Le DPO voit sa feuille de route s’allonger mais manque de moyens

Après quatre ans de RGPD, la fonction de DPO (Data Protection Officer) n’a pas encore su trouver toute sa place entre les différentes parties prenantes des entreprises. Le DPO, est désormais identifié en interne et il a su démontrer son utilité. Il a néanmoins le sentiment d’être un chef d’orchestre sans orchestre. Cela est notamment dû aux faibles moyens alloués à l’exercice de ce nouveau métier en évolution continue. C’est l’opinion du cabinet d’audit et de conseil Grant Thornton après une enquête menée auprès de 125 DPO. Une grosse difficulté est la vérification de la conformité RGPD des sous traitants.

Le DPO souhaite être plus soutenu

A l’heure où les risques liés à la protection des données personnelles sont devenus un enjeu clé des entreprises et face à des réglementations toujours plus vastes, contraignantes et complexes, le DPO souhaite que son rôle soit davantage soutenu. L’enquête a été réalisée auprès de 125 DPO internes et externes par questionnaire en ligne, complété avec des entretiens ciblés entre mars et juin 2022.

Sur le terrain, l’implémentation du RGPD progresse mais il reste du chemin à parcourir. Les deux tiers (59%) des DPO interrogés considèrent la conformité RGPD comme partiellement implémentée dans les entreprises et les organisations. Un nombre encore élevé d’acteurs ont des difficultés à embarquer les équipes opérationnelles sur les sujets de protection des données personnelles. Un DPO sur trois (34%) juge que le niveau de connaissance globale du RGPD est encore trop faible.

Pour les deux tiers des répondants, le RGPD est perçu comme une contrainte. Ils ne sont à peine que 16% à penser le contraire. La difficulté pour les DPO et les directions générales est de faire de la conformité au RGPD un vecteur de sécurité et de confiance aussi bien pour les salariés qu’à l’égard des tiers. Les DPO estiment manquer de moyens pour exercer leur fonction. Plus de la moitié des sondés (55 %) jugent insuffisants les moyens qui leur sont alloués. Selon eux, l’ampleur de la fonction de DPO reste parfois sous-estimée, y compris au sein de grands groupes, tant pour ce qui concerne son rôle que sur sa responsabilité et ses missions.

Des procédures clés qui peuvent être encore améliorées

Côté procédures clés, près de deux DPO sur trois déclarent être avertis dans les temps lorsqu’il y a une demande d’exercice de droits des individus et la moitié sont avertis lors d’une violation de données personnelles. Quant au registre des traitements, il se banalise. Plus de deux DPO sur trois affirment que celui-ci est en adéquation avec leur entreprise. Toutefois, pour plus de la moitié des DPO interrogés, des difficultés subsistent sur la complexité d’utilisation des systèmes de gestion de la conformité (paramétrage, gestion…) et leur coût de revient annuel qui reste élevé.

Selon les DPO, la vraie difficulté réside dans le contrôle de la conformité des tiers, pour lequel ils cherchent encore le meilleur processus. En effet, ils jugent peu satisfaisantes les méthodes existantes, particulièrement l’envoi de questionnaires de conformité qui s’avère pénible à traiter et chronophage. Les relations avec un sous-traitant doivent être encadrées par un dispositif contractuel (article 28 RGPD), mais près de deux DPO sur trois (58 %) ne sont pas certains que cela soit le cas au sein de leur organisation.

Le responsable de traitement doit s’assurer que son sous-traitant respecte ses obligations légales et contractuelles. 43 % des DPO estiment que ce travail de vérification est trop lourd et trop complexe à gérer, notamment lorsqu’ils ne sont pas rattachés à la fonction juridique. 35 % des DPO souhaitent qu’une certification RGPD se mette en place, 23 % prônent un audit annuel par un tiers externe de type cabinet d’audit et 24 % souhaitent des solutions du type plateforme « tiers de confiance ».

Un label européen de protection des données

Grant Thornton souligne qu’une plateforme permet de digitaliser l’évaluation, et donne au sous-traitant la possibilité de partager cette évaluation avec ses responsables de traitement. « Une nouvelle solution est en cours de mise en place avec la certification Europrivacy, validée par le CEPD (Comité Européen de la Protection des Données) comme Label européen de protection des données pour évaluer et certifier la conformité de toutes sortes de traitements de données avec le RGPD » insiste Grant Thorton.

« Certains chantiers restent à initier. Il s’agit de la gestion des contrats et les gages de conformité des tiers, la sensibilisation des collaborateurs et pour les groupes internationaux, la gestion multi-réglementaire des législations locales en matière de protection des données personnelles » liste Nicolas Gasnier-Duparc, Associé en charge des offres Data Privacy et co-rédacteur de l’étude Déclare.

« Les DPO, chefs d’orchestre et pivots de ces dispositifs, voient que leur métier évolue vers une gestion opérationnelle des risques liés à la conformité » poursuit-il. Il préconise même que cette conformité soit appréhendée, implémentée et contrôlée par les risques, en amont et en aval. « En amont, afin de bien discerner les enjeux et en aval, pour assurer une conformité dans le temps » termine-t-il.

Le DPO doit appréhender des cadres législatifs multiples

L’enquête montre que la fonction DPO a évolué depuis 2018. D’une position de développeur d’une conformité supplémentaire en entreprise, le DPO est devenu un manager de projet, intégré sur tous les sujets numériques de l’entreprise. « Il doit appréhender des cadres législatifs multiples dans l’Union européenne et à l’international afin d’assurer la conformité de son organisation » conclut pour sa part Nicolas Rémy-Néris, Avocat au sein du Cabinet Grant Thornton Société d’Avocats, DPO externalisé et co-rédacteur de l’étude.