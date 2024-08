La quatrième enquête menée en 2024 dans le cadre de l'observatoire dédié à la profession de délégué à la protection des données personnelles a finalement été publiée par le ministère du travail, la CNIL et l'AFCDP1. Ce n'est pas moins de 3 625 DPO qui ont souhaité participer à cette étude menée par l'AFPA2.

Il ressort des travaux de l'AFPA qu'il n'existe pas un profil type de Délégué à la Protection des données personnelles dès lors que plusieurs modalités d'exercice sont prévues par le RGPD. Cette étude témoigne également de la diversité des profils qui sont amenés à exercer cette profession.

Néanmoins, si l'AFPA souligne une forte sensibilisation des petites structures qui désignent de plus en plus DPO, il n'en reste pas moins que les moyens financiers et humains qui leurs sont alloués pour exercer leurs missions demeurent insuffisants.

Quelles sont les modalités d'exercice de la fonction de DPO ?

Le RGPD reconnaît 3 types de DPO :

Le DPO interne à son organisation ;

à son organisation ; Le DPO mutualisé entre plusieurs organisations ; et

entre plusieurs organisations ; et Le DPO considéré comme externe.

C'est d'ailleurs à ce titre que notre cabinet exécute des mandats DPO au profit de certains de ses clients afin de piloter leur mise en conformité à la réglementation applicable en matière de données personnelles.

Les petites structures embauchent davantage de DPO

57% des répondants exerçant en tant que DPO internes ou mutualisés exercent dans des structures employant moins de 250 salariés. Toutefois, la CNIL observe que les DPO désignés au sein de ces organisations ne disposent ni :

Des moyens suffisants pour accomplir leurs missions ;

pour accomplir leurs missions ; Du champ d'expertise nécessaire au ciblage des risques de non-conformité et à l'identification des mesures de remédiation applicables.

De plus, 61% des DPO exerçant à temps partiel (soit 85% de l'ensemble des DPO interrogés), ont indiqué qu'ils consacrent moins de 25% de leur temps de travail aux missions de DPO.

Ces désignations ne s'inscrivent pas dans la logique poursuivie par le RGPD qui exige du responsable du traitement, qu'il désigne un DPO : « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données , et de sa capacité à accomplir les missions visées à l'article 39 ».

La CNIL projette de renforcer sa vigilance sur la désignation des DPO en vérifiant les moyens qui leur seront accordés.

S'agissant des compétences du DPO et de sa capacité à achever ses missions, faut-il s'attendre à ce que la CNIL subordonne l'achèvement de la phase de sa désignation à une vérification de ses connaissances ? ou à la présentation d'une certification délivrée par un organisme compétent ?

Une nécessité de prise en compte de la réglementation par les organismes

Force est de constater que souvent les DPO sont des « Cassandre », alertant à qui veut bien l'entendre des risques en matière de conformité RGPD sans que pour autant ces alertes soient réellement prises au sérieux par le top management.

On finit donc souvent par assister à une réelle prise en compte du RGPD par un organisme lors des situations suivantes :

Suite à une violation de données ;

Quand un prestataire/client demande des garanties en matière de protection des données ;

Suite à un contrôle de la CNIL ;

Suite à une plainte CNIL ou une situation de conflit avec une personne concernée.

Ainsi, dans une logique de privacy by design3, il convient donc de renforcer toujours plus la sensibilisation auprès des organismes et plus particulièrement du top management.

