Le Comité européen de la protection des données (CEPD), ex G29 qui est en charge de veiller à l'application du RGPD dans tous les pays membres de l'Union européenne, a publié le 17 janvier son rapport sur les moyens accordés aux délégués à la protection des données (DPO) par les structures qui en ont désigné. Cette démarche s'inscrit dans la deuxième édition de l'action coordonnée au niveau européen du Comité européen de la protection des données.
La Cnil a interrogé 14 organismes
Ce sont 25 autorités de protection des données, dont la Commission nationale de l'informatique et des libertés (Cnil), qui durant l'année 2023 ont adressé des questionnaires à des organismes publics et privés. Elles ont également procédé à des contrôles sur place. L'autorité française raconte ainsi avoir interrogé 14 organismes, parmi lesquels des hôpitaux, des universités, des communes ainsi que des entreprises travaillant dans le luxe et les transports. Au total, 15 108 organisations et 2 382 DPO ont répondu aux questionnaires.
A l'occasion de la présentation des résultats, Anu Talus, présidente du CEPD, a déclaré que "les DPO jouent un rôle important en contribuant au respect de la législation sur la protection des données et en promouvant une protection efficace des droits des personnes concernées". L'étude visait ainsi à "examiner si les DPO disposaient des moyens nécessaires pour remplir leurs tâches, comme l'exige le RGPD".
Un bilan positif
Le bilan est plutôt positif : plus de cinq ans après l'entrée en application du RGPD, les organismes respectent pour la plupart l'obligation de désigner un DPO. Pour rappel, la désignation d'un DPO est obligatoire pour les autorités et les organismes publics, les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ainsi que les organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales ou infractions. Dans les autres cas, cette désignation est encouragée.
Le CEPD rappelle l'importance de désigner un DPO et le rôle que doivent avoir les autorités de protection dans la sensiiblisation des organismes sur cette obligation. Il raconte que certaines organisations ont tenté de justifier l'absence de nomination "en indiquant que l'organisation à externalisé la fonction au fur et à mesure lorsqu'ils l'ont jugé nécessaire" ou encore parce que le DPO avait démissionné et qu'aucun remplaçant n'avait été trouvé.
Un manque de ressources
Deuxième point de vigilance : les ressources allouées au DPO. Comme le rappelle le CEPD, les responsables de traitement et les sous-traitants doivent accorder des ressources adéquates à leur DPO. De "nombreuses" autorités de protection racontent avoir constaté "un manque de ressources suffisantes", en particulier le manque de ressources humaines.
"Ceci est problématique, tant en termes de conformité active – lorsqu'un DPO est censé effectuer plus de travail qu'il ne peut réellement en gérer de sorte que certaines questions doivent alors être négligées – et en termes de préservation de la conformité à long terme (...)", juge le Comité. Il cite une seconde préoccupation relevée par les autorités nationales : les DPO externes qui agissent pour le compte de plusieurs responsables de traitement provoquant une dispersion des tâches et une incapacité à "consacrer le temps approprié à chacun".
Bien que le RGPD n'oblige pas les responsables de traitement à désigner un DPO dédié, il exige tout de même qu'il dispose de ressources suffisantes pour accomplir ses missions. Une obligation plus facilement respectée "avec un DPO dédié à temps plein, épaulé par une équipe et un adjoint". Face à ce constat, l'EDPB recommande aux autorités nationales de lancer davantage d'initiatives pour encourager les organisations à allouer plus de ressources aux DPO et à leurs équipes.
Développer davantage de formation est indispensable
Les questionnaires envoyés aux organismes portaient également sur le niveau de compétences et de connaissances des DPO. Les chiffres sont assez éloquents et plutôt inquiétants : "il est notable que (...) seule une médiane de 74,9% des personnes interrogées a indiqué qu'une connaissance approfondie des réglementations en matière de protection des données était une exigence pour le rôle de DPO, une médiane de 66,12% seulement exigeant une connaissance approfondie des pratiques en matière de protection des données.".
Le rapport préconise de développer davantage de formations aux DPO, à l'image de la France avec les MOOC de la Cnil. Il revient par ailleurs aux responsables de traitement et aux sous-traitants de s'assurer "qu'ils document les données de leur organisation sur les besoins et progrès en matière de connaissances et de formation".
La Cnil a sanctionné un conflit d'intérêts
Le Comité a également souhaité se pencher sur les conflits d'intérêts et le manque d'indépendance des DPO. Sur ce sujet, la Cnil a d'ailleurs adopté des mesures correctrices – mise en demeure ou rappel aux obligations légales – à l'encontre de "quelques organismes" en raison notamment de conflits d'intérêts entre les missions du délégué et d'autres tâches qui sont affectées au DPO.
15 autorités nationales ont ainsi indiqué que certains DPO étaient susceptibles d'être "dans une situation de conflit d'intérêts et/ou ont identifié des risques pour [leur] indépendance". Il est intéressant de noter que seuls 18% des DPO contactés travaillaient à plein temps, ce qui accroît les risques de conflit d'intérêts. C'est au responsable de traitement ou sous-traitant de vérifier l'absence d'un tel conflit.
En pratique, dans sept Etats membres, plus de 20% des personnes ont répondu que le DPO occupait en parallèle un poste plus élevé au sein de la direction. 17% d'entre eux ont déclaré que le DPO participait également "au traitement décisionnel relatif au traitement des données personnelles". Sur ce point, le CEPD rappelle que, d'après la Cour de justice de l'Union européenne, un conflit d'intérêts peut exister lorsqu'un DPO occupe une position au sein de l'organisation "qui implique de déterminer les finalités et les moyens du traitement des données personnelles". Car, il doit être en mesure "d'évaluer, contrôler et éventuellement critiquer un tel traitement de manière indépendante".
Le CEPD préconise donc aux autorités nationales de rappeler la définition et les contours du conflit d'intérêts en s'appuyant sur la jurisprudence européenne ainsi que de mettre en place des contrôles afin de vérifier le respect de cette obligation.
Des résultats encourageants
Malgré ces points de vigilance, le Comité estime que "les résultats de l'enquête sont encourageants". Il compte désormais sur les autorités de protection pour continuer à promouvoir l'importance du rôle de DPO afin qu'ils puissent garantir "au mieux la conformité avec les exigences en matière de protection des données".
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
