DPO : une fonction qui doit se professionnaliser

L'entrée en vigueur du Règlement général des données personnelles (RGPD), le 25 mai 2018, a introduit un nouvel acteur dans l'entreprise : le délégué à la protection des données personnelles (DPO). Remplaçant le Correspondant informatiques et libertés (CIL), il acquiert une place dans l'entreprise qui va aller grandissant, ce qui pose la question de sa professionnalisation. Le ministère du travail a mené une enquête en partenariat avec l'Afpa et la Cnil sur la fonction de DPO. Dévoilée, hier, lors de l'assemblée générale de l'Association française des correspondants aux données personnelles (AFCPD), elle dresse un portrait assez précis de ceux qui composent cette nouvelle fonction au sein de l'entreprise.

Premier constat : les DPO sont des professionnels heureux ! La majorité se déclare satisfaits ou très satisfaits de leur fonction. "100% de ceux que nous avons rencontrés en entretien sont passionnés", constate Alexandre Besnier, chargé de mission, prospective métier et politique de l'offre à l'Afpa.

Mais qui est le DPO ? Il s'agit indifféremment d'une femme ou d'un homme de plus de 40 ans, plutôt diplômé et en CDI. La moitié est rattachée directement à la direction générale. Le reste à la direction informatique ou à la direction juridique. Un quart ont moins d'un an d'expérience, ce qui est logique puisque que bien souvent ils ont été désignés après le 25 mai 2018. Les DPO sont issus principalement de deux domaines : l'informatique (34%) et le juridique (31,1%). La grande majorité est rattachée à la direction générale ou au secrétariat général (49%). Arrivent juste derrière, un rattachement à la DSI (16,5%) et au service juridique (12,9%).

Gestion du personnel

La gestion des ressources humaines (ou gestion du personnel) recouvre plusieurs domaines intéressant les RH :

- Le recrutement et la gestion de carrière (dont la formation professionnelle est un pan important) ;
- La gestion administrative du personnel ;
- La paie et la politique de rémunération et des avantages sociaux ;
- Les relations sociales.

Découvrir tous les contenus liés

Le rôle des DPO est plutôt bien circonscrit au sein de l'entreprise. Il exerce trois activités principales :

• cartographier les traitements et établir le registre ;
• sensibiliser et former les responsables de traitement, direction et salariés ;
• mettre en conformité les traitements existants.

Les DPO externes ont bien souvent en plus un travail de veille car les entreprises attendent d'eux une expertise.

Mais la fonction ne se résume pas à ces compétences techniques. "La fonction de DPO est un métier de communication, de diplomatie et de gestion de projets". Il s'agit d'un vrai métier pour 88% d'entre eux.

A noter qu'ils exercent bien souvent leur mission à temps partiel.

L’appel expert répond aux questions juridiques des professionnels RH

Je télécharge gratuitement

Reste à savoir si les entreprises ont intégré cette nouvelle fonction lors de l'élaboration de nouveaux projets. Si 40% des DPO sont consultés en amont des projets, ils sont près de 23% à l'être rarement ou jamais ! 40% des DPO disposent d'un budget propre. 42% n'en ont pas et ne pensent pas en bénéficier l'année prochaine, "ce qui ne veut pas dire qu'ils ne réussissent pas à avoir des moyens", insiste Alexandre Besnier.

"Les DPO travaillent pour trois-quarts d'entre eux, seuls. Toutefois, s'ils n'ont pas d'équipe, cela ne veut pas dire qu'ils ne travaillent pas en réseau, avec des personnes dans chaque service. Ils sont en mode projet", souligne Alexandre Besnier.

On le voit, les modalités d'exercice de leurs fonctions varient selon l'entreprise ou l'organisation à laquelle ils appartiennent.

Si les DPO se doivent d'être des experts de la protection des données personnelles, il va leur falloir encore un peu de patience pour maîtriser les subtilités du RGPD sur le bout des doigts. Plus d'un tiers des DPO avouent rencontrer des difficultés de maîtrise importantes du cadre légal. Autant dire que la question de la professionnalisation de la fonction est cruciale. Pour l'heure, les DPO apparaissent peu formés. Ceux qui l'ont été ont suivi une session entre un et cinq jours seulement.

Pour Alexandre Besnier, ce challenge est enthousiasmant. "On a rarement l'occasion de voir une nouvelle fonction apparaître. Il s'agit d'un métier hybride qui mêle plusieurs compétences et expertises. C'est une fonction qui mérite d'être considérée comme un métier et qui nécessite la maturité nécessaire pour bien connaître son secteur".

C'est bien dans cette voie de la professionnalisation que le ministère du travail compte aller. Selon Dimitri Forges, chargé de mission à la mission anticipation et développement de l'emploi et des compétences à la DGEFP,  une certification, un titre ou un diplôme permettant de reconnaître les compétences des DPO sur le marché du travail est à l'étude. Pourrait également être envisagé un bloc de compétences qui s'imbriquerait dans des certifications existantes.

En attendant, le ministère a bien l'intention de renouveler cette expérience. Une nouvelle enquête sera produite l'an prochain afin de suivre les évolutions du métier.