Dans le Règlement général sur la protection des données (RGPD), le délégué à la protection des données (DPD) a un rôle central. Une enquête menée par Innofact pour Usercentrics et Siinda montre que seuls 16 % des entreprises n’en disposent pas.
Accompagner l’entreprise dans la conformité au RGPD
Qualifié de « chef d’orchestre » de la conformité en matière de protection des données par la CNIL, le DPD a pour rôle d’informer et de conseiller l’entreprise qui l’a désigné, mais aussi de contrôler le respect du règlement et du droit national.
Cet accompagnement se traduit par différentes actions :
- cartographier les traitements,
- prioriser les actions à mener,
- gérer les risques,
- organiser les procédures internes,
- documenter la conformité.
Le délégué à la protection des données est également amené à piloter la conformité en :
- structurant et animant son réseau en interne et en externe,
- sensibilisant les collaborateurs via la création de contenus thématiques et l’initiation d’une réflexion globale sur la mise en place d’une politique de protection des données dans la structure dans laquelle il exerce.
La désignation d’un DPD est obligatoire si :
- le traitement est réalisé par une entité publique,
- la structure exerce une activité qui consiste à « réaliser un suivi régulier et systématique des personnes à grande échelle » ou effectue un traitement concernant des données sensibles ou en lien avec des condamnations pénales et infractions.
Lorsque l’organisation ne coche aucun de ces critères, la nomination du délégué à la protection des données reste facultative.
Les PME se considèrent bien positionnées en matière de protection des données
Les progrès accomplis par les PME européennes depuis l’entrée en vigueur du RGPD en 2018 sont réels. Une étude sur le sujet a été réalisée à la demande de l’éditeur Usercentrics et l’association d’entreprises Siinda dans le cadre de laquelle 600 cadres travaillant dans des PME françaises, allemandes et britanniques ont été interrogés. Il ressort que plus de 68 % des sondés se considèrent bien positionnés en matière de protection des données. De plus, les entreprises européennes disposent très largement d’un délégué à la protection des données. Seules 16 % indiquent ne pas en avoir nommé.
Pour autant, en France, la CNIL, qui joue un rôle majeur dans le contrôle et l’application du RGPD, considère qu’il reste encore beaucoup à faire. En effet, la nomination d’un DPD ne garantit pas une pleine prise en compte des enjeux de confidentialité des données. Selon l’AFPA, en 2020, 63 % des délégués à la protection des données ne bénéficiaient pas d’un budget spécifique.
Aujourd’hui, 41 % des entreprises françaises estiment que la protection des données est bénéfique pour elles. Toutefois, un quart des sondés perçoivent la conformité comme un centre de coûts et voient leur modèle commercial menacé par le renforcement des réglementations. Ainsi, les espoirs et les attentes suscités par l’adoption du RGPD restent encore à concrétiser.