Gouvernance
Des DPO plus présents, mais moins satisfaits
Par Thomas Pagbe, publié le 16 septembre 2024
Cinq ans après la mise en œuvre du RGPD, la quatrième étude des évolutions du métier de DPO publiée par le ministère du Travail et la CNIL s’attarde à explorer le profil de ces délégués à la protection des données en 2024 et affiche quelques résultats très contrastés quant à leur satisfaction face à leur action et leur mission.
Dans sa quatrième étude sur les évolutions du métier de délégué à la protection des données (DPO), le ministère du Travail (via la DGEFP) en association avec la CNIL et l’AFCDP, a comptabilisé 34 440 personnes en poste début 2024, contre environ 21 000 en 2019.
Pour l’essentiel, cette croissance se fait dans les petites et moyennes structures, puisque 57 % des DPO exercent aujourd’hui dans des organisations publiques ou privées de moins de 250 salariés (contre 38 % en 2019).
Le profil type du DPO
Au-delà de cette montée des DPO dans les structures modestes, le rapport constate une nouvelle fois que la taille de l’organisation influence le profil du DPO et sa spécialisation. Plus la taille de l’organisation est importante, plus les profils juridiques sont représentés. À l’inverse, plus l’organisation est de petite taille, plus les DPO hors profils « informatique » et « juridique » sont nombreux. Avec au passage une constatation peut-être un peu étonnante, mais carrément bienvenue : il existe une parité dans l’univers des DPO puisque les femmes y sont même très légèrement plus présentes que les hommes !
Ainsi :
* 78 % exercent leur fonction comme DPO interne
* 70 % exercent hors Île-de-France
* 51 % de femmes et 49 % d’hommes
* 60 % sont issus de formation supérieure (niveau master ou doctorat)
* 69 % sont âgés de 40 ans et plus
* 61 % ont une ancienneté dans la fonction de 3 à 5 ans
En parallèle, les profils évoluent, avec moins de la moitié désormais (49 %) de professionnels issus des métiers de l’informatique ou du juridique. On notera également que 85 % des DPO exercent une autre fonction en parallèle, une proportion qui a fortement crû de 16 % par rapport aux études précédentes et qui est certainement à relier avec les budgets limités disponibles dans leur structure.
5 après la mise en application, les DPO ont un vécu
L’étude s’intéresse aussi au vécu des DPO. On retiendra que seulement 54% des DPO sont satisfaits de l’exercice de leur fonction, à peine un sur deux. Un chiffre en recul de 12 points par rapport à la précédente étude. Un recul difficile à expliquer d’autant que l’étude ne s’y attarde pas et que bien d’autres données tendent à aller en sens inverse de cette déclaration assez négative.
Même si 55% reconnaissent éprouver des difficultés dans leurs missions DPO, ce nombre décroit de 6 points par rapport aux années précédentes. Par ailleurs, 91% des DPO sont convaincus de l’utilité sociale de leur fonction et 64% sont fortement motivés à poursuivre leur mission (en baisse de 7 points quand même). Parallèlement, 72% des DPO estiment que leurs recommandations sont écoutées et suivies (en hausse de 5 points) et 62% des DPO se disent conviés dès que la thématique RGPD est abordée au plus haut niveau de l’entreprise.
Alors pourquoi un DPO sur deux n’est-il pas satisfait ? Quelques statistiques fournissent quand même quelques pistes. Ainsi, les DPO se sentent isolés de leurs pairs à 42% soit une progression de 14 points depuis 2021. Par ailleurs, 74% des DPO travaillent seuls, sans équipe. Et 65% des DPO expriment des besoins de formation pour s’améliorer dans l’exercice de cette fonction. Surtout, la plupart des DPO cumulent en réalité plusieurs fonctions, puisque 61% des DPO interrogés consacrent moins de 25% de leur temps aux missions de ce poste. Autant d’éléments qui peuvent expliquer cette insatisfaction exprimée par la moitié d’entre eux.
Le rapport évoque néanmoins une autre piste : celle d’une perception très contrastée des enjeux. Selon le rapport « le développement des DPO au sein de plus petites structures – souvent associé à moins de moyen et des profils de DPO « hors juridique et informatique » – pourrait conduire une partie des DPO à moins bien percevoir les enjeux de leurs missions, les moyens à y associer et les attentes en termes de résultats. Cela pourrait constituer une zone de fragilité pour les organisations ».
Les rapporteurs rappellent à ce sujet que « la désignation d’un DPO n’est que le début d’un processus de mise en conformité ». Il faut ensuite impérativement définir les moyens de mieux sensibiliser les responsables de traitement autant que les DPO qui peuvent avoir une représentation hétérogène et parfois distante des exigences du RGPD.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :