Le délégué à la protection des données (DPD/DPO) : une fonction qui se développe, un métier qui se structure

En avril 2019 près de 11 000 délégués à la protection des données (DPO) étaient déclarés auprès de la CNIL. En avril 2020, ils sont plus de 21 000. Cette progression témoigne du développement grandissant de la fonction en France. Fort de ce constat, le ministère du Travail, de l’Emploi et de l’Insertion a mobilisé l’AFPA au travers d’une étude pour préciser et promouvoir le métier de délégué à la protection des données.

Après la mise en place du RGPD en 2018, le ministère du Travail, de l’Emploi et de l’Insertion en partenariat avec l’AFPA étudie depuis deux ans, au-delà des enjeux légaux et de gouvernance, l’évolution de la fonction de DPD (délégué à la protection des données) vers un métier intégré dans les organisations. Une initiative qui a reçu le soutien de la CNIL, de l’AFCDP et de l’APEC.

Un métier à part entière

89 % des DPO interrogés en 2019 considéraient cette fonction comme un métier à part entière. Cela signifie que l’exercice de cette fonction nécessite des compétences précises, des activités et des tâches professionnelles qui peuvent être définies et structurées et pour lesquelles on peut être formé.

Les DPO sont convaincus de l’utilité de leur fonction. Cette dimension dépasse le cadre de l’organisation avec 93 % des DPO qui sont convaincus de l’utilité sociale de leur fonction. Une conscience numérique au service de la confiance numérique.

Des profils qui se diversifient

Ils ont des profils diversifiés en matière de niveau de qualification et domaines de compétences. Leur positionnement au sein des organisations de travail est également hétérogène.

Pour comprendre, plus en détails, l’évolution de ce métier, retrouvez les résultats de l’étude réalisée auprès de 1600 DPO avec un focus réalisé sur le positionnement et moyens du DPO dans les organisations.

Secteur privé, secteur public : ils témoignent

Emmanuelle MAILLET, Responsable SIRH et Lead Privacy Champion

Comment avez-vous pris connaissance du RGPD ? Et quelles ont été vos premières réflexions sur l’impact pour votre métier ?

Dès 2016, le service juridique a entrepris de sensibiliser les différents métiers de l’entreprise à l’impact du règlement sur leurs pratiques et leurs systèmes.
En 2018, un DPO a été nommé, et a lancé un audit pour faire l’état des lieux de la conformité.
Des référents par métier ont alors été impliqués pour contribuer, ce qui a été mon cas, en tant que Référente Données Personnelles Salariés.

Nos premières réflexions ont été que le règlement allait créer une charge de travail importante pour mettre à jour ou créer les documentations nécessaires (registre, fiche descriptive des traitements, cartographie des données, analyse d’impact relative à la protection des données, contrats, …).

Nous avons également constaté qu’un travail important de sensibilisation / formation des acteurs RH concernés allait aussi être nécessaire pour intégrer le RGPD dans le quotidien.
Par ailleurs, il est vite devenu évident que tout acteur RH devait bien intégrer les principes du RGPD pour adapter sa pratique (même si la culture du métier RH est très empreinte de confidentialité, respect des données, le RGPD a obligé chacun à aller plus loin : se requestionner sur les habitudes de fonctionnement et les adapter au nouveau cadre légal).

Aujourd’hui qu’est ce qui a changé dans votre pratique professionnelle ?

Aujourd’hui, tout nouveau traitement est considéré sous l’angle RGPD dès le départ, et mes collègues RH (métier ou GRH) me contactent pour que nous analysions le traitement et vérifions ensemble que les principes du RGPD sont respectés (minimisation, base légale, information, sécurité, …)

La vision des uns et des autres par rapport au règlement évolue : de contrainte supplémentaire, cette analyse et mise en conformité devient peu à peu une opportunité de simplifier et fiabiliser / sécuriser les traitements de données salariés.

Les politiques de protection des données (interne et externe) deviennent des documents de référence dans l’entreprise, tant localement qu’au niveau international.
Pour ma part, en tant que spécialiste SIRH, le « réflexe RGPD » est présent au quotidien.

Quelles sont pour vous les clés de ce changement ?

L’accompagnement du changement a nécessité plusieurs étapes :

- Pour ma part, un travail d’appropriation du texte légal, des interprétations du texte (via une veille, via une participation à des groupes d’échanges sur le sujet, …) pour me permettre de le vulgariser pour les collègues n’ayant encore jamais été sensibilisés, tout en approfondissant suffisamment pour répondre à des questions plus pointues.
- Sensibilisation des équipes RH par le service juridique et/ou moi (en tant que référente données personnelles salariés & traitements RH), à plusieurs reprises, dans plusieurs réunions métier identifiées, et de façon suivie dans le temps (rappels plusieurs fois par an).
- Demande de contribution des différentes équipes RH au travail de recensement pour l’audit.
- Mise en place, par la DPO, d’un programme e-learning de sensibilisation/formation pour tous les salariés européens, avec appui des RRH.
- Intégration des principes du RGPD dans les ateliers, intégration de tout nouvel arrivant.
- Mise en place d’outils d’aide au diagnostic de la conformité pour les traitements existants et pour tout nouveau traitement.
- Création d’outils de sensibilisation spécialisé RH (recrutement, GRH, …).

Pensez-vous que les principes du RGPD devraient faire l’objet d’un temps de formation spécifique dans les formations à votre métier ?

Sans aucun doute, cela devrait maintenant faire partie de tous les cursus d’études RH quel que soit le niveau et le type de métier RH.
Les principes du RGPD sont complémentaires au cadre légal social, au devoir de confidentialité et réserve des métiers RH, et devrait donc trouver sa place dans tous les cursus (formation initiale ou continue).

Quels sont les facteurs de succès d’un DPO pour faire comprendre son rôle et le RGPD ?

- Une adhésion et un soutien de la Direction Générale de l’entreprise, ainsi que de toute la ligne managériale.
- La mise en place d’un réseau de référents internes qui représentent les différents métiers, qui permet au DPO de confronter sa solide connaissance du cadre légal à la réalité et aux besoins métiers, et à adapter ses réponses/conseils/exigences au terrain.
- Des ressources (financières et humaines) qui lui permettent de lancer des actions de sensibilisation, des formations, des audits …
- La participation à des réseaux de DPO, l’adhésion à des bases de données professionnelles et d’échanges sur le sujet.

Avez-vous un exemple à nous partager sur votre collaboration avec le DPO ?

Avec la DPO actuelle, nous avons mis en place des points de suivi bimensuels, pour faire le point sur l’avancée/ la mise à jour des documents « conformité », pour travailler ensemble sur des réponses aux sollicitations de mes collègues RH ou managers, pour suivre ensemble les actions de formation et sensibilisation au RGPD, pour suivre l’actualité du cadre légal (ex : jurisprudences, …)
C’est maintenant ancré dans notre quotidien et cette collaboration est très enrichissante pour les deux métiers je pense.

Jean Emmanuel CUIOC, Directeur groupe du système d’information décisionnel

Comment avez-vous pris connaissance du RGPD ? Et quelles ont été vos premières réflexions sur l’impact pour votre métier ?

Au sein du groupe, à mon arrivée, une des premières personnes rencontrées lors de ma période d’intégration a été la DPO, madame Nathalie Bailly. On m’a présenté la vision du RGPD dans le groupe et les registres de traitement. Tout de suite la prise en compte du RGPD s’est avérée incontournable dans ma fonction.

Au-delà de mes contacts avec la DPO, j’ai découvert le RGPD sous deux aspects :
- Dans la continuité des déclarations de traitement que nous faisions auparavant à la CNIL ou à l’Autorité de contrôle prudentiel et de résolution (ACPR).
- Du côté du système d’information avec les projets de cartographie des données personnelles, les traitements et les modélisations. Le Privacy by design devient très important. Auparavant les systèmes étaient conçus avec une finalité macro, le plus large possible pour recueillir le plus de données possible sans vraiment savoir comment et si elles seraient toutes traitées. Aujourd’hui le RGPD impose un système plus agile qui ne collecte pas par défaut. Cela a changé la façon de concevoir les solutions techniques : être précis sur le cadre, sur les traitements et intégrer le Privacy by design. Il faut anticiper en se posant les bonnes questions : que doit-on garder ? ne pas garder ? et en mesurer les impacts sur le score.

Le RGPD est donc pour moi une continuité et une « contrainte réglementaire », mais aussi une montée en puissance du côté de la solution technique.

Aujourd’hui, qu’est ce qui a changé dans votre pratique professionnelle de Chief data Officer ?

Le RGPD a permis d’ouvrir une réflexion sur un certain nombre de choses. Ce sont des règles mais pour autant cela n’empêche pas de faire des traitements intéressants pour lesquels sans données personnelles on ne peut agir.

Le RGPD a ouvert le champ des possibles notamment sur la « purge » des données. Cela emmène une réflexion sur comment on conçoit un traitement, quelle est la valeur des données traitées, quelles sont les possibilités d’analyse.

Aujourd’hui, la notion de donnée personnelle devient floue, le Big Data peut rendre personnelles des données qui ne l‘étaient pas (par exemple les données géographiques).

Suite à l’entrée en application du RGPD, une partie des données collectées auparavant ne pouvaient plus l’être. Aujourd’hui, on a passé le cap de la frustration, par exemple pour le Marketing, la démonstration a été faite que la perte de données ou leur destruction n’entrainaient pas de perte en terme d’analyse. On ne constate pas encore d’augmentation de la performance du traitement des données. Ce gain sera probablement possible grâce au Big Data et au Deep Learning.

Au-delà du changement dans ma pratique professionnelle, le traitement des données personnelles est devenu un sujet éthique fort pour les entreprises. Cet aspect a vocation à devenir central dans la gouvernance. Une entreprise par rapport à son positionnement éthique devrait aller plus loin que le RGPD. Le RGPD ne fixe qu’un cadre minimal. Demain la confiance numérique sera un facteur de différentiation plus particulièrement dans le domaine des services et à fortiori dans le secteur de l’assurance.

Quelles sont pour vous les clés de ces changements dans votre pratique professionnelle ?

La clé essentielle pour ces changements c’est de ne pas vivre ce Règlement uniquement comme une contrainte sinon il y a un risque de fermer un certain nombre de portes. Dans le groupe IMA, le RGPD ne nous a pas été présenté comme une simple contrainte, on a pris du recul et cela a permis d’amener une réflexion sur le recueil des données et comment les valoriser.

Pensez-vous que les principes du RGPD devraient faire l’objet d’un temps de formation spécifique dans les formations de Data Officer, RH/ marketing, … ?

Dans le cadre de mon rôle de CDO (Chief Data Officer) j’ai eu recours à l’auto-formation via les modules du Conservatoire national des arts et métiers. Cela parait essentiel. Cela doit faire partie du parcours de formation avec module sur les concepts clés du RGPD par exemple dans la formation initiale des ingénieurs Big Data / IA, mais aussi pour le marketing et les ressources humaines.

Quels sont les facteurs de succès d’un DPO pour faire comprendre son rôle et le RGPD ?

Dans notre groupe, Madame Nathalie Bailly, DPO, est également directrice juridique, elle a donc une double casquette. Elle a une réelle capacité à se positionner au sein du groupe dans une posture d’accompagnement et non de contrainte. Elle traite sous l’angle de l’accompagnement et sous l’angle du risque porté.

Le DPO doit se positionner dans une posture d’accompagnement et de gestion du risque et non pas comme le « bras armé de la justice ».
Le positionnement du DPO dans l’organisation au plus près du responsable de traitement est essentiel, cela lui confère de la crédibilité et de la légitimité.
Le DPO doit faire preuve d’une grande intelligence organisationnelle pour pouvoir baliser le parcours vers la mise en conformité en prenant en compte les capacités d’investissement de l’entreprise.

Qu’est-ce qui vous a amené à témoigner sur votre propre expérience du RGPD et de la collaboration avec le DPO ?

La DPO du groupe m’a proposé de témoigner. Il faut faire valoir la voix du DPO, car cela peut mettre en avant les enjeux du RGPD et non pas le vivre comme une entrave.
Le RGPD traite de sujets qui ne sont pas simples mais on peut en retirer des sujets très intéressants pour l’entreprise mais aussi pour les équipes, cela n’est pas qu’un simple enjeu de conformité.

Avez-vous un exemple à nous partager sur votre collaboration avec le DPO ?

Je n’ai pas un exemple précis, la collaboration doit être très régulière et étroite. Dans notre groupe, la DPO est très proche du Responsable de Traitement, les nouveaux traitements sont balayés très régulièrement, elle est ainsi informée et nous nous sommes tenus au courant des évolutions de la réglementation. La récurrence des échanges est fondamentale, la collaboration doit se faire le plus en amont possible.
Lorsque l’organisation partage les enjeux du traitement et de la protection des données, on intègre le DPO comme un partenaire dans l’évolution des projets. Lors des phases de cadrage de projet la DPO est intégrée comme une instance de conseil : comment faire, dans quel cadre ?

Quelles sont les prochaines étapes pour vous ?

Une des prochaines étapes se situe au niveau de l’informatique avec une augmentation de la collecte de données qui s’accompagnera d’une rationalisation et d’une forte prise en compte du Privacy by design.

Emmanuelle MARTIN, Cheffe de mission SIG/Données et partenariats et Daniel THERY, Directeur du pôle SIG/Observatoire territorial

Comment avez-vous pris connaissance du RGPD ? Et quelles ont été vos premières réflexions sur l’impact pour votre métier ?

Via une veille juridique et technique globale constante sur tout ce qui touche les données et des échanges avec notre collègue devenue DPO par la suite. Les collègues du service informatique nous ont également alertés sur cette réglementation. Par ailleurs, la presse en a beaucoup parlé lors de son entrée en vigueur (donc trop tard, impossible de l’anticiper sans veille juridique).

Aujourd’hui qu’est ce qui a changé dans votre pratique professionnelle ?

- L’encadrement de notre transmission des données via un Acte d’engagement préexistant que nous avons modifié en prenant en compte le RGPD.
- La sensibilisation en interne de tous nos collègues au fait que quand il y a transmission de données à nos Bureaux d’études, il faut rédiger et faire signer un acte d’engagement. Cet acte d’engagement est mis à disposition dans un espace commun ainsi que sa notice explicative pour le remplir. On y trouve aussi le contact de la personne qui suit ces actes d’engagement.
- La création d’un dossier informatique de rangement numérique et de classeurs pour les documents papier (avec les originaux) de tous les actes d’engagement avec la mise en place d’une nomenclature de rangement et d’une convention de nommage pour ce qui est des fichiers numériques.
- L’identification d’une personne ressource (moi) qui suit et centralise tous les Actes d’engagement
- L’insertion d’une clause RGPD dans tous les cahiers des charges

Certaines de ces pratiques existaient en partie avant le RGPD. Nous avions pris attache avec la CNIL pour mettre en place certaines procédures. Mais le RGPD a permis de leur donner une visibilité et une cohérence, les rendant ainsi plus acceptables par les collègues concernés.

Quelles sont pour vous les clés de ce changement ?

Pour être « bien vécu » il faut que le RGPD s’intègre plus globalement à la gouvernance de la donnée pour qu’il ne soit pas vécu comme une contrainte supplémentaire et qu’il prenne tout son sens. Impérativement, il ne faut pas le traiter comme un sujet à part surtout compte tenu de sa transversalité par essence.
Eléments clés tels que je les comprends :
La sensibilisation /formation/éducation de l’ensemble des agents de notre structure aux notions clefs du RGPD à savoir : limiter les données transmises au périmètre thématique et géographique de l’étude, savoir ce qu’est une donnée à caractère personnel, identifier les droits (licences) spécifiques liés à certaines données (Institut national de l’information géographique IGN, …), pouvoir prouver en cas de besoin à la CNIL que nous sommes vigilants.
Le fait que nous soyons tous concernés dans notre vie personnelle au quotidien (par exemple le recueil du consentement à la collecte de données personnelles sur les sites internet) est aussi une manière de sensibiliser chacun d’entre nous et de rendre les contraintes du RGPD plus “acceptables” dans le cadre professionnel, car on en comprend mieux la finalité.

Pensez-vous que les principes du RGPD devraient faire l’objet d’un temps de formation spécifique dans les formations à votre métier ?

Dans le cadre de mon métier, Cheffe de missions SIG/Données et partenariats rattachée au pôle Système d’Information géographique, cela est indispensable.
Le RGPD a fait l’objet d’une information/sensibilisation de chacun des services concernés par des données lors de l’élaboration du registre par notre DPO, mais nos assistantes ont été aussi formées (toujours par notre DPO).
La formation est une bonne chose mais il faut, sans cesse, effectuer des actions pour sensibiliser tous les agents pour qu’il y ait un vrai réflexe RGPD qui se mette en place dès que l’on touche à des données. Ceci est plus complexe et passe, à mon avis, plus globalement par une culture de la donnée à tous les échelons hiérarchiques.
Il faut aussi intégrer la « gestion de la donnée » (échanges, production, usages…) dans toutes les fiches de poste et en parler lors de l’accueil des nouveaux agents.
Il faudrait sans doute une rapide initiation au RGPD et aux enjeux des données personnelles pour chaque nouveau salarié, lors de sa journée d’accueil par exemple.

Quels sont les facteurs de succès d’un DPO pour faire comprendre son rôle et le RGPD ?

Les facteurs de succès sont les suivants :
- La capacité d’écoute du DPO pour développer une connaissance de tous les métiers et pour tous niveaux hiérarchiques, de la collectivité afin de créer de la proximité avec tous les agents et traduire concrètement en actions ce que le RGPD induit au niveaux pratiques dans les missions de chacun.
- Mettre en place des rencontres physiques et régulières pour connaître leurs pratiques et les ajuster : les assister et les conseiller dans la mise en œuvre du RGPD
- Développer des actions de sensibilisation à la fois ludiques (quizz) et de formation plus approfondie et ce de manière continue !
- L’appropriation de ces enjeux par les salariés passe par des exemples pratiques plus que par l’enseignement de règles théoriques. Pourquoi ne pas partir d’un cas concret de fuites de données personnelles, explorer tous les désagréments que cela entraine et revenir sur les moyens pratiques de l’éviter ?

Avez-vous des exemples à nous partager sur votre collaboration avec le DPO ?

- L’élaboration du registre des traitement (pour notre pôle SIG + usagers des données habitat)
- La réflexion en cours sur les Conditions Générales d’Usage de l’accès au Web SIG
- Quel archivage pour les données cadastrales (Mise À Jour des Informations Cadastrales MAJIC)
- L’élaboration d’un protocole de données avec notre prestataire de logiciel S.I.G

Quelles sont les prochaines étapes pour vous ?

La mise en œuvre d’un programme d’action pour développer une « culture de la données » au sein de notre collectivité.
Une réflexion sur des outils de gouvernance de la donnée au sein de notre collectivité.

En savoir plus :

Télécharger la synthèse des résultats de l’étude 2020.
Télécharger les résultats complets de l’étude 2020
Télécharger l’étude sur le positionnement et les moyens des DPO dans les organisations