Zerbor - Fotolia
Le délégué à la protection des données toujours en quête de moyens
Le délégué à la protection des données est le successeur du CIL, le correspondant informatique et libertés. La création de sa fonction découle de l’entrée en application du RGPD en mai 2018. Il est le coordinateur de la conformité des traitements de données au sein des organisations.
Compte tenu du rôle que lui confère le RGPD, les missions du délégué à la protection des données sont essentielles, comme son influence sur la prise en compte des problématiques de protection des données. Mais encore faut-il pour cela que le DPO puisse bénéficier de trois conditions. Selon la CNIL, il s’agit des compétences, des moyens et d’une capacité d’agir en toute indépendance.
75 % des DPO exercent à temps partiel
Trois ans après les débuts concrets du RGPD, ces conditions ne sont pas encore pleinement remplies pour les DPO, d’après la dernière étude de l’Afpa dévoilée lors de l’université de l’AFCDP. En effet, 63 % d’entre eux ne bénéficiaient pas en 2020 d’un budget spécifique.
Il faut dire qu’ils ne sont que 55 % à disposer d’une lettre de mission ou d’une fiche de poste. Mais le temps consacré à leurs missions constitue également une ressource rare. La rémunération moyenne peut par ailleurs être considérée comme peu stimulante. Ainsi, plus de 56 % des DPO sondés perçoivent une rémunération brute annuelle comprise entre 25 000 et 44 999 euros.
Cette moyenne cache cependant de très fortes disparités. Ainsi, près de 13 % d’entre eux touchent un salaire de 75 000 euros et plus. Pour Alexandre Besnier, chargé de mission direction prospective à l’Afpa, ces différences peuvent notamment s’expliquer par la présence de 10 % de DPO intervenant au sein de structures de moins de 10 salariés.
Mais ces écarts tiennent sans doute aussi à l’exercice majoritairement à temps partiel des fonctions de DPO. Ils sont en effet 75 % dans cette situation, partageant ces tâches de délégué à la protection avec d’autres missions dans l’organisation. De fait, 58 % des DPO consacrent 25 % de leur temps de travail et moins à ces missions. Cette part est en progression de 16 points par rapport à 2019.
Une expertise d’origine qui se diversifie
Les compétences et la formation sont deux autres conditions essentielles à l’exercice réussi des fonctions de DPO. En 2019, deux profils d’origine se distinguaient parmi cette population. Un tiers était issu de profils informatiques et un second tiers du juridique. Le solde se partageait entre d’autres métiers.
Alexandre BesnierChargé de mission direction prospective, Afpa
En 2020, ce profil d’expertise d’origine évolue. « Il y a une plus forte diversité cette année avec 44 %, soit 9 points de plus, de DPO provenant d’autres secteurs d’activité que l’informatique ou le juridique », signale Alexandre Besnier.
Mais, quelle que soit l’expertise initiale, le DPO se caractérise par un fort niveau de qualification. 60 % d’entre eux sont ainsi, a minima, BAC+5. En intégrant les BAC+4, cette part grimpe à 80 %. De quoi questionner dès lors le faible niveau de rémunération de ce métier ? Ce point est à relativiser compte tenu du niveau d’expérience professionnelle de ces profils.
L’étude précise que 33 % des DPO disposent en effet d’un à deux ans d’expérience seulement. Cette part est d’ailleurs en hausse de 6 points sur un an. À noter aussi qu’ils exercent principalement leurs missions au siège des entreprises, dont 33 % en Île-de-France (60 % se répartissent sur 4 régions que sont l’Île-de-France, Nouvelle-Aquitaine, PACA et Hauts-de-France).
Gestion de projet et communication, clés pour le DPO
En ce qui concerne la dernière condition soulignée par la CNIL, à savoir les compétences – et donc en creux la formation –, des améliorations sont là aussi attendues. Les DPO plébiscitent les compétences dans le juridique et l’informatique, en fonction de leur expertise d’origine. Les experts de l’IT insisteront plus majoritairement sur l’importance de compétences dans ce domaine et réciproquement pour le juridique.
Toutefois, les DPO s’entendent sur ce duo de compétences. « On observe souvent que dans les demandes de formation, selon leur domaine d’expertise initial, ils souhaitaient bénéficier de formations dans le domaine qu’ils maîtrisent moins. Les juristes sont donc assez intéressés par des formations sur les environnements informatiques » détaille le chargé de mission de l’Afpa.
Par ailleurs, tous les DPO s’entendent sur un point. Ils placent, « au plus haut niveau, comme la première compétence, celle de la gestion de projet et de la communication », poursuit Alexandre Besnier. Ce métier hybride repose donc en grande partie sur « une capacité à faire passer des messages et à sensibiliser », en particulier sur les questions de confiance numérique.
Mais le DPO se doit aussi de bien maîtriser le RGPD. Ils sont à ce titre 56 % à juger en avoir un bon niveau de compréhension. Toutefois, 44 % rencontrent encore des « difficultés importantes » dans la connaissance du RGPD, dont, 22 % se disent « encore très loin de maîtriser le cadre légal et l’environnement » du règlement.
Les DPO plébiscitent une formation plus complète
C’est 12 points de plus qu’en 2019. Cette tendance peut s’expliquer par une plus grande diversité dans les domaines d’origine des DPO, nuance cependant l’Afpa. La formation vise justement à atténuer ces difficultés. Ils sont 75 % à avoir suivi une formation en Informatique et libertés depuis 2016 – dont 30 % une formation de 1 à 5 jours. Le volet formation reste à enrichir cependant. En effet, 33 % des DPO expriment le souhait de suivre une formation plus complète.
La tâche des DPO reste donc complexe pour des raisons notamment de moyens. Mais le tableau brossé par l’étude comporte également des signaux positifs. Les délégués jugent que la prise en compte de la protection des données progresse dans les organisations, aussi bien sur la confiance numérique que sur la cybersécurité.
75 % estiment par ailleurs que leur direction a « bien ou très bien compris leur rôle et leur mission ». Et cela représente un bond de 20 points en l’espace d’un an. En outre, 70 % des DPO considèrent être soutenus par leurs supérieurs. De plus, 70 % déclarent que leurs recommandations sont souvent, voire systématiquement, écoutées.
Alexandre BesnierChargé de mission direction prospective à l’Afpa
Donc non, tout n’est pas noir dans la vie du DPO. D’ailleurs, la profession partage un « fort sentiment d’utilité perçue » à près de 90 %, rapporte Alexandre Besnier. Et cette utilité englobe à la fois la protection des données de leur entreprise, mais aussi l’utilité sociale de la fonction de DPO. Ainsi, 93 % d’entre eux sont convaincus de cette utilité qui dépasse leur seule organisation.
La place du DPO passe par des propositions de solutions
Ce sentiment devrait contribuer à apaiser, ou au contraire à accentuer les « tensions et conflits » qu’ils peuvent rencontrer dans leur travail. Car ils existent. 48 % des DPO estiment en effet être parfois en tension avec les attentes de leur structure (et 15 % souvent à toujours). Et la principale source de ces tensions, c’est le sujet des moyens (37 %), devant l’accès aux informations (28 %).
Face à ce panorama 2020 des DPO, l’étude Afpa avance plusieurs préconisations. La formation continue constitue ainsi un axe fort, une « nécessité » même. L’appartenance à un réseau professionnel serait également un levier significatif, comme la poursuite du travail de sensibilisation auprès des responsables de traitement dans le cadre d’une démarche pédagogique.
Le DPO « doit aussi être dans une posture de proposition de solutions et considérer que la mise en conformité est un processus parfois long et continu », souligne le représentant de l’Afpa. Il insiste aussi sur le travail du DPO pour impliquer les décideurs sur les enjeux de protection des données, afin notamment de devenir partenaire de nouvelles directions métier.