Les DPO prêts à embarquer sur l’IA et sa conformité

Une mue du DPO comme celle du chief data officer ?

Comme les chief data officers, devenus pour nombre d’entre eux des chief data & AI officers, le DPO pourrait lui aussi voir son périmètre s’élargir pour intégrer l’IA et sa conformité réglementaire.

À l’image du CDO ou CDAIO, le DPO est un profil expérimenté. 45 % des DPO affichent plus de six ans d’exercice et une majorité de la profession dépasse désormais les 46 ans. Loin d’être un métier de débutants, la fonction de DPO s’affirme comme un poste d’expert senior au sein des organigrammes.

L’évolution des profils témoigne en outre d’une hybridation croissante. Si les premières années du RGPD étaient marquées par une domination des juristes et des informaticiens, ces derniers sont désormais minoritaires.

85 % des DPO exercent à temps partiel, principalement dans les secteurs de l’administration, de la santé et de la banque.

On observe l’émergence de profils plus « couteau suisse », des généralistes dont la polyvalence répond à la complexité des enjeux. Ce n’est pas vrai partout néanmoins. Une corrélation fine apparaît toutefois entre le profil et la taille de la structure. Ainsi, les juristes restent concentrés dans les grandes organisations, tandis que les profils polyvalents irriguent les structures plus agiles et plus petites.

Malgré cette assise, la réalité opérationnelle demeure précaire pour beaucoup. 85 % des DPO exercent à temps partiel, principalement dans les secteurs de l’administration, de la santé et de la banque.

Mais qu’ils soient à temps plein ou partiel, juriste ou polyvalent, tous les DPO voient déferler la vague de l’intelligence artificielle générative.

IA : entre déploiement massif et dépendance externe

L’IA est omniprésente avec un taux de pénétration de 50 %, qui culmine à 80 % dans les structures de plus de 5 000 salariés, d’après l’étude AFPA. L’adoption est massivement portée par l’IA générative grand public.

Mode de consommation de la GenAI : 73 % des organisations se procurent leurs systèmes auprès de fournisseurs externes.

Un fait majeur de l’étude réside dans le mode de consommation de la GenAI : 73 % des organisations se procurent leurs systèmes auprès de fournisseurs externes. Cette statistique est capitale, car elle modifie la nature même de la mission du DPO.

Au regard du règlement européen, le RIA, l’organisation ne se positionne plus comme un « développeur », mais comme un « déployeur ». Le centre de gravité de la conformité se déplace de l’audit de code vers l’audit de contrats et la gestion des risques liés à l’usage opérationnel.

Cette dépendance externe ne dispense pas les organisations de leurs responsabilités en matière de vie privée, puisque 58 % des systèmes IA déployés intègrent des données à caractère personnel. Le lien entre IA et RGPD est structurel et non optionnel.

Face à une adoption technologique souvent plus rapide que la mise en place de cadres de gestion internes, les organisations se voient contraintes de structurer en urgence une réponse de gouvernance pour éviter que le risque technologique ne devienne incontrôlable.

La gouvernance en construction : le duo central DSI-DPO

La supervision de l’IA redéfinit aussi les rapports de force internes. L’étude révèle un glissement « inattendu ». Le pilotage des projets d’IA repose sur un binôme dominant constitué de la DSI et du DPO.

Les directions de la donnée, les Data Offices, sont les grandes absentes de ce nouveau schéma. Elles dirigent moins de 10 % des projets. Ce chiffre suscite d’ailleurs la surprise des rapporteurs de l’AFCDP et de la CNIL, Muriel Glatin et Damien Elkind.

Dans ce paysage en construction, la sensibilisation et les chartes éthiques servent de premier rempart opérationnel pour 80 % des répondants. Le DPO s’impose ici comme un acteur de la politique interne. Chartes et sensibilisation lui permettent d’asseoir sa légitimité.

Et comme les projets d’IA dépassent le cadre des données personnelles, les DPO affichent leur volonté de voir leur champ de compétence être officiellement étendu aux nouvelles réglementations européennes.

L’ambition de conformité : le DPO face au RIA

71 % d’entre eux souhaitent explicitement que la conformité au RIA soit intégrée à leurs missions. … Mais 64 % des DPO admettent avoir une connaissance faible ou moyenne du texte.

Face à ce fossé entre ambition et compétence réelle – 68 % des professionnels n’ont pas encore reçu de formation spécifique – Damien Elkind, chef du service des délégués et de l’accompagnement à la CNIL, tient à rassurer. Le DPO ne sera pas « laissé sur le bord de la route » ; son expertise est la plus naturelle pour absorber ces nouvelles contraintes. En outre, le règlement général sur l’IA demeure relativement méconnu. D’après une étude du BCG de 2025, 72 % des 2 700 dirigeants interrogés jugent que leur entreprise n’est pas prête.

71 % des DPO souhaitent explicitement que la conformité au RIA soit intégrée à leurs missions. … Mais 64 % d’entre eux admettent avoir une connaissance faible ou moyenne du texte.

Préparation ou pas, pour 42 % des DPO, l’IA a déjà provoqué une mutation de leur quotidien. Cette évolution est perçue comme une opportunité, bien qu’elle alourdisse considérablement une charge de travail déjà dense.

La mutation de la fonction vers une « super-conformité » numérique semble inéluctable, mais elle exige une réponse immédiate en matière de formation technique et réglementaire pour combler le déficit de préparation constaté.

Les défis de la mise en œuvre du RIA

Sur le terrain, l’enthousiasme se heurte à une série de freins pragmatiques : manque de temps, cadre juridique instable et opacité de la documentation technique des fournisseurs. Muriel Glatin, secrétaire générale de l’AFCDP, critique vivement l’émergence de solutions de conformité automatisées à bas coût, citant l’exemple de propositions à « 59 € pour être en conformité ».

Ces « outils miracles » sont « illusoires » et « dangereux », car ils promettent une sécurité juridique sans l’analyse humaine nécessaire à la gestion de systèmes complexes.

La dimension humaine est également menacée par l’illusion d’une conformité automatisée.

Le risque est réel, selon des témoignages exprimés lors des universités de l’Afcdp. Or les intervenants ont martelé qu’un système automatisé ne pourra jamais remplacer la responsabilité humaine inhérente à la fonction de délégué.

La doctrine, cas d’usage de l’IA générative

Malgré ces tensions, les DPO font preuve d’un optimisme supérieur à la moyenne des salariés français. Seuls 27 % craignent d’être remplacés par l’IA, et 30 % l’utilisent déjà comme un levier d’efficacité dans leur propre métier. Lors l’édition 2025 des Universités des DPO, une entreprise témoignait d’ailleurs de son utilisation de l’IA pour appliquer le droit d’accès du RGPD.

En ce qui concerne le recours à l’IA, les DPO y voient d’abord un moyen d’optimiser l’accès à la doctrine. Rendue ardue par l’« infobésité réglementaire » sans précédent et la profusion documentaire.

Dans ce contexte, l’IA générative est un levier d’efficience. L’AFCDP, en collaboration avec des groupes de volontaires, explore d’ailleurs des cas d’usage concrets pour transformer cette masse d’informations.

Parmi les expérimentations, une concerne l’utilisation de Copilot pour faciliter la navigation au sein de la « Ruche », le référentiel interne de la doctrine de la CNIL, dont l’accès est jugé parfois complexe. Mais, insistent les DPO, la vérification humaine des résultats en sortie est non négociable pour pallier les risques d’hallucination ou d’interprétation erronée de la norme.