Le délégué à la protection des données (DPO) : un métier en forte évolution

24 mai 2022

Le ministère du Travail a publié les résultats de l’étude annuelle du métier de délégué à la protection des données, réalisée avec le soutien de la CNIL. Cette enquête montre une diversification des profils et une importance croissante du métier de DPO, dont la désignation est obligatoire dans certains cas.

Des DPO aux profils plus diversifiés et mieux intégrés, mais insuffisamment formés

Grâce à la mobilisation et aux témoignages des DPO, l’étude du ministère du Travail (réalisée par l’AFPA) met en valeur les grandes dynamiques et évolutions du métier entre 2019 et 2021.

Les principaux constats sont les suivants :

  • un vécu professionnel positif : 58 % sont satisfaits de l’exercice de leur fonction et 87 % convaincus de l’utilité de leur fonction. Ils souhaitent également poursuivre leurs missions avec une forte motivation à 67 %.
  • une diversification des profils : 47 % sont issus d’autres domaines d’expertise que le droit et l’informatique (+ 12 points depuis 2019), il s’agit par exemple de profils administratifs et financiers ou en lien avec la qualité ou la conformité-audit.
  • la formation en baisse : 1/3 n’ont suivi aucune formation Informatique et Libertés/RGPD depuis 2016 (+ 7 points) alors même que de plus en plus d’entre eux ne sont ni juristes, ni informaticiens.

Ce dernier constat sera particulièrement étudié par la CNIL qui rappelle l’obligation des responsables de traitements et des sous-traitants ayant désigné un DPO de leur fournir les ressources nécessaires pour entretenir des connaissances spécialisées (article 38.2 RGPD).

Désignation d’un DPO : êtes-vous concerné ?

La désignation d’un délégué à la protection des données est obligatoire pour :

  • les organismes publics ;
  • les entreprises :
    • dont l’activité de base les conduit à réaliser un suivi régulier et systématique des personnes à grande échelle ;
    • collectant et réutilisant des données sensibles ou relatives à des condamnations pénales et des infractions.

Néanmoins, la désignation d’un DPO est fortement recommandée dans tous les cas : le DPO permet d’accompagner à la conformité au RGPD, de répondre aux demandes d’exercice de droits des personnes et de réduire les risques de contentieux.

Le profil des DPO en 2021

  • 72 % exercent leur fonction comme DPO interne ;
  • 71 % exercent en dehors de l’Île-de-France ;
  • Égale représentation des femmes et des hommes ;
  • 62 % sont issus de formation supérieure, de niveau master ou doctorat ;
  • 63 % sont âgés de 40 ans et plus ;
  • 55 % ont une ancienneté dans la fonction de DPO de 2 ans et moins.

Des DPO internes, externes ou mutualisés

En fonction des choix d’organisation des structures, il existe 3 types de DPO :

  • le DPO interne, qui est salarié d’un seul organisme ;
  • le DPO interne mutualisé, qui est salarié mutualisé pour plusieurs responsables de traitement ;
  • le DPO externe, qui est indépendant, ou salarié d’un organisme spécialisé (organismes publics de services numériques, cabinet de conseil, cabinet d’avocats…).

 

L’étude propose une lecture comparée des DPO internes et mutualisés tant sur leurs caractéristiques socioprofessionnelles, leurs cadres d’activités que leurs vécus professionnels. Un focus particulier sur les DPO externes est également proposé en fin d’étude.

Les ressources de la CNIL

La CNIL accompagne les délégués dès leur désignation et tout au long de l’exercice de leurs missions. Le site web de la CNIL contient de nombreuses ressources pour accompagner les DPO, lors de la prise de fonction et pour répondre aux questions complexes liées à la mise en œuvre du RGPD.

Tout au long de leur parcours, les DPO peuvent se référer au guide du DPO pour trouver les dispositions du RGPD et la position de la CNIL, notamment sur les ressources qui doivent leur être attribuées, la manière de garantir leur indépendance, les bonnes pratiques, etc.

Sont également mis à leur disposition de nombreux outils pratiques, comme l’outil PIA pour les analyses d’impact sur la protection des données. Ils peuvent également parfaire leur compréhension des textes en consultant les lignes directrices du Comité européen de la protection des données, se tenir à jour de l’évolution de la position de la CNIL en consultant ses productions sectorielles, les sanctions et les mises en demeure publiques, et en procédant à une auto-évaluation de la maturité de leur organisme en matière de protection des données.

L’étude sur le métier de DPO a été pilotée par le ministère du Travail qui a mobilisé à cet effet l’Agence nationale pour la formation professionnelle des adultes (AFPA). Elle a reçu le soutien de la CNIL, de l’Association française des correspondants à la protection des données (AFCDP) ainsi que de l’ISEP, école d’ingénieurs du numérique.