Le délégué à la protection des données (DPO) : un métier de plus en plus représenté dans les petites structures
La Ministère du travail, de la santé et des solidarités (DGEFP), la CNIL et l’AFCDP publient la quatrième enquête menée en 2024 dans le cadre de l’observatoire dédié au métier de DPO. Cette étude, confiée à l’Afpa, a mobilisé 3 625 DPO répondants, un record de participation depuis sa première édition en 2019.
Depuis 2018, la Délégation générale à l’emploi et à la formation professionnelle (DGEFP) et la Commission nationale de l’informatique et des libertés (CNIL), en partenariat avec l’Association française des correspondants à la protection des données (AFCDP), étudient les enjeux en termes d’emploi et de compétences liés au RGPD et plus particulièrement les évolutions de la fonction de délégué à la protection des données (DPO).
Afin de conduire cette étude, la DGEFP a mobilisé l’Agence pour la formation professionnelle des adultes (Afpa) dans le cadre de sa mission de service public afin d’apporter son expertise dans l’ingénierie et le suivi de l’observatoire. Au total, 3 625 DPO – un record depuis la mise en place de cet observatoire – ont répondu, dont 2 842 internes, 366 mutualisés et 417 externes.
Le profil des DPO en 2024
La taille de l’organisation a une influence sur le profil du DPO et sa spécialisation
Plus la taille de l’organisation est importante, plus les profils juridiques sont représentés. À l’inverse, plus l’organisation est de petite taille, plus les DPO hors profils « informatique » et « juridique » sont nombreux.
- 78 % exercent leur fonction comme DPO interne
- 70 % exercent hors Île-de-France
- 51 % de femmes et 49 % d’hommes
- 60 % sont issus de formation supérieure (niveau master ou doctorat)
- 69 % sont âgés de 40 ans et plus
- 61 % ont une ancienneté dans la fonction de 3 à 5 ans
Rappel
En fonction des choix d’organisation des structures, il existe 3 types de DPO :
- le DPO interne, qui est salarié d’un seul organisme ;
- le DPO interne mutualisé, qui est salarié mutualisé pour plusieurs responsables de traitement ;
- le DPO externe, qui est indépendant, ou salarié d’un organisme spécialisé (organismes publics de services numériques, cabinet de conseil, cabinet d’avocats…).
Plus de DPO dans les petites structures, mais avec moins de moyens
Si l’on constate une stabilisation de certains éléments tels que la répartition par âge, la territorialisation, les natures de contrats, certaines caractéristiques des répondants ont connu de fortes évolutions entre 2019 et 2024.
- 57 % des répondants DPO internes et mutualisés travaillent dans des structures de moins de 250 salariés (+19 points par rapport à 2019).
Ce développement au sein de plus petites structures est souvent associé à moins de moyens et à la prédominance des profils de DPO issus de domaine d’expertise « hors juridique et informatique ». Cette évolution comporte un risque que ces DPO soient moins en capacité d'évaluer les risques et de réaliser leurs missions. - 85 % des répondants exercent à temps partiel (dont 61 % consacrent moins de 25 % de leur temps de travail aux missions de DPO)
- 72 % des répondants DPO internes et mutualisés estiment que leurs recommandations sont écoutées et régulièrement suivies
- 62 % des DPO répondants sont sollicités lorsque la thématique RGPD est abordée en plus haute instance
- 91 % sont convaincus de l’utilité sociale de la fonction et du métier de DPO pour la protection des données personnelles des clients, des usagers, des citoyens
- 54 % des répondants sont satisfaits de l’exercice de leur fonction
Pour illustrer l’étude, plusieurs fiches thématiques synthétisant les données clés ont été réalisées :
- Caractéristiques et évolution des DPO de 2019 à 2024
- Qui sont les DPO internes et internes mutualisés des structures de moins de 250 salariés ?
- Qui sont les DPO internes et internes mutualisés issus de domaines d’expertise hors informatique et juridique ?
- Qui sont les DPO récemment désignés auprès de la CNIL ?
Points de vigilance et chantiers à venir
Dans ce contexte, la CNIL va renforcer sa vigilance sur les phases de désignation (éléments à vérifier par le responsable de traitement avant de désigner un DPO, amélioration des informations et recommandations lors de la prise de fonction) et sur les moyens accordés aux DPO pour exercer les missions (temps disponible/taille/nombre d’organismes dans le périmètre, information du DPO lors de la conception des projets, formations du DPO, etc.).
De nouveaux outils seront proposés pour contribuer à cette amélioration en concertation avec les associations de DPO (par ex : modèle de rapport annuel, lettre de mission, nouveaux emails aux DPO et aux responsables de traitements lors de la désignation, etc.)
Les ressources de la CNIL
La CNIL accompagne les délégués dès leur désignation et tout au long de l’exercice de leurs missions. Le site web de la CNIL contient de nombreuses ressources pour accompagner les DPO, lors de leur prise de fonction et pour répondre aux questions liées à la mise en œuvre du RGPD.
Tout au long de leur parcours, les DPO peuvent se référer au guide du DPO pour trouver les dispositions du RGPD et la position de la CNIL, notamment sur les ressources qui doivent leur être attribuées, la manière de garantir leur indépendance, les bonnes pratiques, etc.
Sont également mis à leur disposition de nombreux outils pratiques, comme l’outil PIA pour les analyses d’impact sur la protection des données. Les DPO peuvent parfaire leur compréhension des textes en consultant les lignes directrices du Comité européen de la protection des données, se tenir à jour de l’évolution de la position de la CNIL en consultant ses productions sectorielles, les sanctions et les mises en demeure publiques, et en procédant à une auto-évaluation de la maturité de leur organisme en matière de protection des données.
