffrement, authentification forte, traçabilité, tests de pénétration, attaques Dos, …) ;

– La réalisation d’analyse d’impact ;

– Les systèmes d’information (base de données, cloud, cookies, Machine learning, API, etc.)

Ces besoins concernent en particulier les DPO d’origine juridique.

L’ensemble des DPO est assez partagé sur l’évaluation de l’offre de formation actuelle. Ils se répartissent en trois tiers, sans avis 34.4%, insuffisante pour 33.9% et suffisante pour 31.7%.

La plupart d’entre eux envisage une certification, et en particulier, à plus de 80%, les DPO externes.

Pour conclure

L’enquête du ministère du Travail fait néanmoins état d’un fort degré de satisfaction des DPO concernant leur fonction. Ils sont en effet 74,5% des DPO à être satisfaits de leur fonction de DPO. Ce score atteint les 79,8 % pour les DPO externes !

Pour la quasi-totalité des DPO, la fonction de DPO est un métier à part entière. Ils sont plus de 73% à le recommander sans hésiter ou probablement à un jeune car c’est  :

– Un métier transverse qui permet de prendre part à tous les aspects de la vie de l’organisme ;

– Un métier passionnant, à la pointe de l’actualité ;

– Un métier avec une forte croissance et un marché du travail en faveur des candidats.

Référence : Enquête du ministère du Travail

Je partage