Pour la quatrième fois depuis 2018, le ministère du Travail, de l’Emploi et de l’Insertion a mobilisé l’AFPA pour la réalisation d'une étude destinée à observer les évolutions significatives du métier de délégué à la protection des données (DPD/DPO) depuis l’entrée en application du RGPD il y a 6 ans. Les résultats présentés dans cette édition de l’étude sont issus d’une enquête à laquelle ont participé 3625 délégués désignés auprès de la CNIL, interrogés entre janvier et février 2024. Les résultats sont dévoilés peu après le 6e anniversaire de l’entrée en application du RGPD.
Une étude récurrente pour suivre les évolutions
La première édition de l’étude, réalisée en 2019, un an après l’entrée en vigueur du RGPD, avait permis de dresser un « portrait robot » des délégués à la protection des données (DPD/DPO) ; elle notait la disparité des profils et analysait les moyens associés à la fonction de DPD/DPO.
La seconde édition, réalisée début 2020 auprès de 1660 délégués, analysait l’évolution de ce métier en approfondissant plusieurs thèmes pour mieux comprendre qui sont les DPD/DPO, et évaluer comment les accompagner dans ce nouveau métier.
La troisième édition, fin 2021, a interrogé 1811 DPO en particulier sur les évolutions du métier, mais aussi de ses différentes caractéristiques, permettant de réaliser un profil type du DPO en 2021.
Dans la suite de ces premières études, la présente édition contribue, pour les professionnels de la protection des données, à l’analyse du métier de DPO la plus large et la plus représentative, et souligne, au-delà du portrait des DPD/DPO, des points de vigilance sur la perception des enjeux du RGPD par les délégués, qu’ils soient débutants ou confirmés.
Quelles évolutions pour le métier de délégué à la protection de données ?
Alors que le nombre de DPD/DPO désignés auprès de la CNIL est passé de 21 000 en 2019 à 34 440 début 2024, cette forte augmentation s’est caractérisée par un développement de la présence des DPD/DPO dans petites et moyennes structures, 54 % des DPD/DPO internes exerçant dans une structure de moins de 250 salariés (contre 38 % en 2019).
Cette évolution s’est accompagnée d’un changement progressif des profils, avec la domination de DPD/DPO issus de domaines d’expertise autres que l’informatique et le juridique. Ils sont 51 % alors qu’en 2019 ils ne représentaient que 39 % du total, pour 34 % d’informaticiens et 31 % de juristes.
Au-delà de l’analyse des évolutions observées entre 2019 et 2024, l’analyse s’est donc focalisée sur les professionnels issus des domaines hors informatique et juridique, ceux qui exercent dans les structures
de moins de 250 salariés, mais aussi sur les DPD/DPO désignés depuis moins d’un an, et sur les DPD/DPO externes. Chacune de ces explorations a fait l’objet d’une fiche thématique accompagnant le rapport global.
Ces documents sont consultables sur les sites de la CNIL et de l’AFCDP, où l’on peut également trouver les résultats des précédentes éditions.
Le profil type d’un DPD/DPO en 2024
Avec les réponses apportées par les DPD/DPO qui ont répondu à l’enquête, nous pouvons dresser un profil type des DPD/DPO :
● Égale représentation des femmes (51 %) et des hommes (49 %) ;
● 70 % exercent hors Île-de-France (+5 points par rapport à 2019) ;
● 60 % sont issus de formation supérieure, de niveau 7 ou 8 (-8 points) ;
● 69 % sont âgés de 40 et plus (+6 points) ;
● 85 % exercent à temps partiel en plus d’une autre fonction (+16 points).
Les DPD/DPO évaluent l’exercice de leur fonction : des éléments à retenir
Parmi les enseignements de l’étude, on peut retenir ces constats :
72 % des répondants DPO internes et mutualisés estiment que leurs recommandations sont écoutées et régulièrement suivies ;
62 % des DPO répondants sont conviés lorsque la thématique RGPD est abordée en plus haute instance ;
91 % sont convaincus de l’utilité sociale de la fonction et du métier de DPO pour la protection des données personnelles des clients, des usagers, des citoyens ;
54 % des répondants sont satisfaits de l’exercice de leur fonction ;
57 % des répondants DPO internes et mutualisés travaillent dans des structures de moins de 250 salariés (+19 pts par rapport à 2019).
Un point de vigilance : une perception des enjeux du RGPD contrastée
Le développement des DPD/DPO au sein de plus petites structures, souvent associé à des moyens plus limités et à des profils « hors juridique et informatique », pourrait conduire une partie des DPD/DPO à moins bien percevoir les enjeux de leurs missions, les moyens à y associer et les attentes en termes de résultats.
Cela pourrait constituer une zone de fragilité pour les organisations. La désignation d’un DPO n’est en effet que le début d’un processus de mise en conformité, et il reste à définir les moyens de mieux sensibiliser les responsables de traitements autant que les DPD/DPO, qui peuvent avoir une représentation hétérogène des exigences du RGPD.
C’est également le cas pour le temps de travail consacré à la mission, dont la durée influence la perception du niveau de compétence requis. En effet, le temps consacré à la mise en conformité permet la prise en compte de l’étendue du cadre du RGPD et du niveau de compétences nécessaire pour y parvenir.
Une étude récurrente pour suivre les évolutions
La première édition de l’étude, réalisée en 2019, un an après l’entrée en vigueur du RGPD, avait permis de dresser un « portrait robot » des délégués à la protection des données (DPD/DPO) ; elle notait la disparité des profils et analysait les moyens associés à la fonction de DPD/DPO.
La seconde édition, réalisée début 2020 auprès de 1660 délégués, analysait l’évolution de ce métier en approfondissant plusieurs thèmes pour mieux comprendre qui sont les DPD/DPO, et évaluer comment les accompagner dans ce nouveau métier.
La troisième édition, fin 2021, a interrogé 1811 DPO en particulier sur les évolutions du métier, mais aussi de ses différentes caractéristiques, permettant de réaliser un profil type du DPO en 2021.
Dans la suite de ces premières études, la présente édition contribue, pour les professionnels de la protection des données, à l’analyse du métier de DPO la plus large et la plus représentative, et souligne, au-delà du portrait des DPD/DPO, des points de vigilance sur la perception des enjeux du RGPD par les délégués, qu’ils soient débutants ou confirmés.
Quelles évolutions pour le métier de délégué à la protection de données ?
Alors que le nombre de DPD/DPO désignés auprès de la CNIL est passé de 21 000 en 2019 à 34 440 début 2024, cette forte augmentation s’est caractérisée par un développement de la présence des DPD/DPO dans petites et moyennes structures, 54 % des DPD/DPO internes exerçant dans une structure de moins de 250 salariés (contre 38 % en 2019).
Cette évolution s’est accompagnée d’un changement progressif des profils, avec la domination de DPD/DPO issus de domaines d’expertise autres que l’informatique et le juridique. Ils sont 51 % alors qu’en 2019 ils ne représentaient que 39 % du total, pour 34 % d’informaticiens et 31 % de juristes.
Au-delà de l’analyse des évolutions observées entre 2019 et 2024, l’analyse s’est donc focalisée sur les professionnels issus des domaines hors informatique et juridique, ceux qui exercent dans les structures
de moins de 250 salariés, mais aussi sur les DPD/DPO désignés depuis moins d’un an, et sur les DPD/DPO externes. Chacune de ces explorations a fait l’objet d’une fiche thématique accompagnant le rapport global.
Ces documents sont consultables sur les sites de la CNIL et de l’AFCDP, où l’on peut également trouver les résultats des précédentes éditions.
Le profil type d’un DPD/DPO en 2024
Avec les réponses apportées par les DPD/DPO qui ont répondu à l’enquête, nous pouvons dresser un profil type des DPD/DPO :
● Égale représentation des femmes (51 %) et des hommes (49 %) ;
● 70 % exercent hors Île-de-France (+5 points par rapport à 2019) ;
● 60 % sont issus de formation supérieure, de niveau 7 ou 8 (-8 points) ;
● 69 % sont âgés de 40 et plus (+6 points) ;
● 85 % exercent à temps partiel en plus d’une autre fonction (+16 points).
Les DPD/DPO évaluent l’exercice de leur fonction : des éléments à retenir
Parmi les enseignements de l’étude, on peut retenir ces constats :
72 % des répondants DPO internes et mutualisés estiment que leurs recommandations sont écoutées et régulièrement suivies ;
62 % des DPO répondants sont conviés lorsque la thématique RGPD est abordée en plus haute instance ;
91 % sont convaincus de l’utilité sociale de la fonction et du métier de DPO pour la protection des données personnelles des clients, des usagers, des citoyens ;
54 % des répondants sont satisfaits de l’exercice de leur fonction ;
57 % des répondants DPO internes et mutualisés travaillent dans des structures de moins de 250 salariés (+19 pts par rapport à 2019).
Un point de vigilance : une perception des enjeux du RGPD contrastée
Le développement des DPD/DPO au sein de plus petites structures, souvent associé à des moyens plus limités et à des profils « hors juridique et informatique », pourrait conduire une partie des DPD/DPO à moins bien percevoir les enjeux de leurs missions, les moyens à y associer et les attentes en termes de résultats.
Cela pourrait constituer une zone de fragilité pour les organisations. La désignation d’un DPO n’est en effet que le début d’un processus de mise en conformité, et il reste à définir les moyens de mieux sensibiliser les responsables de traitements autant que les DPD/DPO, qui peuvent avoir une représentation hétérogène des exigences du RGPD.
C’est également le cas pour le temps de travail consacré à la mission, dont la durée influence la perception du niveau de compétence requis. En effet, le temps consacré à la mise en conformité permet la prise en compte de l’étendue du cadre du RGPD et du niveau de compétences nécessaire pour y parvenir.
Autres articles
-
Podcast : Données personnelles, reprenons le contrôle, avec Cécile Petitgand
-
Protection des données : 67% des DPO se sentent concernés par l'IA Act
-
Data Legal Drive révolutionne la conformité RGPD avec l’IA
-
La fonction de Délégué/déléguée à la Protection des Données (DPD/DPO) ne devrait-elle pas collaborer avec la fonction RSE ?
-
5 ANS DU RGPD : Les 5 temps forts selon les DPO
