Quatre ans après le RGPD, les DPO manquent toujours de ressources
Apparu en 2018 avec l’entrée en vigueur du règlement général sur la protection des données (RGPD), le délégué à la protection des données (DPD, ou DPO en anglais) occupe désormais un rôle central dans la gouvernance des données personnelles.
Depuis la création de cette responsabilité en 2018, leur nombre augmente (on en comptait 21 000 en 2018 et 29 000 en 2021). Pourtant, les moyens alloués à l’exercice de ce métier sont souvent insuffisants.
Selon une récente étude publiée par la société de conseil Grant Thornton, le DPO a bien souvent le sentiment d’être « un chef d’orchestre sans orchestre ». Dans l’étude, 55% des sondés jugent que les moyens qui leur sont alloués sont insuffisants. Les répondants estiment que l’ampleur de leur fonction reste « parfois sous-estimée », y compris dans les grandes entreprises qui affichent des stratégies en matière de gouvernance de la donnée.
publicité
Embarquer les équipes et traiter avec les tiers
A titre d’exemple, les DPO rencontrent des difficultés pour contrôler la conformité des tiers. Les outils et les méthodes existantes, comme l’envoi de questionnaires de conformité, leur paraissent « peu satisfaisantes » et chronophages. 43% des DPO estiment que le travail de vérification avec les sous-traitants est souvent trop lourd à gérer.
Alors qu’il semble difficile « d’embarquer » les équipes opérationnelles sur les sujets de protection des données personnelles, 34% des DPO notent également que le niveau d’acculturation globale en entreprise est encore trop faible.
Le sentiment de ne pas être assez soutenu varie aussi selon la direction à laquelle les DPO sont rattachés. Historiquement, les DPO étaient principalement rattachés aux DSI ou aux directions juridiques. Depuis quatre, une migration s’est opérée. Aujourd’hui, 13% des DPO dépendent de la direction des risques et 21% de la direction générale. En revanche, 10% restent rattachés à une direction informatique.
A noter qu’une grande majorité des DPO exercent leur fonction en interne, et une part plus restreinte exerce en externe ou sur des postes mutualisés. Cela dépend bien sûr des besoins et des profils des entreprises ou des organismes publics concernés. Cette distinction n’est pas sans conséquence non plus sur le degré d’implication et le niveau de formation exigé pour le poste.
