Comme chaque année, la Délégation générale à l’emploi et à la formation professionnelle (DGEFP) et la Commission nationale de l’informatique et des libertés (CNIL) se sont penchées sur les questions liées à l’emploi et aux compétences dans le domaine du RGPD. En collaboration avec l’Association française des correspondants à la protection des données (AFCDP), l’étude menée par l’Agence pour la formation professionnelle des adultes (Afpa) a mis l’accent sur la fonction de DPO.
Un profil et une spécialisation variables selon la taille de l’organisation
L’étude met en lumière la variété des profils de délégués à la protection des données ou DPO . Si les juristes sont surreprésentés dans les grandes organisations, les petites structures sont davantage ouvertes à la diversité des spécialités, avec des candidats issus d’autres domaines que le droit ou l’IT.
ImportantCe choix peut s’expliquer par le besoin de collaborateurs polyvalents, capables de gérer une multitude de tâches, alors que les grands groupes font face à une complexité accrue des enjeux relatifs à la sécurité informatique.
Ce sont majoritairement des cadres expérimentés (69 % ont au moins 40 ans), titulaire d’un diplôme de niveau Bac+5 ou plus pour 60 % d’entre eux, et justifiant de 3 à 5 ans d’ancienneté. Les conclusions de l’enquête révèlent également une féminisation croissante dans le métier, qui est actuellement exercé à 51 % par des femmes .
78 % ont le statut d’interne (ayant un employeur unique), en dehors de la région parisienne pour 7 répondants sur 10.
- Les DPO internes mutualisés réalisent des prestations en parallèle pour plusieurs responsables de traitement.
- Enfin, les DPO externes effectuent souvent des missions en freelance , ou sont employés de cabinets ou organismes publics de services numériques.
Des évolutions significatives en 5 ans
Si la répartition par âge, la localisation et le type de contrat ont peu évolué, d’autres caractéristiques des répondants ont connu des transformations importantes depuis 2019, année du lancement de l’étude.
La présence de DPO dans les structures de moins de 250 salariés s’est fortement accrue (+19 points en 5 ans), avec une majorité d’internes et de mutualisés (57 %). Cependant, cette croissance s’accompagne de défis de taille : ces dernières disposent de moyens limités, et font souvent appel à des profils moins orientés vers le juridique et l’informatique, qui pourraient constituer des freins à l’évaluation des risques et la mise en œuvre effective de la protection des données.
La fonction est de plus en plus fréquemment exercée à temps partiel (85 %), avec 61 % de ces spécialistes qui allouent moins d’un quart de leur temps de travail à ces tâches. Malgré cela,
Les DPO internes et mutualisés estiment que leur avis est pris en compte dans la plupart des cas (72 %).
D’ailleurs, 62 % affirment être impliqués dans les décisions stratégiques portant sur le RGPD et 91 % sont convaincus de l’importance de leur rôle dans la société. Pour autant, leur satisfaction professionnelle globale reste modérée (54 %).
Un accompagnement accru de la CNIL
Face à ces évolutions,
La CNIL annonce un renforcement de son contrôle sur les modalités de désignation des DPO.
Elle vérifiera notamment si les responsables de traitement procèdent à une évaluation préalable des besoins, si les DPO sont informés de leurs missions et de leurs droits, et s’ils disposent des ressources suffisantes pour exercer leurs fonctions de manière indépendante.
En outre, afin de renforcer leur efficacité, la Commission, en étroite collaboration avec les associations professionnelles, poursuivra le développement d’outils pratiques tels que des modèles de rapport annuel, des lettres de mission types et de nouveaux supports de communication à destination des responsables de traitement et des DPO.
Ces derniers peuvent d’ailleurs compter sur le soutien de la CNIL au quotidien . Via son site internet, elle leur fournit un large éventail de ressources, comme un guide méthodologique dédié, l’outil PIA destiné à la réalisation d’analyses d’impact. Par ailleurs, des publications régulièrement mises à jour sur l’évolution de la réglementation et de la jurisprudence leur permettent de renforcer leurs connaissances et compétences en matière de protection des données et de garantir la conformité de leurs traitements.
