DPO : un profil de moins en moins IT qui pourrait poser problème

Plus de la moitié des DPO ne sont ni juristes, ni IT

En 2019, le premier rapport avait dressé un « portrait robot » qui montrait la disparité des profils et les moyens associés à la fonction de DPD/DPO. Mais ces profils étaient tout de même très majoritairement issus des deux départements légaux et technologiques (IT).

Aujourd’hui, les choses ont bien changé. Ce qui impliquerait de nouveaux points de vigilance, notamment sur la perception des enjeux du RGPD par les délégués.

En quoi les choses ont-elles changé ? Tout d’abord, le nombre de DPD/DPOs désignés auprès de la CNIL est passé de 21 000 en 2019 à 34 440 début 2024 (+60 %). Une très bonne nouvelle pour l’AFCDP, qui a pourtant un « mais ».

Cette forte augmentation s’explique par le développement des DPD/DPO dans les PME. Aujourd’hui, 54 % des DPD/DPO internes exercent dans une structure de moins de 250 salariés (contre 38 % en 2019).

Or cette évolution s’est accompagnée d’un changement progressif des profils : 51 % exactement des DPOs sont désormais issus de domaines d’expertise autres que l’informatique et le juridique. « En 2019, ils ne représentaient que 39 % du total, pour 34 % d’informaticiens et 31 % de juristes », rappelle l’association.

« Le développement des DPD/DPO au sein de plus petites structures, souvent associé à des moyens plus limités et à des profils “hors juridique et informatique”, pourrait conduire une partie des DPD/DPO à moins bien percevoir les enjeux de leurs missions […]. »

Un autre changement majeur est le recul des profils issus de formations supérieures, « de niveau 7 ou 8 » (60 %, -8 points depuis 2019). Et ils sont de plus en plus à exercer cette fonction de DPO à temps partiel, en plus d’une autre fonction (85 %, +16 points).

Prudence et « zone de fragilité »

Ces éléments, s’ils sont logiques, poussent l’AFCDP à la prudence.

« Le développement des DPD/DPO au sein de plus petites structures, souvent associé à des moyens plus limités et à des profils “hors juridique et informatique”, pourrait conduire une partie des DPD/DPO à moins bien percevoir les enjeux de leurs missions, les moyens à y associer et les attentes en termes de résultats », craint l’association.

L’AFCDP évoque même « une zone de fragilité » possible pour les entreprises.

« La désignation d’un DPO n’est en effet que le début d’un processus de mise en conformité », rappelle l’association. « Il reste [ensuite] à définir les moyens de mieux sensibiliser les responsables de traitements […] qui peuvent avoir une représentation hétérogène des exigences du RGPD ».

Le temps de travail consacré à la mission et le degré de compétences des profils seraient ici clefs pour « bien prendre en compte l’étendue du cadre du RGPD ».

Un constat nuancé

D’un autre côté, l’étude confirme une plus grande « séniorité » des DPOs puisque 69 % d’entre eux sont, en 2024, âgés de 40 ans et plus (+6 points par rapport à 2019).

Points positifs également, 72 % des DPO (internes ou mutualisés) estiment que leurs recommandations sont écoutées et régulièrement suivies ; et 62 % sont conviés lorsque la thématique RGPD est abordée en plus haute instance.

L’état des lieux global est donc assez nuancé. C’est ce que montre d’ailleurs un autre chiffre : 54 % des DPOs sont satisfaits de l’exercice de leur fonction… Et donc une bonne moitié ne l’est pas.

L’enquête a sondé 3 625 délégués entre janvier et février 2024. L’intégralité des résultats est librement consultable sur cette page.