Le cabinet d'audit et de conseil Grant Thornton a récemment présenté une étude sur la fonction de DPO quatre années après l’entrée en vigueur du RGPD.
L’enquête a été réalisée par Grant Thornton et Grant Thornton Société d’Avocats auprès de 125 DPO internes et externes par questionnaire en ligne diffusé via un réseau social BtoB, complété avec certains entretiens ciblés entre les mois de mars et juin 2022.
Un positionnement dans l’organisation qui a évolué depuis 2018 et l’entrée en vigueur du RGPD
Pour 60 % des répondants, le RGPD est perçu comme une contrainte. L’enjeu pour les DPO et les directions générales est de faire de la conformité RGPD un vecteur de sécurité et de confiance aussi bien pour les salariés qu’à l’égard des tiers.
Alors qu’en 2018, la fonction était principalement rattachée aux directions des systèmes d’information, ou juridique, en 2022 seulement 27 % de DPO sont rattachés à cette dernière. 13 % dépendent de la direction des risques (risques, audit et contrôle interne), ce qui est assez nouveau, et 21 % de la direction générale. En revanche, uniquement 10 % restent rattachés à une direction informatique.
Une implémentation en progression même s’il reste du chemin à parcourir
59 % des DPO interrogés considèrent la conformité RGPD comme partiellement implémentée dans les entreprises et les organisations.
Toutefois, un nombre encore élevé d’acteurs ont des difficultés à « embarquer » les équipes opérationnelles sur les sujets de protection des données personnelles. 34 % jugent que le niveau d’acculturation globale est encore trop faible.
Une conformité opérationnelle majoritairement déployée mais parfois complexe à mettre en œuvre
La déclinaison opérationnelle des principes de protection des données passe essentiellement par un corpus documentaire et des outils de conformité mis en place par le DPO. Les procédures instaurées dès 2018 semblent être efficaces pour la majorité des DPO : 62 % des répondants estiment qu’elles sont suffisamment déployées et connues des opérationnels. 65 % des DPO ont déclaré être avertis dans les temps d’une demande de droits des individus et 53 % d’une violation de données personnelles.
Par ailleurs, le registre des traitements n’est plus un sujet : 68 % affirment que celui-ci est en adéquation avec leur entreprise. Toutefois, pour plus de la moitié des DPO interrogés, des difficultés subsistent notamment sur la complexité d’utilisation des systèmes d’information de gestion de la conformité (paramétrage, gestion...) et leur coût de revient annuel qui reste élevé.
La gestion de la relation avec les tiers, un casse-tête pour le DPO
Selon les DPO, la vraie difficulté réside dans le contrôle de la conformité des tiers, pour lequel ils cherchent encore le meilleur processus. En effet, ils jugent peu satisfaisantes les méthodes existantes, particulièrement l’envoi de questionnaires de conformité qui s’avère pénible à traiter et chronophage.
Alors que les relations avec un sous-traitant doivent être encadrées par un dispositif contractuel, 58 % des DPO ne sont pas certains que cela soit le cas au sein de leur organisation. Le responsable de traitement doit s’assurer que le sous-traitant respecte ses obligations légales et contractuelles. 43 % estiment que ce travail de vérification est trop lourd et trop complexe à gérer, notamment lorsqu’ils ne sont pas rattachés à la fonction juridique.