4 ans après la mise en œuvre du RGPD, nous avons sondé plus de 120 DPO, interviewé une dizaine d’entre eux, ainsi que des éditeurs de solutions informatiques de gestion de la conformité, afin de dresser un état des lieux du positionnement du DPO au sein des organisations et de ses principales missions.

Quels sont les éléments saillants qui ressortent des résultats ?

Le premier constat est que le DPO manque encore cruellement de moyens. 55 % déclarent que les moyens sont insuffisants et 20 % estiment que des efforts ont été réalisés mais que les moyens financiers et techniques doivent encore être renforcés. L’ampleur de la fonction de DPO est parfois sous-estimée, y compris au sein de grands groupes, tant sur son rôle que sur sa responsabilité et ses missions. Avoir un DPO au sein de son organisation ne dispense pas de lui donner des moyens pour exercer efficacement sa fonction. Le seul fait d’avoir un DPO ne suffit pas à garantir la conformité au RGPD de l’organisation, notamment si celui-ci n’a pas les moyens de son action nécessaire !

Les DPO ne sont pas égaux face à ces moyens. Certaines directions, comme les DSI, mieux dotées budgétairement, permettent à un DPO-DSI d’obtenir des ressources pour recruter ou investir dans des outils de conformité. Ce qui est moins le cas pour les directions juridiques, ou de secrétariat général, ayant des budgets plus limités.



Au-delà du lien entre le rattachement et les moyens, le rattachement du DPO dans l’organisation en dit aussi long sur le rôle qui lui est attribué. Sur ce point, l’enquête a fait émerger une évolution intéressante. Même si encore près de 30 % des DPO sont rattachés à une direction juridique, ils ne sont plus que 10 % à être rattachés à la DSI et on voit émerger une population de DPO (13 %) qui sont rattachés à une direction risques (risques, audit et contrôle interne). Si cette tendance devait se confirmer à l’avenir, elle serait le marqueur d’une certaine maturité de la fonction au sein de l’entreprise, par la compréhension que ce sujet est aux cotés de la gestion de risques juridiques, également un sujet de gestion de risques opérationnels. Si des compétences juridiques et de systèmes d’information sont de fait, nécessaires et essentielles à la fonction DPO nous sommes chez Grant Thornton convaincus qu’il s’agit également d’un sujet de contrôle interne.

Si le dispositif de conformité est globalement en place, tant en termes de procédures et politiques qu’en termes de réseaux de correspondants internes, il reste un effort important à fournir pour déployer et faire appliquer les procédures dans les métiers ce qui passe notamment par de la sensibilisation des équipes opérationnelles, afin que ces dernières soient conscientes des impacts de leurs pratiques quotidiennes sur la conformité RGPD de leur entreprise.

Autre point de difficulté, partagé par de nombreux DPO : la gestion des gages de conformité qui reste un processus consommateur de temps, peu efficace. Les DPO cherchent encore le bon modèle de vérification. Faut-il poursuivre avec des questionnaires à faire remplir, faut-il basculer sur des plateformes tiers de confiance qui centralisent les gages de conformité, faut-il aller vers la certification des traitements telle que lancée par Europrivacy ? Les paris sont lancés !

Enfin, la réglementation sur la data est manifestement une matière particulièrement fertile. La montée en puissance de la réglementation sur l’IA, la Data, le Cloud, Digital Market Act et Digital Services Act… viennent fortement impacter la gestion des données personnelles. A peine installée dans les organisations, la fonction de DPO doit donc intégrer ces nouvelles réglementations pour une approche plus globale de la data et de sa conformité. Ainsi, le DPO voit son champ d’intervention s’élargir à l’ensemble des données, non plus seulement aux données personnelles. Cette évolution permettrait ainsi une meilleure cohérence avec les évolutions réglementaires qui foisonnent autour de la data et avec l’organisation interne des entreprises.

Les résultats de cette enquête montrent le chemin parcouru par les DPO depuis la date d’entrée en vigueur du RGPD. Il convient de saluer leur travail, leur implication et leur ténacité à implémenter cette règlementation dans leurs organisations.

La fonction est en train de trouver sa place au sein des organisations, mais elle ne pourra délivrer sa valeur qu’avec des moyens adaptés.