La quatrième enquête menée en 2024 dans le cadre de l'observatoire dédié à la profession de délégué à la protection des données personnelles a finalement été publiée par le ministère du travail, la CNIL et l'AFCDP1. Ce n'est pas moins de 3 625 DPO qui ont souhaité participer à cette étude menée par l'AFPA2.
Il ressort des travaux de l'AFPA qu'il n'existe pas un profil type de Délégué à la Protection des données personnelles dès lors que plusieurs modalités d'exercice sont prévues par le RGPD. Cette étude témoigne également de la diversité des profils qui sont amenés à exercer cette profession.
Néanmoins, si l'AFPA souligne une forte sensibilisation des petites structures qui désignent de plus en plus DPO, il n'en reste pas moins que les moyens financiers et humains qui leurs sont alloués pour exercer leurs missions demeurent insuffisants.
Quelles sont les modalités d'exercice de la fonction de DPO ?
Le RGPD reconnaît 3 types de DPO :
- Le DPO interne à son organisation ;
- Le DPO mutualisé entre plusieurs organisations ; et
- Le DPO considéré comme externe.
C'est d'ailleurs à ce titre que notre cabinet exécute des mandats DPO au profit de certains de ses clients afin de piloter leur mise en conformité à la réglementation applicable en matière de données personnelles.
Les petites structures embauchent davantage de DPO
57% des répondants exerçant en tant que DPO internes ou mutualisés exercent dans des structures employant moins de 250 salariés. Toutefois, la CNIL observe que les DPO désignés au sein de ces organisations ne disposent ni :
- Des moyens suffisants pour accomplir leurs missions ;
- Du champ d'expertise nécessaire au ciblage des risques de non-conformité et à l'identification des mesures de remédiation applicables.
De plus, 61% des DPO exerçant à temps partiel (soit 85% de l'ensemble des DPO interrogés), ont indiqué qu'ils consacrent moins de 25% de leur temps de travail aux missions de DPO.
Ces désignations ne s'inscrivent pas dans la logique poursuivie par le RGPD qui exige du responsable du traitement, qu'il désigne un DPO : « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l'article 39 ».
La CNIL projette de renforcer sa vigilance sur la désignation des DPO en vérifiant les moyens qui leur seront accordés.
S'agissant des compétences du DPO et de sa capacité à achever ses missions, faut-il s'attendre à ce que la CNIL subordonne l'achèvement de la phase de sa désignation à une vérification de ses connaissances ? ou à la présentation d'une certification délivrée par un organisme compétent ?
Une nécessité de prise en compte de la réglementation par les organismes
Force est de constater que souvent les DPO sont des « Cassandre », alertant à qui veut bien l'entendre des risques en matière de conformité RGPD sans que pour autant ces alertes soient réellement prises au sérieux par le top management.
On finit donc souvent par assister à une réelle prise en compte du RGPD par un organisme lors des situations suivantes :
- Suite à une violation de données ;
- Quand un prestataire/client demande des garanties en matière de protection des données ;
- Suite à un contrôle de la CNIL ;
- Suite à une plainte CNIL ou une situation de conflit avec une personne concernée.
Ainsi, dans une logique de privacy by design3, il convient donc de renforcer toujours plus la sensibilisation auprès des organismes et plus particulièrement du top management.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d'avocats fiables. Pour nous contacter, cliquez ici.
Footnotes
1 Association Française des Correspondants à la protection des Données à caractère Personnel qui regroupe toutes les personnes qui s'intéressent à la protection des données personnelles.
2 Association pour la Formation Professionnelle des Adultes.
3 Article 25 du RGPD
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.