Grant Thornton a réalisé une enquête auprès de plus de 250 Data Protection Officers (DPO) dans 11 pays européens afin de les interroger sur leurs actualités et perspectives.

Cette enquête s’inscrit dans un contexte où la fonction de DPO, après à peine 6 ans d’existence, est en pleine évolution. En effet, elle est :
• Bousculée par l’émergence de nombreuses réglementations autour de la data (Data act, Digital Service act, Digital Market act, AI act, etc.),
• ‘’ Challengée ‘’ par l’accélération des projets de digitalisation internes,
• Confrontée au développement des usages de l’Intelligence Artificielle (IA).




Pour toutes ces raisons, il nous a semblé particulièrement intéressant de poursuivre la première enquête que nous avions menée en 2022 afin de mesurer les principales évolutions impactant les DPO.

Les principaux enseignements de cette nouvelle enquête sont les suivants :

• Le rattachement des DPO est de plus en plus ancré autour des fonctions Risques et Conformité, notamment dans les grandes entreprises et dans le secteur bancaire. A contrario, il y a de moins en moins de DPO rattachés aux directions des systèmes d’information. Ce rattachement, désormais très marqué, positionne bien la conformité au RGPD dans une logique de gestion des risques et de maîtrise via le contrôle interne de l’entreprise et non pas uniquement comme un sujet technique d’experts.
• Les DPO sont satisfaits de leur rattachement hiérarchique et de l’écoute apportée par les directions générales. Ce dernier point est sans aucun doute le fruit à la fois de la reconnaissance du travail des DPO, d’une conséquence de l’approche de cette conformité par les risques, mais aussi très probablement de la peur du gendarme - du fait des nombreuses sanctions financières infligées par la CNIL.
• En revanche, la principale ombre qui plane au-dessus des DPO et ce, quelle que soit la taille des entreprises, est celle des moyens. Seuls 9% des DPO en France estiment qu’ils ont les moyens suffisants pour accomplir leurs missions contre 24% en Europe. La principale conséquence de ce manque de moyens se retrouve dans l’état des lieux de la conformité jugé par les DPO eux-mêmes comme incomplet. Cela se traduit notamment par une feuille de route initiale de mise en conformité qui n’est pas finalisée, seuls 30% des DPO estiment l’avoir terminée.

Le pilotage et le reporting de la conformité restent globalement à parfaire et les Privacy Impact Assement (PIA) demeurent un exercice difficile et incomplet à ce jour.

• Enfin, 3 sujets majeurs émergent comme des points d’attention pour les DPO pour cette année : la purge des données, la sensibilisation des collaborateurs, la privacy by design. Concernant le sujet de la sensibilisation, force est de constater que la formation classique au RGPD a trouvé ses limites voire est inefficace, car sur le fond, tout le monde n’a pas à connaître cette réglementation. En revanche, tout le monde a à appréhender les risques que peut induire le non-respect de cette réglementation sur son métier ou ses tâches quotidiennes. Pour répondre à cet enjeu, les DPO sont de plus en plus innovants dans la manière de sensibiliser très opérationnellement leurs collaborateurs.
• Quand les DPO français se tournent vers l’avenir, ils sont 76 % à être convaincus que leur champ de compétence sera amené à évoluer vers une fonction plus globale de Data Compliance Officer, qui intégrerait la conformité aux nouveaux textes législatifs portant sur la gestion de la donnée. Cette opinion est principalement partagée par les grandes entreprises qui sont plus touchées par les nouvelles réglementations (Digital Market act, Digital Service act, AI act, Data Governance act, Data Act.). D’ailleurs, les ¾ des DPO en France s’estiment parfaitement légitimes pour intégrer à leur périmètre, le respect de la réglementation à l’AI Act.

En conclusion, cette nouvelle édition de notre enquête montre que la fonction est à l’aube de bouleversements majeurs alors même que certains points de passage obligés de la conformité au RGPD restent encore à finaliser.

Le DPO est invité à passer à une fonction plus globale de Data Compliance Officer (DCO). Il possède de nombreux atouts en ce sens : sa légitimité interne, le fait qu’il ait l’oreille de sa Direction Générale, qu’il forme un bon tandem avec les RSSI et qu’il soit de plus en plus rattaché aux fonctions Risques et Conformité dans l’organisation.

Cette opportunité pour les DPO ne doit pas masquer les faiblesses relevées dans cette enquête, au premier rang desquelles les ressources qui devront être plus en phase avec le nouveau champ d’intervention de ces derniers.

Les résultats de l’enquête confirment notre conviction profonde depuis deux ans : la protection des données personnelles n’est qu’une étape, un tremplin pour les DPO vers une fonction globale de pilotage des conformités autour de la data et de l’IA.

De gros chantiers restent encore à instruire et de nouveaux à ouvrir, mais par un DPO / DCO dont la place et le rôle en entreprise sortent renforcés et légitimés.