Quatre ans après l'entrée en vigueur du règlement général sur la protection des données (RGPD), le groupe d'audit et de conseil Grant Thornton s'est penché sur la fonction de DPO et son évolution en interrogeant 125 DPO d'entreprises françaises. Les résultats témoignent de progrès dans certains domaines, mais les DPO se heurtent encore à certaines difficultés, dont un manque de ressources.
L'enquête révèle tout d'abord une évolution dans le rattachement de la fonction. Initialement rattachés principalement aux DSI ou à la direction juridique, les DPO sont aujourd'hui 13% à dépendre d'une direction des risques et 21% dépendent directement de la direction générale. Un sur dix reste uniquement rattaché à la DSI et 27% à la direction juridique, tandis que 14% sont rattachés à une direction de la conformité. 80% des DPO interrogés se disent satisfaits de leur rattachement, témoignant que la fonction est aujourd'hui installée dans les entreprises. Ils sont également 42% à juger que leur visibilité est bonne, même si presque autant (40%) estiment que des progrès restent à faire à ce niveau, notamment ceux dont le rattachement à évolué (directions des risques et directions générales). « D'une position de développeur d'une conformité supplémentaire en entreprise, le DPO, avec la digitalisation de tous les acteurs, accélérée par la crise sanitaire, et l'explosion des risques cyber, est devenu un homme clé de la direction, un manager de projet, intégré sur tous les sujets numériques de l'entreprise », observe Nicolas Rémy-Néris, avocat au sein du cabinet Grant Thornton Société d'Avocats, DPO externalisé et co-rédacteur de l'étude. Cette reconnaissance peine encore toutefois à se concrétiser au niveau des ressources allouées aux DPO, avec 55% des répondants qui estiment disposer de moyens insuffisants pour remplir leurs missions.
Rattachement de la fonction de DPO (Source : étude Grant Thornton).
La conformité des tiers, principal écueil des DPO
Concernant le RGPD, celui-ci reste majoritairement perçu comme une contrainte (60% des répondants, versus 16% qui y voient une opportunité). L'un des enjeux pour les DPO est donc de transformer cette perception, en valorisant la dimension de sécurité et de confiance associée au respect de la réglementation. Si la conformité RGPD continue de progresser, 59% des sondés indiquent qu'elle n'est que partiellement implantée dans leur organisation. Le registre des traitements est le point sur lequel les organisations sont les plus avancées, 68% des DPO indiquant que celui-ci est en adéquation avec leur entreprise. Les sondés déplorent toutefois la complexité de certains outils du marché et le coût annuel, jugé élevé. Du côté de ce qui fonctionne, les DPO sont également 62% à considérer que les procédures mises en place avec l'entrée en vigueur du RGPD sont suffisamment déployées et connues des opérationnels. Par ailleurs, 65 % des DPO ont déclaré être avertis dans les temps d'une demande de droits des individus et 53 % d'une violation de données personnelles. Cela laisse toutefois un nombre non négligeable d'organisations à la traîne sur ces aspects.
En dépit des progrès rapportés, les DPO témoignent de certaines difficultés persistantes. Un bon tiers (34%) juge ainsi le niveau global d'acculturation dans leur entreprise encore trop faible. Les réponses révèlent également une hétérogénéité des pratiques de contrôle de la conformité, avec 26% des sondés qui réalisent des contrôles ponctuels ciblés et réguliers, contre 42% qui s'appuient sur un contrôle de conformité unique et annuel, réalisé tantôt par des équipes internes tantôt par des cabinets externes. Enfin, 17% intègrent le contrôle de la conformité RGPD à leurs dispositifs de maîtrise des risques. Mais le principal problème remonté par l'étude concerne le contrôle de la conformité des tiers, partenaires et sous-traitants. Ainsi, près de quatre répondants sur dix (36%) se disent incertains que les contrats de leur organisation respectent toutes les exigences du RGPD. Ils pointent notamment une difficulté à identifier tous les contrats signés dans leur organisation, ainsi qu'à identifier la présence des clauses obligatoires, et à les réviser le cas échéant. Le recours aux questionnaires de conformité pour le contrôle des tiers est également jugé comme une méthode trop lourde et chronophage par 43% des DPO interrogés. Pour remédier à ces problématiques, 35% des sondés souhaitent qu'une certification RGPD se mette en place, 23 % prônent un audit annuel par un tiers externe (cabinet d'audit) et 24 % des solutions du type plateforme « tiers de confiance ». La certification Europrivacy, développée en 2020 et validée par le CEPD (Comité européen de la protection des données) pourrait apporter une réponse à cet enjeu.
La sécurité des données, sujet clivant
Le dernier volet de l'étude portait sur la sécurité des données, qui fait partie intégrante du processus de conformité RGPD. Les sondés sont 60% à considérer que les exigences de sécurité sont suffisamment prises en compte par les équipes de la DSI et des RSSI. Néanmoins, la sécurité souffre elle aussi d'une perception pas toujours positive, sa valeur pour le business n'étant pas toujours bien comprise. Ainsi, 35% des DPO indiquent que la sécurité est perçue comme un frein à l'activité dans leur entreprise, tandis que 39% sont d'avis opposé, avec 26% qui ont une position intermédiaire.
« La fonction de DPO, qui a su s'installer dans les organisations depuis 2018, entre dans une phase de mutation et certains chantiers restent à initier » estime Nicolas Gasnier-Duparc, associé en charge des offres Data Privacy chez Grant Thornton et co-rédacteur de l'étude. Parmi les travaux restant à mener, il cite notamment la gestion des contrats et des gages de conformité des tiers, la sensibilisation des collaborateurs, ainsi que la gestion multiréglementaire des législations locales en matière de protection des données personnelles pour les groupes internationaux.
Commentaire