Dans une étude réalisée par l’AFPA, le ministère du Travail dresse une photographie du métier de délégué à la protection des données (ou Data protection officer, DPO), en mettant en exergue les principales évolutions depuis 2019.
La fonction de délégué à la protection des données à caractère personnel est encadrée par les articles 37 à 39 du RGPD. Sa désignation, en principe optionnelle, devient obligatoire dans trois grandes hypothèses.
Cela concerne d’un, les traitements mis en œuvre par une autorité ou un organisme public, de deux, le suivi « régulier et systématique à grande échelle » des personnes physiques, et enfin la situation où un traitement à grande échelle concerne des données dites sensibles.
Sans surprise, l’entrée en application du RGPD a engendré l’arrivée d’une vague de « DPO », sachant que le règlement exige que ce délégué soit « désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions ».
Pour rappel, il doit être associé « à toutes les questions relatives à la protection des données à caractère personnel ». Il doit bénéficier à cette fin des ressources nécessaires pour exercer ces missions. Il ne reçoit aucune instruction concernant l’exercice des missions et est soumis au secret professionnel ou à une obligation de confidentialité.
Ses missions vont donc de l’information et du conseil du responsable du traitement (outre le sous-traitant et les employés), au contrôle du respect du règlement en passant par la coopération avec l’autorité de contrôle. Il est d’ailleurs le « point de contact » pour la CNIL et ses homologues européens. Bref, un rôle pivot au sein des structures concernées.
C’est dans ce contexte règlementaire, quatre ans après l’entrée en application du RGPD, une étude pour le ministère du Travail fait le point sur le métier de délégué à la protection des données. Elle a été réalisée auprès de 1 811 DPO, interrogés entre septembre et octobre 2021.
Elle est éditée par l’Agence pour la Formation Professionnelle des Adultes (AFPA), avec le soutien de la CNIL, de l’Association Française des Correspondants à la Protection des Données (AFCDP) et l’ISEP, école d’ingénieurs du numérique.