DMA, DSA, NIS 2, AI Act... Le métier de DPO est en pleine mutation

"Avec l'arrivée des nouvelles législations - l'AI Act, DSA, DMA... - on voit que la conformité autour de la donnée commence à constituer un corpus un peu plus global dans lequel il y a la donnée personnelle intégrée à un ensemble d'autres données", a expliqué à L'Usine Digitale Nicolas Gasnier-Duparc, associé au sein du groupe Grant Thornton, à propos d'une nouvelle étude sur l'évolution du métier de délégué à la protection des données (data protection officer, DPO). Elle a été réalisée auprès de 254 acteurs de la conformité et de la protection des données personnelles, dont 123 en France. 

"Le candidat idéal" 

Les DPO français sont assez unanimes sur la question : 76% d'entre eux sont convaincus que le champ de compétences de leur métier sera amené à évoluer vers "une fonction plus globale de Data Compliance Officer". "C'est le candidat idéal pour s'assurer que l'ensemble des législations sont correctement mises en oeuvre, détaille l'expert. Par rapport à pleins d'autres fonctions, il a une certaine indépendance et a constitué un réseau en interne avec des correspondants dans chaque métier". Cette question sur l'évolution du champ de compétences du DPO est principalement partagée par les grandes entreprises qui sont les plus touchées par les nouvelles réglementations, note l'étude. 

A mesure que les années passent, depuis l'arrivée du RGPD en mai 2018, le DPO semble avoir "acquis une certaine légitimité en interne". Près de 77% des répondeurs français (80% au niveau européen) se disent satisfaits du rattachement hiérarchique. Toujours du côté de la France, près de 80% des sondés considèrent que leur direction générale est à l'écoute des problématiques relatives à la protection des données. "Le DPO a de belles perspectives devant lui", conclut Nicolas Gasnier-Duparc. 

9% des DPO français sont satisfaits des moyens alloués

En revanche, les avis sont plus négatifs sur la question des moyens. En France, seulement 9% des DPO estiment que des moyens suffisants leur sont alloués pour exercer leurs missions. Ils sont 24% au niveau européen. A noter que ces résultats ne sont pas influencés par la taille des entreprises, les réponses étant très hétérogènes quelle que soit la taille de l'entreprise. Pour le spécialiste, "avoir une fonction un peu plus visible autour de la data compliance, c'est un moyen de résoudre les deux paradigmes : avoir des moyens pour mieux traiter la partie RGPD et globalement pour traiter la conformité au sens large". 

La démocratisation de l'intelligence artificielle et son essor au sein des entreprises est un sujet central pour les DPO, montre l'étude. Le risque n'est-il pas qu'il soit considéré comme l'empêcheur de tourner en rond en encadrant les projets de développement ? Pas tellement, répond notre interlocuteur : "Pour beaucoup, les contraintes des projets reposent sur de la privacy by design : faire de la privacy by design sur la donnée personnelle ou de l'IA privacy by design c'est la même chose".

Aborder le RGPD sous l'angle du risque

En pratique, les structures organisationnelles sont en train de changer pour s'adapter aux évolutions métiers. L'expert nous cite l'exemple de l'un de ses clients qui est "le DPO d'un gros projet stratégique à temps plein". "Il est vraiment intégré by design dans les équipes et est vraiment opérationnel", note-t-il. Sur ce point, il ajoute que le statut du DPO est en train de changer car il est désormais davantage rattaché "à la fonction risque et conformité". "Quand on gère un projet, on le gère aussi sous l'angle du risque donc ce n'est qu'un risque supplémentaire, analyse-t-il. Ainsi, il ne faut pas aborder le RGPD sous l'angle de la conformité mais du risque."

L'étude se penche également sur les liens entre la protection des données et la sécurité informatique. C'est relativement rare pour le notifier et s'en féliciter. De manière assez surprenante, près de 48% des DPO français sont "tout à fait d'accord" avec l'indication selon laquelle "la collaboration entre le DPO et le RSSI est bonne". 32% sont plutôt d'accord. C'est une proportion plutôt élevée qui tranche avec les discours habituellement tenus sur ce sujet. Précisons que la taille des entreprises n'affecte pas ces pourcentages : "bonnes relations" 79% pour les plus de 5000 salariés et 81% pour les moins de 5000. Ce changement s'explique par le fait que les deux protagonistes "ont bien vu qu'ils n'allaient pas marcher sur leur plate-bande respective", d'après Nicolas Gasnier-Duparc. 

La sécurisation des données à parfaire

D'un point de vue opérationnel, la sécurisation des données est à parfaire. 35% des répondants en France et 22% en Europe estiment que leurs traitements ne font pas l’objet de mesures de sécurité suffisantes. Ce résultat interpelle quand on en connait les conséquences potentielles, note l'étude. Cette proportion est la même, quelle que soit la taille des entreprises. En revanche, il y a un effet ‘‘taille’’ pour les entreprises qui sont pleinement satisfaites de l’exhaustivité de la couverture des traitements par des mesures de sécurité (35% pour les entreprises de plus de 5000 salariés contre 17% pour les moins de 5000 salariés). 

Par ailleurs, seulement 32% des DPO en France estiment être informés de toute les violations de données et 28% sont satisfaits de la gestion de ces situations. Ce constat est partagé avec les DPO européens pour respectivement 39% et 40% d’entre eux. Egalement, un peu moins de la moitié des entreprises en France (45%) et en Europe (49%) ont réalisé une simulation d’attaque informatique, au cours des 12 derniers mois. 

Une diversification des contrôles de sécurité des données doit être pensée par le DPO et le RSSI/DSI afin d’assurer un niveau global de sécurité adéquat, recommande le cabinet de conseil. La transposition de la directive NIS 2 dans le droit français obligera de toute façon les organisations à renforcer leur cybersécurité pour se mettre en conformité avec les nouvelles règles.