Le ministère du Travail, de la Santé et des Solidarités a publié sa traditionnelle étude sur le métier de Délégué à la protection des données (DPD/DPO), réalisée par la direction prospective de l’AFPA en partenariat avec la CNIL et l’association des DPO français, l’AFCDP.

C’est la quatrième fois depuis 2018 et l’entrée en application du RGPD que le ministère publie un rapport sur le sujet. Le but du ministère du Travail est d’observer les évolutions significatives du métier de DPO. Et parmi les résultats importants de l’édition 2024, l’étude note un net recul des profils IT et juridiques.

Plus de la moitié des DPO ne sont ni juristes, ni IT En 2019, le premier rapport avait dressé un « portrait robot » qui montrait la disparité des profils et les moyens associés à la fonction de DPD/DPO. Mais ces profils étaient tout de même très majoritairement issus des deux départements légaux et technologiques (IT). Aujourd’hui, les choses ont bien changé. Ce qui impliquerait de nouveaux points de vigilance, notamment sur la perception des enjeux du RGPD par les délégués. En quoi les choses ont-elles changé ? Tout d’abord, le nombre de DPD/DPOs désignés auprès de la CNIL est passé de 21 000 en 2019 à 34 440 début 2024 (+60 %). Une très bonne nouvelle pour l’AFCDP, qui a pourtant un « mais ». Cette forte augmentation s’explique par le développement des DPD/DPO dans les PME. Aujourd’hui, 54 % des DPD/DPO internes exercent dans une structure de moins de 250 salariés (contre 38 % en 2019). Or cette évolution s’est accompagnée d’un changement progressif des profils : 51 % exactement des DPOs sont désormais issus de domaines d’expertise autres que l’informatique et le juridique. « En 2019, ils ne représentaient que 39 % du total, pour 34 % d’informaticiens et 31 % de juristes », rappelle l’association. « Le développement des DPD/DPO au sein de plus petites structures, souvent associé à des moyens plus limités et à des profils “hors juridique et informatique”, pourrait conduire une partie des DPD/DPO à moins bien percevoir les enjeux de leurs missions […]. » AFCDP Un autre changement majeur est le recul des profils issus de formations supérieures, « de niveau 7 ou 8 » (60 %, -8 points depuis 2019). Et ils sont de plus en plus à exercer cette fonction de DPO à temps partiel, en plus d’une autre fonction (85 %, +16 points).

Prudence et « zone de fragilité » Ces éléments, s’ils sont logiques, poussent l’AFCDP à la prudence. « Le développement des DPD/DPO au sein de plus petites structures, souvent associé à des moyens plus limités et à des profils “hors juridique et informatique”, pourrait conduire une partie des DPD/DPO à moins bien percevoir les enjeux de leurs missions, les moyens à y associer et les attentes en termes de résultats », craint l’association. L’AFCDP évoque même « une zone de fragilité » possible pour les entreprises. « La désignation d’un DPO n’est en effet que le début d’un processus de mise en conformité », rappelle l’association. « Il reste [ensuite] à définir les moyens de mieux sensibiliser les responsables de traitements […] qui peuvent avoir une représentation hétérogène des exigences du RGPD ». Le temps de travail consacré à la mission et le degré de compétences des profils seraient ici clefs pour « bien prendre en compte l’étendue du cadre du RGPD ».