« Le métier de Délégué à la protection des données un an après » : premiers résultats de l’étude du ministère du Travail
août 2020 par AFCDP
Le ministère du Travail, via la délégation générale à l’emploi et à la formation professionnelle (DGEFP), a publié en juillet 2020, les premiers résultats de la nouvelle étude sur le métier de Délégué à la protection des données (DPD/DPO).
Cette étude, réalisée par l’AFPA, avec la participation de la CNIL et de l’AFCDP, fait suite à la première édition réalisée en 2019, sur la base d’un questionnaire soumis aux adhérents de l’AFCDP. Cette année, le questionnaire a été proposé à tous les DPD/DPO enregistrés auprès de la CNIL.
Les premiers résultats de l’étude 2020 ont fait l’objet d’une présentation synthétique réalisée par le ministère , ce qui confirme l’intérêt des pouvoirs publics pour le nouveau métier de DPD/DPO, et leur volonté de l’accompagner, en particulier par des actions de formation.
Ils seront complétés d’ici la fin de l’année par une analyse approfondie des résultats, et des études complémentaires thématiques, sur des points spécifiques.
L’enquête 2020 a été réalisée auprès de 1 ?660 DPD/DPO désignés auprès de la CNIL (dont 1 ?192 DPD/DPO internes, 224 DPD/DPO internes mutualisés et 244 DPD/DPO externes) ce qui en fait l’étude la plus représentative sur la communauté des Délégués à la protection des données.
Premiers résultats
L’étude 2020 dévoile des profils de DPD/DPO qui se diversifient : « si les domaines juridiques et informatiques restent prépondérants, les champs d’expertise professionnelle d’origine se diversifient. Les profils issus des domaines de l’administratif, la finance, la comptabilité et la qualité/conformité/audit, se développent. »
L’étude s’est également intéressée aux moyens fournis aux DPD/DPO pour exercer leurs missions. Des moyens très différents selon les cas : 43 % des DPD/DPO consacrent moins d’un quart de leur temps de travail à leur mission, un tiers seulement ont un budget en 2020 (ou peuvent bénéficier facilement des budgets d’autres services). La moitié des délégués dispose d’une lettre de mission, et près d’un tiers estiment que leur fonction n’est pas clairement définie. Toutefois, 3/4 des structures ont communiqué autour de la désignation du DPD/DPO et 60 % des délégués ont pu suivre une préparation préalablement à leur prise de fonction. 31 % des DPO bénéficient d’un réseau de référents Informatique et Libertés, et parmi ceux qui bénéficient d’un budget, celui-ci dépasse 100 ?000 € annuel (HT) dans 10 % des cas.
Globalement la prise en compte des enjeux par les responsables de traitement progresse depuis 2019, plus particulièrement pour les enjeux de confiance numérique (+ 15 points sur la part de « Très important » à « Crucial ») et sur les enjeux de Cyber sécurité (+10 points sur la part de « Très important » à « Crucial »). D’ailleurs, les trois quarts des DPD/DPO internes et mutualisés estiment que leur direction a plutôt bien ou tout à fait compris le rôle, les missions et les prérogatives du DPD/DPO, en forte progression par rapport à 2019 où les DPO étaient seulement un peu plus de la moitié à exprimer cette perception. Et près de 7 répondants sur 10 estiment que leurs recommandations sont très souvent ou systématiquement écoutées et régulièrement suivies (en progression par rapport à 2019 où ils étaient 6 sur 10).
Vécu professionnel : intérêt et complexité de la fonction
L’étude 2020 a approfondi la manière dont les Délégués à la protection des données perçoivent leur mission : 93 % d’entre eux sont convaincus de l’utilité de leur fonction pour leur structure, comme de l’utilité sociale de la protection des données personnelles.
Mais les DPD/DPO avouent vivre des situations compliquées : le manque de moyens est la première des causes citées (40 %) avant la difficulté d’accès aux informations (28 %) ; 20 % se disent en difficulté au regard de leur conception éthique et des pratiques de leur structure et 18 % des délégués se sentent en difficulté ou en conflit avec les demandes ou pratiques du responsable de traitement.
Au final, la fonction de Délégué à la protection des données est vécue comme plutôt stressante (60 %), mais motivante : 65 % des DPD/DPO s’estiment satisfaits de leur fonction, et 70 % se sentent soutenus dans leur mission par leur hiérarchie.
Les compétences et la formation : un enjeu pour la fonction
La compréhension du cadre légal et de l’environnement du règlement général sur la protection des données (RGPD) sont toujours un enjeu pour les DPD/DPO : si 56 % des répondants estiment avoir un bon niveau de compréhension, ils sont toujours 44 % à rencontrer des difficultés, et 22 % estiment être encore très loin de maîtriser le cadre légal et l’environnement RGPD.
Ce qui justifie les attentes en termes de formation : si 70 % des DPD/DPO ont suivi une formation, parmi eux 7 sur 10 n’ont suivi qu’une formation de 1 à 5 jours, ce qui peut expliquer les difficultés qui perdurent dans la compréhension du cadre légal et de l’environnement du RGPD, mais aussi une nette volonté de compléter leur formation et développer leurs compétences. Les besoins de formation portent en priorité sur la sécurité informatique (chiffrement, authentification forte, traçabilité…) pour 46 %, la réalisation des premières analyses d’impacts (42 %), la connaissance des systèmes d’information (base de données, cloud, cookies, machine learning, API, etc.) (40 %), et la formation complète au métier de DPO (33 %).
Pour ce qui est de la certification, sur la base du référentiel de la CNIL, 16 % des DPD/DPO sont certifiés, et 29 % envisagent de se certifier dans l’avenir.
Des métiers à accompagner
Enfin, les DPD/DPO estiment que certains métiers au sein de leur structure auraient besoin d’être formés (formation socle) au RGPD : cela concerne surtout les ressources humaines (65 %), la DSI et le RSSI (41 %), le marketing (35 %), les services généraux (28 %), les Data analysts (21 %) et les chefs de produit (14 %).
À propos de l’AFCDP - www.afcdp.net
L’AFCDP, créée dès 2004, regroupe plus de 6 ?000 professionnels de la conformité au RGPD et à la Loi Informatique & Libertés – dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer).
Si l’AFCDP est l’association représentative des DPD, elle rassemble largement. Au-delà des professionnels de la protection des données et des DPD désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.