LA CNIL ALERTE SUR LE MANQUE DE MOYENS ALLOUÉS AUX DÉLÉGUÉS À LA PROTECTION DES DONNÉES DANS LES PETITES STRUCTURES
Cinq ans après l’entrée en application du RGPD, la Cnil a mené une enquête sur le métier de délégués à la protection des données (DPD). Si la fonction évolue, le développement de cette profession au sein des plus petites structures est souvent associé à moins de moyens.
Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré en vigueur. A suivi, le 20 juin 2018, la publication au JO de la loi relative à la protection des données personnelles qui adapte le RGPD à la loi française.
Une des grandes nouveautés du RGPD par rapport à la loi Informatique et libertés : la responsabilisation des acteurs qui traitent les données à caractère personnel. Ces derniers doivent en effet prendre toutes les mesures en matière de protection des données personnelles et démontrer leur conformité.
En conséquence, le RGPD impose « à toute collectivité territoriale, quelle que soit sa taille, de désigner un délégué à la protection des données qui sera le pilote de sa mise en conformité » (lire Maire info du 1er décembre 2021).
Lundi, le ministère du Travail, de la santé et des solidarités, la CNIL et l’AFCDP ont publié une enquête menée en 2024 dans le cadre de l’observatoire dédié au métier de DPD. Cette dernière confirme que la taille de l’organisation pour lequel le DPD travaille a une influence sur son profil mais aussi sur ces capacités à évaluer les risques et à réaliser leurs missions. Les petites communes seraient donc de fait pénalisées alors même qu’elles sont de plus en plus victimes de cyberattaques.
Manque de formation
L’enquête réalisée auprès 3 625 délégués à la protection des données met en lumière le fait que la taille de l’organisation a une influence sur le profil du professionnel et sur sa spécialisation.
« Plus la taille de l’organisation est importante, plus les profils juridiques sont représentés, peut-on lire sur le site de la Cnil. À l’inverse, plus l’organisation est de petite taille, plus les DPD hors profils « informatique » et « juridique » sont nombreux. »
La Cnil montre que 78 % des DPD exercent leur fonction en interne et 60 % sont issus de formation supérieure (niveau master ou doctorat) avec une ancienneté dans la fonction de 3 à 5 ans pour 61 % d’entre eux. On observe surtout « une diminution continue du niveau de qualification des DPO de formation supérieure (- 8 points entre 2019 et 2024) ».
Sur ce point la Cnil appelle à la vigilance : la prolifération de profils « hors juridique et informatique » pourrait « conduire une partie des DPD à moins bien percevoir les enjeux de leurs missions, les moyens à y associer et les attentes en termes de résultats. Cela pourrait constituer une zone de fragilité pour les organisations. La désignation d’un DPD n’est que le début d’un processus de mise en conformité. Il reste à définir les moyens de mieux sensibiliser les responsables de traitement autant que les DPD qui peuvent avoir une représentation hétérogène et parfois distante des exigences du RGPD ».
Moins de moyens pour les petites structures
Il y a davantage de DPD dans les petites structures en 2024 que les années précédentes : 57 % des répondants DPO internes et mutualisés travaillent dans des structures de moins de 250 salariés (+19 points par rapport à 2019). Cependant, « ce développement au sein de plus petites structures est souvent associé à moins de moyens » et « comporte un risque que ces DPO soient moins en capacité d’évaluer les risques et de réaliser leurs missions. »
Rappelons que la Cnil a mené en 2023 des contrôles auprès de 14 organismes publics et que ces derniers révélaient que les DPD ne sont pas tous égaux dans leur capacité à exercer correctement leurs missions (lire Maire info du 24 janvier). Manque de temps suffisant pour remplir toutes leurs tâches, absence d’aide dans l’exécution de leurs missions : ces résultats d’enquête confirment une fois encore l’existence de disparités de moyens entre les DPD « de grandes entreprises et ceux des petites collectivités ». En effet, comme l’indique la Cnil, « le délégué « public » exerce souvent ses fonctions seul tandis que le délégué « privé » dispose généralement d’une équipe ».
Résultat, les conditions de travail des DPD sont impactées et ils sont désormais seulement 54 % à se déclarer satisfait de l’exercice de leur fonction en 2024. Ils étaient 68 % en 2019. Et une fois de plus, les petites collectivités sont défavorisées en la matière.
« Dans ce contexte, la CNIL va renforcer sa vigilance sur les phases de désignation (éléments à vérifier par le responsable de traitement avant de désigner un DPO, amélioration des informations et recommandations lors de la prise de fonction) et sur les moyens accordés aux DPO pour exercer les missions (temps disponible/taille/nombre d’organismes dans le périmètre, information du DPO lors de la conception des projets, formations du DPO, etc.). De nouveaux outils seront proposés pour contribuer à cette amélioration en concertation avec les associations de DPO (par ex : modèle de rapport annuel, lettre de mission, nouveaux emails aux DPO et aux responsables de traitements lors de la désignation, etc.) »
Édition du mercredi 3 juillet 2024
Par Lucile Bonnin
Pour maire-info.com