Des chefs d’orchestre sans orchestre. Selon une étude Grant Thornton, les DPO peinent encore à trouver leur place dans l'entreprise.

Gouvernance

Une nouvelle étude souligne les difficultés des DPO

Par Laurent Delattre, publié le 06 janvier 2023

Quatre ans après la mise en application du RGPD, et bien que la protection des données personnelles soit devenu un vrai sujet dans les entreprises, les DPO sont toujours à la peine pour trouver leur place selon Grant Thornton : Des chefs d’orchestre sans orchestre !

Selon les conclusions d’une nouvelle étude Grant Thornton, la fonction de DPO n’a pas encore vraiment trouvé sa place dans les organisations, et ce, bien qu’elle existe en théorie depuis 2018.

Si la fonction existe effectivement dans nombre d’entreprises, elle reste souvent dépourvue de moyens financiers et d’équipes. Un paradoxe au vu de la place prise aujourd’hui par la question des données personnelles. Cette dernière est devenue un vrai sujet ne serait-ce que pour éviter les douloureuses amendes de la CNIL. Pour rappel, l’une des dernières infligées à Microsoft (autour de son portail Bing) par la Commission se monte à 60 millions d’euros !

Ce paradoxe s’explique par plusieurs facteurs décrits dans l’étude. Le premier tient bien sûr à l’aspect réglementaire. Pour 60% des répondants, le RGPD est perçu comme une contrainte contre seulement 16% qui pensent le contraire. Ce qui ne pousse pas les directions à investir dans ce qui était, et encore parfois vu comme un seul risque. Autre point, dans les systèmes d’information, la distinction entre « donnée personnelle » et « donnée non personnelle » n’existait pas en 2018 et reste parfois complexe à préciser encore aujourd’hui.

Cet état des lieux est cependant en évolution. Outre le RGPD, de nouvelles réglementations européennes sur la data émergent et vont nécessiter de gérer la gouvernance de la donnée. Sur le terrain, l’évolution s’est notamment traduite pas les changements de dépendance des DPO. A l’origine, la fonction était principalement rattachée au DSI ou à la directions juridique. En 2022, seulement 27 % des DPO sont encore rattachés à cette dernière et seulement 10% au DSI. 13% des DPO dépendent de la direction des risques et 21% de la direction générale. Selon l’étude, 80 % des DPO se disent désormais satisfaits de leur rattachement.

Par contre, le bât blesse au niveau des moyens. Plus de la moitié jugent insuffisants ceux qui leur sont alloués. Et pour cause. L’étude montre que leurs moyens ont stagné depuis 2018 ! 55% des DPO répondants trouvent insuffisants les moyens qui leur sont alloués.

L’une des difficultés majeures réside dans le contrôle de la conformité des tiers. Les méthodes existantes reposent souvent sur l’envoi de questionnaires de conformité. Ce qui nécessite des moyens humains et techniques pas encore suffisamment présents.

Pour assurer la conformité, une partie des DPO militent aussi pour des solutions externes comme une certification RGPD ou des solutions du type plateforme « tiers de confiance ». La certification Europrivacy, validée par le CEPD (Comité Européen de la Protection des Données) comme Label européen de protection des données devrait répondre à ces attentes.

Au final, les rapporteurs constatent que “la fonction de DPO glisse de plus en plus de la conformité pure vers de la gestion de projet interne (privacy by design notamment), du contrôle de conformité, sachant que, dans le même temps, les aspects liés à la conformité deviennent de plus en plus techniques, dans les domaines IT et juridique entre autres.

À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights