Enfin, une étude de fond sur les DPO
Par Bruno RASLE, Délégué Général de l’AFCDP • Septembre 2019 • Journal du Management Juridique
Le métier de Délégué à la Protection des Données (ou DPO – pour Data Protection Officer), créé par le RGPD (Règlement Général sur la Protection des Données) est une évolution de celui de CIL (Correspondant Informatique et Libertés), institué dès 2004. De facultatif, sa désignation auprès de la CNIL est devenue quasiment obligatoire, ce qui explique l’explosion de leur effectif. Mais qui sont ces professionnels ? La Délégation Générale à l’Emploi et à la Formation Professionnelle (DGEFP – entité qui dépend du Ministère du Travail) a confié à l’Agence pour la Formation Professionnelle des Adultes (AFPA) la réalisation d’une étude de fond pour le savoir, avec la très forte implication de l’AFCDP et le soutien de la CNIL. Quels en sont les enseignements ?
73,7 % des DPO recommanderaient leur métier à un jeune
La période qui avait précédé l’entrée en application du RGPD avait vu fleurir les enquêtes portant sur le thème de la protection des données personnelles et de la conformité au nouveau cadre légal. Commanditées par des offreurs, elles manquaient souvent de fond ou d’ampleur, quand ce n’était pas la méthodologie utilisée qui soulevait quelques interrogations. Il en est tout autrement de l’enquête commanditée par le Ministère du Travail et confiée à l’AFPA. Sur la base de questionnaires conçus en grande partie par l’AFCDP (association qui regroupe et représente les DPO), 1 265 professionnels ont permis, par leurs réponses, d’en savoir plus sur les différentes formes du métier (DPO interne, DPO interne mutualisé, DPO externe).
Les premiers résultats de l’étude1 ont été dévoilés le 26 juin 2019 à l’occasion de la conférence « Vive le DPO », organisée par l’AFCDP et qui s’est tenue à la Maison de la Chimie, à Paris. Quels en sont les principaux enseignements ?
La répartition selon les sexes des DPO est équilibrée avec 52,6 % d’hommes et 47,4 % de femmes. La surreprésentation des hommes parmi les DPO externes (61,3 %) s’explique par le fait que les prestataires sont majoritairement des informaticiens. Notons que près de six DPO sur dix ont plus de 40 ans. L’âge n’est pas un handicap pour exercer le métier de DPO. Cela peut même être un atout, notamment dans les relations avec l’encadrement et la direction. Un métier à l’abri du jeunisme ?
La moitié des DPO internes sont rattachés à la direction générale ou au secrétariat général. Il est crucial ici de rappeler l’indépendance du DPO, qui ne reçoit aucune instruction, y compris de la part du responsable de traitement qui l’a désigné. Le rattachement dont il est ici question est de nature administrative (pour qu’il bénéficie d’un secrétariat, de moyens bureautiques, etc.). À titre d’exemple, un DPO rattaché à une direction juridique n’a nul besoin de passer par le directeur juridique pour contacter le responsable de traitement (le Directeur général) pour lui signaler une non-conformité, lui soumettre un arbitrage, l’alerter ou lui présenter son rapport annuel. À ce titre, la surreprésentation des rattachements à la direction générale ou au secrétariat général est une bonne chose. Concernant les rattachements à une direction « métier », il faut veiller à l’absence de conflit d’intérêts, surtout si le DPO occupe d’autres fonctions. Il est également important que le DPO puisse interagir facilement avec le responsable de traitement.
La très grande majorité des DPO (plus de 80 %) estiment avoir une charge de travail de forte à très forte, les obligeant à modifier régulièrement ou très souvent leur planning. Le caractère imprévisible de cette charge est lié à la gestion des demandes d’exercice d’un droit, formulées par les personnes concernées, au traitement des éventuelles saisines de la CNIL suite aux plaintes déposées par ces mêmes personnes auprès de l’autorité de contrôle, à la gestion des incidents de sécurité qui peuvent être qualifiés de violations de données et à la découverte de nouveaux projets dans lesquels le DPO n’aurait pas été impliqué (à tort) en amont.
Signe positif : 59 % des répondants estiment que leurs recommandations sont toujours ou souvent écoutées et suivies par le responsable de traitement (ce score monte à plus de 76 % pour les DPO externes), et l’on peut en première approche être satisfait des 40,3 % des DPO qui disent être « systématiquement » ou « très souvent » consultés en amont des projets (ce taux devrait monter au rythme des actions de sensibilisation).
Enfin, près des trois quarts des répondants sont satisfaits de leur fonction de DPO, ce que corroborent les 73,7 % des DPO qui recommanderaient « sans hésiter » ou « probablement » leur métier à un jeune. Il est vrai que le métier de DPO présente des caractéristiques attrayantes, à commencer par la transversalité et la variété des compétences utilisées. Son caractère éthique (la protection des personnes, au travers de celles de leurs données et leurs droits) est également un facteur important.
Les DPO se « serrent les coudes »
Si une moitié (48,5 %) des DPO rencontre rarement ou jamais de situation de tension interne ou de conflit personnel, le stress est fréquent chez l’autre moitié. Ces situations de stress sont issues de facteurs externes (contrôles, plaintes ou sanctions de la CNIL, violation de données à la suite d’une attaque informatique, relations tendues avec les personnes concernées, etc.) ou internes (désaccord avec une direction métier, négociations ardues avec un sous-traitant quant aux clauses RGPD, mise en cause de l’expertise du Délégué, etc.). Les lignes directrices du CEPD sur le DPO rappellent que le Délégué doit être à l’abri de toute influence ou menace. C’est ici que le « savoir être » prend toute son importance, qu’une excellente connaissance des textes ne peut pallier, car l’indépendance du DPO se gagne et se défend en permanence, pied à pied. Mais indépendance ne veut pas dire « électron libre » : le professionnel doit veiller à formuler ses conseils de façon raisonnée, en les appuyant sur des analyses factuelles. De même, il doit chercher les « bons équilibres ».
Seuls 18,7 % des DPO ayant participé à l’enquête indiquent rester isolés. Tous les autres sont en lien avec d’autres DPO, voire membres d’une association de DPO. Le métier de DPO interne étant par nature un métier « solitaire », les professionnels ont tout intérêt à « se serrer les coudes » et à échanger avec leurs pairs. Ceci est particulièrement vrai pour les personnes qui découvrent le métier.
Un criant besoin de formation
Concernant le profil initial des DPO internes, les informaticiens sont encore les plus nombreux. Si c’est également ce qui est observé chez nos voisins allemands, qui disposent de la fonction de Délégué à la Protection des Données depuis plus de quarante ans, on observe une progression du taux de professionnels qui viennent du domaine juridique. Cela s’explique par le fait que la quasi-totalité des offres de poste s’adresse actuellement à des juristes, ce qui risque de mettre à mal dans le futur l’hétérogénéité des profils des DPO, une véritable richesse. En son temps, la CEDPO (Confederation of European Data protection Associations) avait demandé à ce que la fonction de DPO reste ouverte à toute personne, quels que soient sa formation initiale et son parcours, en arguant que les exigences exprimées dans le RGPD peuvent être satisfaites même par des personnes dépourvues de diplôme en droit : « Le texte ne doit pas être interprété de façon restrictive pour échapper au risque de voir les responsables de traitement et les sous-traitants sélectionner leur délégué à la protection des données uniquement au sein des juristes et avocats ».
Les trois quarts des DPO internes travaillent seuls et l’absence de tout relai (au sein des différentes directions ou des entités éloignées géographiquement) pour plus de 44 % d’entre eux pose question, leur apport étant crucial pour pallier « l’éloignement » du DPO avec la réalité du terrain. Seuls 0,4 % d’entre eux pilotent une équipe de dix personnes ou plus, au sein de très grands groupes. Il est vrai que les répondants expriment de grandes difficultés à trouver des collaborateurs de bon niveau, puisque 65,5 % d’entre eux estiment ne pas avoir réussi. Le job board dédié au métier du DPO que propose gratuitement l’AFCDP sur son site web2 est effectivement le témoin d’une tension certaine sur le marché du travail, au bénéfice des candidats.
On peut regretter aussi que seuls 39,7 % des DPO disposent d’un budget dédié. Le fait de disposer d’un budget étant un facteur d’indépendance, son absence pose question (aucune possibilité de faire réaliser un audit, de bénéficier d’un conseil juridique, de se faire assister, de se former, etc.). Encore faut-il en demander. Il est vrai que l’exercice est délicat pour les personnes fraîchement désignées et qui découvrent le métier : elles manquent souvent de recul et d’expérience pour formuler et justifier leurs besoins. Il faut également tenir compte du fait que certains DPO exercent leur mission sur les budgets des directions métiers dont ils assurent la conformité des traitements (principe de « refacturation » interne).
La disparition de la sclérose purement française qui limitait dans quelques cas la possibilité pour un responsable de traitement de désigner une personne externe à l’organisme explique l’explosion du nombre de DPO externes, ce que montre l’étude et les 40,5 % des DPO externes qui disent avoir moins de deux ans d’expérience (à l’inverse, 20,5 % d’entre eux disent avoir plus de dix ans d’expérience dans le domaine de la conformité - il s’agit le plus souvent d’anciens CIL internes qui se sont mis à leur compte). Cet indicateur est à rapprocher des 24,6 % des DPO externes qui avouent ne pas maîtriser leur sujet (« Plusieurs concepts importants m’échappent encore » et « Je suis encore très loin de maîtriser tous ces textes »).
Conseil aux chefs d’entreprise à la recherche d’un DPO externe : au-delà du diplôme ou de la certification3 (qui se focalise sur la mesure du « que sais-je », mais ne couvre pas le « que suis-je » et le « que sais-je faire ») présenté par le candidat, il est donc indispensable d’exiger des références et de prendre contact avec elles. Le cadre légal est complexe et de nombreux points demandent encore à être clarifiés, mais on perçoit bien ici l’effort de formation nécessaire. Signalons à ce sujet l’excellent MOOC4 publié par la CNIL .
On peut aussi regretter la sous-estimation par les DPO de profil juridique du besoin de disposer d’un niveau minimum de connaissances techniques. Cette forme de « naïveté technique » est une faiblesse et met les DPO concernés en état de dépendance vis-à-vis de leur DSI et des sous-traitants. La création, par le RGPD, de nouveautés telles que le Privacy by Design (qui embarque le Security by Design), la notification des violations de données et la réalisation d’analyses d’impact devrait probablement modifier la perception des DPO concernés. Les DPO juristes qui ont fait l’effort de combler leur manque de connaissance en matière technique sont unanimes et se rendent compte a posteriori qu’il est risqué de garantir une conformité en étant contraint de prendre pour argent comptant des assurances formulées par des tiers, notamment en termes de sécurité.
Vers une poursuite de l’étude, y compris au plan européen
La DGEFP et l’AFPA préparent actuellement la publication des résultats détaillés de l’étude et envisagent, toujours avec l’implication de l’AFCDP, de la poursuivre sur certains points spécifiques. Il est également envisagé de la répliquer au sein d’autres États membres, afin de disposer de comparaisons. D’ores et déjà, le groupe « AFCDP Belgique » est mobilisé sur un tel projet (pour mémoire, la Belgique n’avait pas opté lors de la transposition de la Directive 95/46 CE pour la fonction de CIL : la fonction de DPO est donc une complète nouveauté dans ce pays).
(1) https://afcdp.net/etude-sur-le-metier-de-dpo/
(2) https://afcdp.net/jobboard/offres/
(3) www.cnil.fr/fr/certification-des-competences-du-dpo-la-cnil-adopte-deux-referentiels
(4) https://www.cnil.fr/fr/le-mooc-de-la-cnil-est-de-retour-dans-une-nouvelle-version-enrichie
