En seulement un an, entre avril 2019 et avril 2020, le nombre de délégués à la protection des données (DPO) déclarés auprès de la CNIL a plus que doublé en France, passant de près de 11 000 à plus de 21 000. Cette augmentation significative témoigne de l’importance croissante de la fonction de DPO dans le pays.

En effet, une étude menée en 2019 avait déjà montré une disparité importante dans les profils et les moyens associés à la fonction de DPO en France. C’est pourquoi, en 2020, une nouvelle étude a été réalisée pour mieux comprendre l’évolution de cette fonction. Les objectifs de cette étude étaient multiples : comprendre les conditions de travail liées à la fonction de DPO, étudier leur parcours professionnel, et enfin, comprendre comment ils se projettent dans l’avenir.

Le Délégué à la protection des données : une fonction ou une profession ?

La désignation d’un Délégué à la protection des données (DPO) au sein d’une organisation implique également sa nomination auprès de la CNIL. Le profil professionnel du DPO peut varier considérablement, car il peut provenir de différentes origines professionnelles et consacrer un temps de travail variable en fonction de l’activité générée par la protection des données personnelles au sein de sa structure.

Par exemple, dans un grand groupe, un directeur juridique peut être nommé DPO et consacrer 25% de son temps de travail à cette mission, en s’appuyant sur une équipe de 5 collaborateurs. En revanche, dans une PME où les données personnelles et les traitements sont nombreux, le responsable de la sécurité des systèmes d’information (RSSI) ou l’un des juristes de l’organisation peut être désigné comme DPO.

Le DPO peut également exercer sa fonction en tant que prestataire auprès de plusieurs clients. Cependant, les moyens dont le DPO dispose pour exercer sa fonction dépendent de la prise en compte de la centralité des données personnelles dans la gouvernance de l’organisation et des moyens que celle-ci peut mobiliser.

La question de savoir si le DPO est un métier est sujette à débat. Selon une étude menée en 2019, 89 % des DPO interrogés considéraient cette fonction comme un métier à part entière. Cela signifie que l’exercice de cette fonction nécessite des compétences spécifiques, des activités et des tâches professionnelles qui peuvent être définies et structurées et pour lesquelles on peut être formé.

Le métier de DPO est singulier en ce qu’il se trouve au carrefour de plusieurs domaines professionnels. Il exige des compétences juridiques, informatiques et techniques, ainsi que des compétences en communication et en gestion de projet. Bien que le DPO soit considéré comme une fonction dans la mesure où il s’agit d’un statut au sein d’une organisation désignée en interne et auprès de l’autorité de régulation (CNIL), il est également considéré comme un métier dans la mesure où l’exercice des missions, activités et tâches répond à une structuration de compétences singulières dans un domaine professionnel.

Des profils qui se diversifient

Lorsqu’il s’agit de désigner un Délégué à la Protection des Données (DPO), il existe trois typologies de profils en fonction des choix d’organisation de la ou des structures : le DPO interne, le DPO interne mutualisé et le DPO externe (service proposé par certaines entreprises de cybersécurité).

Selon une enquête menée auprès de 1 660 DPO désignés auprès de la CNIL, les DPO internes représentent 72% des cas, les DPO internes mutualisés 13,5 % et les DPO externes 14,7 %. Les DPO sont répartis à peu près de manière égale entre les sexes et sont qualifiés, majoritairement à un niveau de qualification 7 et 8. Bien que les domaines juridiques et informatiques restent prépondérants, on observe une diversification des champs d’expertise professionnelle, notamment avec l’apparition de profils issus des domaines de l’administratif, de la finance, de la comptabilité et de la qualité/conformité/audit. Les DPO internes et mutualisés sont souvent en CDI ou fonctionnaires, tandis que les DPO externes sont plus souvent des professionnels libéraux ou des dirigeants.

La majorité des DPO ont une expérience dans le domaine de « Informatique et Libertés » comprise entre 1 et 5 ans et sont concentrés en Île-de-France, Auvergne-Rhône-Alpes, Nouvelle-Aquitaine et Hauts-de-France. Les structures de plus de 1 000 salariés emploient 31 % des DPO, tandis que 10 % travaillent dans des structures de moins de 10 salariés.