Baromètre AFCDP : les DPO dans le brouillard européen

Comme tous les trimestres, l’AFCDP (Association Française des Correspondants à la Protection des Données Personnelles) a réalisé, en juillet 2024, une étude auprès des DPO sur l’état des lieux de la protection des données personnelles dans leurs organisations respectives. L’association représentative des DPD (Délégués à la Protection des Données à caractère personnel) ou DPO (Data Privacy Officers) pose à la fois des questions récurrentes générales et réalise un focus sur un ou deux thèmes en lien avec l’actualité.

La question récurrente systématique concerne la confiance dans la protection des données privées au sein des organisations des répondants. Si l’on reste très loin des 100 % de confiance, il y a surtout un tassement par rapport au trimestre précédent : on passe ainsi de 46 % à 42 % de DPO confiants dans la capacité de l’organisation à suivre ses prescriptions tout en restant agile. 17 % se déclarent peu confiants à cause d’un environnement réglementaire instable. Enfin, 37 % estiment que la route est encore longue pour atteindre la conformité. Le solde (4 %) n’a pas répondu à cette question. Paul-Olivier Gibert, président de l’AFCDP, n’a pas été surpris de ce tassement : « cela ne nous étonne que peu aux vues du contexte des Jeux Olympiques qui met la France au centre de tous les regards, et ce, juste après une période d’instabilité politique au début de l’été. Cependant, nous constatons qu’une grande proportion des DPO se sent toujours écoutée et assez agile dans leur organisation pour s’adapter aux différents enjeux de conformités. »

Les DPO très loin de la maîtrise des textes et des transferts transfrontaliers

La récente sanction ayant frappé Uber a permis de rappeler que les transferts de données vers l’étranger en général, les Etats-Unis en particulier, demeurent délicats. L’AFCDP a, pour sa part, posé la question aux DPO de l’éventuel choix de rapatrier en Europe des traitements de données critiques ou métiers de leur organisation. La question avait déjà été posée en juillet 2021. La proportion d’organisations ayant fait le choix d’un rapatriement des données a progressé entre les deux dates, passant de 14 % à 19 %. A l’inverse, ceux y ayant renoncé à cause du coût ou de la complexité technique sont également plus nombreux, passant de 22 % à 27 %. Les non-répondants sont également plus nombreux : de 34 % à 38 %. Logiquement, ceux qui sont encore en réflexion ne sont plus que 16 %. Les DPO sont donc plus matures sur le sujet même si tout est loin d’avoir été tranché. « Le contexte réglementaire autour des traitements de données passant par les Etats-Unis reste très inconfortable pour les DPO qui ne se sentent toujours pas en mesure d’être en conformité » a observé Paul-Olivier Gibert.

Pour terminer, une question fréquente de l’AFCDP dans son baromètre concerne la bonne compréhension et la bonne connaissance des textes européens. Entre janvier 2022 et aujourd’hui, les DPO dans l’expectative sont passés de 46 % à 41 % et ceux en cours d’analyse d’impact sur leur entreprise de 46 % à 45 %. Les DPO se vantant d’une vision claire demeurent une espèce rare : 7 % en 2022, 8 % aujourd’hui ! Paul-Olivier Gibert juge quant à lui : « ces résultats ne nous semblent pas étonnants étant donné que les différents textes (DMA, DSA, DA, DGA, IA Act) ne sont pas tous totalement entrés en application, permettant au DPO un temps d’analyse afin de travailler sur des stratégies de mises en conformité. Rappelons par exemple que l’IA Act, tout juste entré en vigueur, ne sera vraiment en application que progressivement, à partir de 2025 et jusqu’en 2027. »