Etude Deloitte/Beltug: quel rôle et quels défis pour les DPO?

Hors-cadre
Par · 13/10/2022

En collaboration avec Beltug, association belge de directeurs informatiques et de responsables numériques, Deloitte publie les résultats d’une étude sur le comportement et les pratiques des entreprises belges en matière de RGPD. 

Objectif de l’étude et de ses constats: “fournir aux moyennes et grandes entreprises et à leurs délégués à la protection des données un point de référence afin qu’ils puissent comparer leur approche à celle d’autres organisations”.

A noter que l’échantillon de responsables Protection des données est restreint: seulement 28 d’entre eux ont répondu aux quelque 44 questions de l’étude. Ils opèrent pour des sociétés actives dans différents secteurs – finances, banque et assurances, soins de santé et secteur pharmaceutique, secteur public. 

Voici quelques constats posés par l’étude…
Bien qu’ils doivent obligatoirement répondre à certaines conditions légales (notamment faire preuve d’une réelle indépendance et neutralité vis-à-vis des dirigeants dans leur travail de veille et de protection des données vie privée), les délégués à la protection des données (DPD ; digital protection officer en anglais) n’occupent pas forcément la même position dans l’organigramme des entreprises. Dans l’échantillon d’entreprises étudiées par Deloitte, 23% des DPD évoluent au sein du service juridique, 23 autres pour-cents font partie du service “Conformité”. 9% oeuvrent sous la coupole du service informatique/sécurité. Ce qui laisse pas moins de 45% évoluant dans “d’autres départements”. 

Un peu plus de la moitié des entreprises étudiées emploient un DPD à temps plein ou font appel à un service externe. Le reste n’emploie, au mieux, un DPD qu’à temps partiel.

Un budget variable

Les auteurs de l’étude relèvent par ailleurs que les budgets alloués à la mise et au maintien de la conformité légale et juridique en matière de protection des données varie fortement d’une société à l’autre. Difficile d’en tirer des conclusions vu la grande diversité de taille, d’activités, de situations… Toutefois, une mise en garde est émise, de manière plus spécifique à destination des entreprises qui semblent peut-être trop se reposer sur leurs acquis ou sur la perception, trompeuse, qu’elles sont en ordre. Voici ce que déclare Alexandra Jaspar, responsable de l’équipe Protection and Privacy chez Deloitte: “Avec l’évolution de plus en plus rapide des réglementations mondiales en matière de protection des données (numériques), nous prévoyons que les entreprises qui ne parviennent pas à déterminer exactement comment déployer le rôle de DPD et lui allouer les ressources appropriées risquent de prendre un sérieux retard dans leurs obligations en matière de protection des données.”

Et de recommander aux entreprises de s’atteler à renforcer leurs procédures et leur conformité dans des aspects de la conformité qui ne retiennent pas encore suffisamment leur attention. Notamment les transferts de données tierces, la conservation des documents, la confidentialité dès le stade de la conception.

Autre écueil pointé du doigt: le flou qui caractérise certains domaines: “Lorsque les règles sont sujettes à interprétation, les entreprises ont tendance à être réticentes, à reporter leur action et, potentiellement, à contester les conseils de leur DPD”, pointe Danielle Jacobs, directrice général de Beltug.

Les responsables DPD interrogés ont eux-mêmes mis le doigt sur certaines lacunes en matière de gouvernance. Trois domaines, essentiels à leurs yeux, sont plus particulièrement cités. A savoir? “Un manque de sensibilisation et de soutien au niveau du top management, l’absence d’attribution claire des responsabilités en matière de protection de la vie privée ou de mise en œuvre des politiques, et un manque de politiques et de procédures pratiques.”

Le rapport “Data Protection Officer Benchmark” de Deloitte-Beltug peut être téléchargé via le site de Deloitte. En voici le lien.