Né à l’occasion du RGPD, le poste de Data Protection Officer (DPO ou Délégué à la protection des données) n’a pas toujours la vie simple en entreprise.
Mais pour les collaborateurs en assurant les fonctions, il est la garantie d’avoir pour un moment encore du pain sur la planche.
C’est le sentiment que donne la lecture du dernier baromètre trimestriel de L’AFCDP, l’Association Française des Correspondants à la protection des Données à caractère Personnel. Le travail ne manque pas donc, notamment pour faire évoluer les pratiques en interne.
Une instabilité réglementaire épinglée par 19% de DPO
Parmi les DPO interrogés sur leur degré de confiance à l’égard de la protection des données privées au sein de leurs organisations, ils sont 41% à se déclarer satisfaits. Comme dans le paysage politique français actuel, aucune majorité ne se dégage.
En effet, 36% considèrent qu’il reste beaucoup à faire. Cette proportion de DPO circonspects est toutefois stable par rapport au baromètre précédent. 19% jugent quant à eux qu’on ne leur simplifie pas la vie depuis l’extérieur.
Ces 19% de DPO s’émeuvent d’une “instabilité réglementaire”, cause selon eux de complexité accrue dans la mise en œuvre d’une stratégie efficace. Et cette instabilité “pourrait représenter un frein à l’amélioration continue de leur stratégie de protection des données personnelles”, analyse l’AFCDP.
Data Privacy Framework ? Circulez, y a rien à voir
Les prochaines évolutions réglementaires se profilent déjà. NIS2, AI Act, DORA… Les DPO sont attendus sur le pont pour définir des mesures assurant conformité au RGPD, toujours, mais tout en faisant une place aux nouvelles obligations.
En matière de conformité et de protection des données personnelles, les DPO se déclarent par ailleurs assez peu sensibles aux promesses de l’exécutif européen concernant le Data Privacy Framework (DPF), successeur du Privacy Shield.
Le dispositif encadrant les échanges de données entre l’Europe et les US sera-t-il éphémère ? Moins qu’un gouvernement de droite en France, sans doute. Il faut à la Cour de Justice (CUJE) étudier le framework et rendre un jugement.
Quant à savoir si le DPF permet de sécuriser les traitements, seuls 10% des DPO répondent par l’affirmative et saluent une “solution pleinement satisfaisante”. Ils sont 36% à qualifier le DPF de partiel et incomplet, et 22% le jugent inadapté à leur organisation.
Faible anticipation sur NIS2
Le Data Privacy Framework récolte surtout le désintérêt. Près d’un tiers (32%) des répondants n’ont pas d’avis. “C’est un taux important qui soulignerait une adoption encore limitée”, avance comme hypothèse l’AFCDP.
NIS2 est peut-être un sujet plus tangible pour les délégués en France. Pas si sûr. Les entreprises ne semblent en tout cas pas prêtes pour la directive. Seulement 13% des DPO prétendent le contraire. 31% ont lancé les travaux et 33% prévoient de s’y mettre.
L’AFCDP voit dans ces chiffres la traduction d’une “faible anticipation de la mise en conformité, sûrement dû à un défaut d’information claire sur le cadre, les exigences et les échéances.” Indéniablement, les DPO ont beaucoup à faire… et trop souvent peu de moyens alloués pour résorber cette charge de travail.