Le rôle du DPO (Data Protection Officer) évolue depuis la mise en place du RGPD, il y a 4 ans. Le rattachement de ce responsable clé change dans l’entreprise. En 2022, la problématique des données personnelles semble sortir du champ juridique et informatique, pour s’inscrire dans une stratégie de gouvernance plus large.
Une enquête menée auprès de 125 DPO
C’est l’analyse menée par le cabinet Grant Thornton, groupe d’audit et de conseil dans son étude sur la fonction de DPO. L’enquête a été réalisée par Grant Thornton auprès de 125 DPO internes et externes par questionnaire en ligne complété avec certains entretiens ciblés entre mars et juin 2022.
Alors qu’en 2018, la fonction de DPO était principalement rattachée à la direction des systèmes d’information ou à la direction juridique, en 2022 seulement 27 % de DPO sont rattachés à la direction juridique et à peine 10 % restent rattachés à une direction informatique ou des systèmes d’information. On observe désormais un rattachement à la direction des risques (risques, audit et contrôle interne) pour 13% des DPO, ce qui est assez nouveau. Et 21 % des DPO dépendent de la direction générale.
Les nouveaux rattachés veulent être plus visibles
Face à cette diversité, beaucoup (80%) de DPO se disent satisfaits de leur rattachement. En revanche, ils sont peu nombreux (à peine 42%) à déclarer que leur visibilité est bonne et suffisante au sein de l’entreprise. Ils sont quasiment autant (40%) à considérer que leur visibilité doit être améliorée. Ces DPO sont ceux qui font l’objet d’un nouveau type de rattachement, c’est-à-dire à la direction des risques et à la direction générale. Ils estiment alors majoritairement que leur visibilité en interne reste insuffisante. De plus, selon leur rattachement à une direction ou à une autre, tous les DPO ne sont pas égaux concernant les moyens auxquels ils ont accès.
La fonction de DPO est en cours d’évolution. « La fonction de DPO a su s’installer dans les organisations depuis 2018. Le DPO entre dans une phase de mutation et certains chantiers restent à initier comme la gestion des contrats et les gages de conformité des tiers, la sensibilisation des collaborateurs et pour les groupes internationaux, la gestion multiréglementaire des législations locales en matière de protection des données personnelles » commente Nicolas Gasnier-Duparc, Associé en charge des offres Data Privacy et co-rédacteur de l’étude.
Gérer les risques liés à la conformité
« Les DPO sont les chefs d’orchestre et les pivots de ces dispositifs. Ils voient que leur métier évolue de plus en plus vers une gestion opérationnelle des risques liés à la conformité » poursuit-il. Pour l’associé, c’est par les risques que la conformité doit être appréhendée, implémentée et contrôlée. « En amont, afin de bien discerner les enjeux et en aval, pour assurer une conformité dans le temps » conclut-il.
