Le délégué à la protection des données (DPO), les profils se diversifient

Dans une étude réalisée avec le soutien de la CNIL et de l’AFCDP[1], le ministère du Travail dresse la photographie actuelle du métier de délégué à la protection des données en mettant en évidence les principales évolutions.

La fonction de délégué à la protection des données à caractère personnel est encadrée par les articles 37 à 39 du Règlement Général sur la Protection des Données à caractère personnel (RGPD). Sa désignation, en principe optionnelle, devient obligatoire pour les responsables de traitement et les sous-traitants dans trois grandes hypothèses :

  • les traitements mis en œuvre par une autorité ou un organisme public,
  • le suivi régulier et systématique à grande échelle des personnes physiques,
  • la situation où un traitement à grande échelle concerne des données dites sensibles[2]

C’est dans ce contexte règlementaire, quatre ans après l’entrée en application du RGPD, qu’une étude[3] du ministère du Travail (réalisée par l’AFPA[4]) fait le point sur le métier de DPO et met en valeur les grandes dynamiques et évolutions du métier entre 2019 et 2021. Elle a été réalisée auprès de 1 811 DPO, interrogés entre septembre et octobre 2021.

L’étude sur le métier de DPO a été pilotée par le ministère du Travail qui a mobilisé à cet effet l’AFPA. Elle a reçu le soutien de la CNIL, de l’Association française des correspondants à la protection des données (AFCDP) ainsi que de l’ISEP, école d’ingénieurs du numérique. 

Un métier à part entière

89 % des DPO interrogés en 2019 considéraient cette fonction comme un métier à part entière. Cela signifie que l’exercice de cette fonction nécessite des compétences précises, des activités et des tâches professionnelles qui peuvent être définies et structurées et pour lesquelles on peut être formé.

Les DPO sont convaincus de l’utilité de leur fonction. Cette dimension dépasse le cadre de l’organisation avec 93 % des DPO qui sont convaincus de l’utilité sociale de leur fonction. Une conscience numérique au service de la confiance numérique.

Des profils qui se diversifient

Les DPO ont des profils diversifiés en matière de niveau de qualification et domaines de compétences avec 47 % issus d’autres domaines d’expertise que le domaine juridique et informatique (+ 12 points depuis 2019), tels que les fonctions administratives et financières, la qualité, ou la conformité-audit.  Leur positionnement au sein des organisations de travail est également hétérogène.

La formation en baisse

Parmi les principaux freins à la fonction, on note un déficit dans la formation des DPO, un manque de moyens ainsi qu’un sentiment d’isolement chez certains professionnels.

Ainsi, 1/3 des DPO indiquent n’avoir suivi aucune spécialisation en informatique et libertés/RGPD depuis 2016 alors même que de plus en plus d’entre eux ne sont ni juristes, ni informaticiens et  42 % des DPO interrogés disent exercer leur métier de façon isolée.

DPO interne, mutualisé ou externe : caractéristiques

L’étude propose également une lecture comparée des DPO internes et mutualisés tant sur leurs caractéristiques socio professionnelles, leurs cadres d’activités et leurs vécus professionnels. Un focus particulier sur les DPO externes est aussi réalisé en fin d’étude.

En fonction des choix d’organisation des structures, il existe 3 types de DPO :

  • Le DPO interne qui est salarié d’un seul responsable de traitement
  • Le DPO interne mutualisé qui est salarié mutualisé pour plusieurs responsables de traitement
  • Le DPO externe qui est indépendant, ou salarié d’un organisme spécialisé (organismes publics de services numérique, cabinet de conseil, cabinet d’avocats…).

L’étude du ministère constate que  « les DPO externes sont ceux qui évaluent le plus fortement le niveau de maîtrise requis pour l’exercice de la fonction, et ce sur l’ensemble des pôles de compétences. »,

C’est d’ailleurs l’ADN des équipes de Lexagone qui accompagne au quotidien ses clients afin de garantir le succès de leur démarche de mise en conformité en réalisant les missions d’audit et de DPO externe. En effets nos consultants, juristes et spécialistes IT, sont non seulement des experts, mais également des initiateurs et des gestionnaires de projets en matière d’analyse de risques et de gouvernance RGPD.

Pour découvrir notre service de DPO externe :

https://www.lexagone.fr/dpo-dpd-externe/


Pour en savoir plus :

[1] Association Française des Correspondants à la protection des Données à caractère Personnel 

[2] Règlement européen sur la protection des données personnelles est entré en application le 25 mai 2018.

[3] Étude : « Évolution de la fonction de Délégué à la Protection des Données », 2022, Ministère du Travail, de l’Emploi et de l’Insertion.

[4] Agence nationale pour la formation professionnelle des adultes.


Par G.M, Responsable du Pôle Médico-social | News, Protection des données | Commentaires fermés

Autres articles