L’AFCDP, association française des correspondants à la protection des données personnelles, tenait ce matin une conférence « Vive le DPO ». Y a été présentée la synthèse de l’enquête commandée par le ministère du Travail sur cette nouvelle fonction née du RGPD, fonction qui se rêve en métier.
« Vive le DPO » s’est ouvert ce matin sur la présentation des résultats de l’enquête de l’AFPA (Agence nationale pour la formation professionnelle des adultes) sur le DPO. Cet évènement est organisé par l’AFCDP, qui a justement travaillé avec l’AFPA sur cette étude commandée par la Délégation générale à l’emploi et à la formation professionnelle (DGEFP) du ministère du Travail. Entre avril 2018 et avril 2019, un questionnaire a été soumis aux DPO internes, externes et à d’autres professionnels de la protection des données.
Sur la scène de la salle de conférence de la Maison de la Chimie, à Paris, Alexandre Besnier de l’AFPA et Dimitri Forges de la DGEFP font la synthèse des réponses reçues, 1598 au total dont 1265 de DPO désignés auprès de la Cnil. On notera qu’en grande majorité (859 d’entre eux) les répondants sont DPO internes aux entreprises et administrations. Et, première remarque, il faut aussi dire « Vive la DPO » puisque 47% des DPO sont des femmes.
Informatique et juridique sont dans un bateau…
La mission principale du DPO est de cartographier les traitements et d’en établir le registre, suivie par la sensibilisation des équipes et les questions de conformité. Toutefois, du côté des DPO externes, plus dans une mission de conseil, la veille juridique et technologique représente la principale activité. Globalement compris dans l’entreprise, le travail du DPO l’est bien moins chez le client ou l’usager. Le travail de sensibilisation va donc devoir se poursuivre.
Avec 49% des répondants rattachés à la direction générale, devant les directions informatiques et juridiques, plusieurs autres grandes tendances se dessinent. A commencer par la jeunesse de l’activité (pas des personnes : 6 DPO sur 10 ont plus de 40 ans) : un quart des DPO ont moins d’un an d’expérience dans ce domaine. Et pour cause, le RGPD a tout juste un an. Les deux tiers justifient toutefois un niveau Bac+5 et sont issus à 34,9% de l’informatique et à 31% du juridique. Et évidemment, les premiers privilégient les compétences informatiques, les seconds les compétences juridiques. Mais tous s’accordent à dire que les compétences techniques métier et les compétences en gestion de projet et en communication sont également cruciales.
En outre, 70% des DPO exercent cette fonction à temps partiel. Par ailleurs, les trois quarts des DPO travaillent seuls : ils ne sont que 3,80% à disposer d’une équipe de trois personnes ou plus. Un peu plus de la moitié indique ne pas avoir de budget, et 10% estiment que leur budget est inférieur à leurs demandes. Quand près de 23% d’entre eux estiment n’être jamais ou rarement consultés en amont des projets, on comprend que le privacy by design dont on nous rebat les oreilles, ce n’est pas pour demain.
La formation tombe à l’eau
D’autant qu’un tiers des DPO admet éprouver des difficultés à maîtriser certains points du cadre légal du RGPD. Certes, cela implique à l’inverse que la très grande majorité connaît bien son sujet, mais ce chiffre pose la question de la formation. 33% des DPO en exercice n’ont eu aucune formation, quand 72% de ceux et celles qui en ont reçu n’ont eu droit qu’à entre 1 et 5 jours de formation. En résumé, on manque en France de formations dédiées aux délégué.e.s à la protection des données personnelles.
Et c’est justement une des pistes que les pouvoirs publics vont explorer : réfléchir à des offres de formation, entre un socle de compétences et de connaissances homogènes pour la fonction et un perfectionnement « pour aller plus loin ». Un référentiel des compétences est également envisagé. Enfin, « DPO est une fonction qui mérite d’être un métier » explique sur scène Alexandre Besnier. Parmi les réflexions pour faciliter l’accès et l’organisation de la fonction, il est question d’une charte déontologique, d’outils de sensibilisation, de réseaux et de ROME spécifique. L’étude sera disponible dans sa totalité en septembre et une autre enquête devrait être menée l’an prochain afin de faire le point sur l’évolution de cette fonction métier à part entière.