Les DPO attirent de nouveaux profils pas toujours assez formés aux rudiments du métier

Les DPO attirent de nouveaux profils pas toujours assez formés aux rudiments du métier


Qui sont les délégués à la protection des données (DPO) ? Apparus en 2018 avec la mise en place du Règlement général sur la protection des données (RGPD), dans les pas des anciens correspondants informatique et libertés (CIL), ils occupent un rôle central dans la gouvernance des données personnelles des entreprises. Si le nombre de DPO augmente d’année en année – il est passé de 21 000 en 2018 à près de 29 000 en 2021 – les profils sont aussi davantage diversifiés.

Selon une enquête récente, pilotée par le ministère du Travail avec le soutien de la CNIL, les DPO sont globalement moins spécialisés en informatique et en droit qu’il y a quatre ans, mais ils sont issus d’autres domaines d’expertise, dont les fonctions administrative et financière et la fonction qualité. L’étude révèle par ailleurs un appauvrissement dans les formations dispensées.

Patrick Blum, en qualité de délégué général de l’Association française des correspondants à la protection des données à caractère (AFCDP), indique à ZDNet qu’il y a en effet « autant de profils de DPO qu’il y a d’entreprises ». Selon lui, trois vagues successives sont observables depuis 2018 : les premiers DPO étaient « principalement issus des CIL existants », raconte-t-il. Par la suite sont arrivés des DPO désignés par les entreprises, « qui avaient l’obligation de s’y mettre », dont les organismes publics, mais aussi les entreprises qui traitent de grands ensembles de données ou certains types de données jugées sensibles, commente l’ancien DPO. Désormais, « nous commençons à voir apparaître des DPO qui ne sont pas forcément désignés avec les mêmes scrupules ».

Une grande majorité des DPO exercent en interne

Un tiers des DPO interrogés dans le rapport du ministère disent n’avoir suivi aucune formation au RGPD ou à la loi informatique et libertés depuis 2016 (+ 7 points), alors même que de plus en plus d’entre eux ne sont ni juristes ni informaticiens. Pourtant, les responsables de traitements et les sous-traitants ayant désigné un DPO ont bel et bien l’obligation de leur fournir les ressources nécessaires pour entretenir des connaissances spécialisées, rappelle la CNIL.

Sur la base de ce constat, Patrick Blum craint que « les DPO manquent de compétences pour bien appréhender l’ensemble de leur mission ». Il soutient qu’il y a une masse importante de connaissances à maîtriser. « Il faut, à la base, bien comprendre le RGPD, mais aussi la Loi informatique et libertés qui le précède, avec toutes ses spécificités. A côté de ça, un DPO doit aussi s’assurer que les traitements de l’entreprise sont conformes. Les compétences informatiques ne sont donc pas de trop. Mais ce n’est pas tout, un DPO doit aussi avoir des notions de savoir-faire et de savoir-être importantes », explique-t-il.

Le rapport donne à voir qu’une grande majorité (72 %) des DPO exercent leur fonction en interne, en tant que salariés d’un organisme. Pour le reste, ces postes peuvent être mutualisés pour plusieurs responsables de traitement ou bien externes, selon les besoins et les profils des entreprises et des organismes publics qui font appel à eux. Ces trois types de profils ne sont pas homogènes : le rapport constate ainsi que près de la moitié des DPO internes et mutualisés (55 %) consacrent seulement 25 % ou moins de leur temps de travail à cette fonction. Par ailleurs, 61 % d’entre eux estiment ne pas avoir été suivi tout au long de leur parcours d’intégration.

A contrario, les DPO externes semblent en moyenne mieux préparés au métier : 87 % d’entre eux déclarent maîtriser le RGPD et sa traduction opérationnelle, et 76 % disent avoir suivi des formations informatique et libertés depuis 2016. Les DPO externes ont, en outre, davantage suivi de formations longues que les autres : 24 % des DPO externes ont suivi des formations de plus de 20 jours, contre 10 % des DPO internes et mutualisés.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.