Quel est le profil des délégués à la protection des données ? Quelles ont été leurs domaines d’expertise avant de prendre leurs fonctions de DPO ? Quel temps consacrent-ils à leur métier ? Comment travaillent-ils, avec quel budget ?
Les DPO étaient, au dernier « recensement » (2021), un peu moins de 29 000 en France, selon les chiffres publiés par une étude du Ministère du Travail, de l’Emploi et de l’Insertion. À titre de comparaison, ils étaient 25 494 en 2020.
Dans 69 % des cas, les DPO sont des cadres et cadres supérieurs, mais cette proportion a connu une baisse de 16 points entre 2019 et 2021, au profit notamment des employés (+8 points) et des dirigeants (+7 points).
Autre évolution notable, la part des DPO non issus de domaines d’expertise informatique ou juridique (47 %) a été en progression significative entre 2019 et 2021 (+12 points). Cela signifie que les origines des DPO se diversifient et que leurs profils sont désormais moins standardisés : ces DPO proviennent notamment de domaines tels que les fonctions administratives et financières, la qualité, la conformité-audit.
Une majorité de DPO internes et mutualisés
L’étude du Ministère du Travail, réalisée auprès de 1 811 DPO répondants, met en avant la très forte proportion (86 %, soit une progression de 2,4 % entre 2019 et 2021) des DPO internes et mutualisés. Il existe en effet trois typologies de DPO. Le DPO interne, qui est salarié d’un seul responsable de traitement, le DPO interne mutualisé, qui est salarié mutualisé pour plusieurs responsables de traitement, et le DPO externe qui est indépendant, ou salarié d’un organisme spécialisé (cabinet de conseil, cabinet d’avocat…).
Parmi les DPO internes et mutualisés, une majorité d’entre eux (55 %) consacre moins de 25 % de son temps au métier de DPO. Cette proportion a fortement augmenté depuis 2019 (+29 points).
« Les DPO consacrant moins de 25 % de leur temps à leur métier exercent dans de plus petites structures. Cet élément peut influencer des caractéristiques comme la proximité avec la direction, le fait de ne pas avoir d’équipe, de réseau de RIL (relais informatique et libertés) ou de budget. Nous pouvons noter qu’ils sont bien moins nombreux à posséder une lettre de mission ou fiche poste et, pour un tiers d’entre eux, ils ont été désignés d’office », analysent les auteurs de l’étude.
Ils sont par ailleurs plus nombreux (60 %) que la moyenne de l’échantillon (pour rappel, 47 %) à avoir un domaine d’expertise autre que l’informatique ou le juridique. Leur niveau de qualification est proportionnellement moins élevé (62 % sont cadres ou cadres supérieurs, contre 69 % en moyenne).
Ils ont également moins d’expérience dans le domaine de la conformité Informatique et Libertés : 64 % ont une expérience dans la fonction de DPO inférieure à deux ans, alors qu’ils ne sont que 36 % chez les DPO qui consacrent 75 % de leur temps à leur fonction. Cela les amène à rencontrer plus de difficulté dans la maîtrise du RGPD et son application opérationnelle (44% contre seulement 12 % pour les DPO consacrant 75% de leur temps à leur métier).
« Cet aspect des choses peut s’expliquer et être renforcé par un temps de formation inférieur et un isolement de tout réseau de professionnels plus important. Paradoxalement, ces DPO perçoivent moins de difficultés dans l’exercice de leur fonction et rencontrent moins de situations de stress ou de tension », complètent les auteurs de l’étude.
La diversification des profils s’accélère
L’étude du Ministère du Travail, de l’Emploi et de l’Insertion sur les DPO a réalisé un gros plan sur les DPO récemment désignés auprès de la CNIL, ce qui permet d’analyser les tendances les plus récentes. Les auteurs de l’étude se sont pour cela concentrés sur les DPO internes et mutualisés ayant moins d’un an d’exercice dans cette fonction, en les comparant avec les DPO appartenant à cette catégorie, mais ayant de trois à cinq ans d’exercice.
« Plus jeunes, ces DPO proviennent majoritairement de domaines d’expertise hors informatique et juridique dont les fonctions administratives et financières, et la fonction qualité. Nous pouvons par ailleurs remarquer une sur-représentation des statuts employés et agents de maîtrise, avec 35 % pour les DPO désignés depuis moins d’un an et 14 % pour les DPO ayant de trois à cinq ans d’exercice », commentent les auteurs du rapport.
Ces jeunes recrues sont majoritairement cadres et travaillent principalement dans de petites et moyennes structures où le traitement de données concerne moins de 10 000 personnes. Deux tiers d’entre elles exercent leur fonction à moins de 25 % de leurs temps de travail, ce qui représente un écart de -23 points par rapport aux DPO ayant trois à cinq ans d’expérience.
Les DPO fraîchement nommés travaillent seuls, sans équipe ni réseau de RIL et sont moins nombreux à avoir accès à un budget. Ces éléments s’expliquent en partie par la taille des structures dans lesquelles ils exercent la fonction de DPO.
Pour mémoire, les DPO débutants peuvent bénéficier de nombreuses ressources fournies par la CNIL. Outre le MOOC de la CNIL qui peut aider dans la connaissance générale du RGPD, la page « DPO : par où commencer ? » constitue un programme de travail initial permettant de connaître les traitements de données mis en œuvre de l’organisme (à commencer par la cartographie des traitements), mais aussi de se faire connaître en tant que délégué au sein de la structure.