Les DPO désorientés face à l'afflux de réglementation

S'appuyant sur les résultats de la 13ème édition de son baromètre trimestriel, l'AFCDP note une situation contrastée de la confiance des DPO quant au traitement et à la protection des données personnelles dans leur organisation. Le Data Privacy Framework, considéré comme fragile pour régler les échanges transatlantiques, peine toujours à convaincre.

Dans la 13^ème édition de son baromètre trimestriel, l'association française des correspondants à la protection des données personnelles (AFCDP) fait le point sur l’évolution de la conformité des organisations et la perception des délégués à la protection des données (DPO) sur des sujets techniques et d’actualité. Pour cela, une enquête en ligne a été réalisée auprès de 285 membres de l’organisme entre le 5 et le 20 novembre 2024. Premier enseignement de cette étude : les répondants sont majoritairement répartis entre ceux qui sont satisfaits de leur stratégie (41 %) et ceux qui ne le sont pas (36 %). Pour Paul-Olivier Gibert, président de l’AFCDP, des disparités persistent, avec un écart clair entre les organisations avancées et celles en difficulté. « On note d’un côté, une tendance à la stabilité avec une majorité relative de DPO plus confiants dans leur capacité à maîtriser leurs obligations réglementaires et ce sentiment semble s’améliorer de façon continue. Et de l’autre, une proportion importante de professionnels estimant qu’il y a beaucoup de chemin à faire pour bien maîtriser leurs données », nous indique-t-il.

En parallèle, 19 % pensent que l'instabilité réglementaire rend difficile la mise en œuvre d'une stratégie efficace, ce qui pourrait représenter un frein à l’évolution de leur stratégie de protection des données personnelles. Selon Paul-Olivier Gibert, les organisations moins avancées continuent de ressentir un besoin important d'améliorations de leur stratégie de protection des données personnelles. D'après lui, les évolutions règlementaires à venir, notamment NIS2 ou l’IA Act en 2025, mais aussi DORA et autres, vont exiger aux DPO d’adapter la stratégie mise en place dans leur organisation pour s’assurer d’être toujours en conformité, tant avec le RGPD qu’avec ces nouvelles normes. L’autre sujet clé ce 13e baromètre concerne à proprement parler le dernier système d'échange de données entre les Etats-Unis et l'Europe Data Privacy Framework (DPF) en vigueur depuis le 10 juillet dernier, qui semble peu convaincant pour la majorité des DPO français interrogés.

Le DPF peine toujours à séduire

En effet, une minorité (10%) juge la solution pleinement satisfaisante, ce qui démontre une adoption limitée ou un niveau de confiance réduit dans ce système d’échange transatlantique La plus grande proportion des répondants (36%) estime que le DPF est une solution partielle mais incomplète, considérant qu’il reste des lacunes dans le cadre ou des besoins supplémentaires pour répondre pleinement aux exigences organisationnelles. Une part importante des répondants (22%) pointe un manque d’adaptation de la solution à leur organisation. A noter que près d’un tiers (32%) des répondants n’a pas d’avis sur la question : c’est un taux important qui soulignerait une adoption encore limitée du Data Privacy Framework. L’AFCDP considère effectivement que des améliorations sont nécessaires pour renforcer la sécurité et la conformité des transferts de données transatlantiques dans la plupart des organisations.

« Les attentes des DPO restent insatisfaites à ce stade face à cette solution partielle », rappelle Paul-Olivier Gibert. Comme lors du précédent baromètre, les DPO français estiment que cet accord est loin de répondre à toutes les préoccupations et ils le considèrent comme fragile. L’AFCDP rappelle que contrairement aux autres accords d’adéquation adoptés à l’égard d’États non européens, le DPF ne garantit pas la conformité globale des traitements effectués aux États-Unis. « En matière de sécurité et de conformité, les différences entre l’Europe et les Etats-Unis sont significatives et on peut même parler de deux univers radicalement différents », explique le porte-parole de l’association. Le troisième sujet de cette enquête concerne NIS2 et montre que seulement 13 % des répondants déclarent être déjà prêts à appliquer la loi de transposition de la cette directive.

Des incertitudes sur NIS2

Pour l’association, c’est le signe d’une faible anticipation de la mise en conformité, sûrement dû à un défaut d’information claire sur le cadre, les exigences et les échéances. Une part significative (31 %) des répondants a commencé à se préparer. 33 % des répondants admettent qu'ils n'ont pas encore pris de mesures concrètes mais comptent le faire, et 23 % des participants n'ont pas d'avis ou de visibilité sur la question.« Alors qu’elle est entrée en vigueur, la directive NIS2 n’a toujours pas été transposée en droit français. Un texte a toutefois été présenté en Conseil des ministres sans qu’une date d’examen au Parlement n’ait été fixée et il n’est donc pas possible de la faire peser dans les prévisions budgétaires », nous précise Paul-Olivier Gibert.

L’AFCDP constate un besoin de sensibilisation et d'accompagnement pour aider les organisations à se mettre en conformité. « Nous ressentons chez nos membres un besoin de mettre en place des outils, des formations et des audits pour aider leurs organisations à se mettre en conformité dans les délais », prévient son président.