L’AFCDP, association qui regroupe et représente les délégués à la protection des données (DPD ou DPO pour Data Protection Officer), a dévoilé les premiers enseignements de la première étude sur le métier de DPO conduite par la DGEFP (ministère du Travail) et l’AFPA, avec l’appui de la CNIL.
Principaux constats issus de cette radiographie de l’AFCDP (Association française des correspondants à la protection des données à caractère personnel) : le métier semble être partiellement à l’abri du jeunisme, les rattachements à la direction générale ou au secrétariat général sont surreprésentés, et les recommandations des DPO sont souvent écoutées et suivies par le responsable des traitements des données personnelles.
On note que près des trois quarts des répondants sont satisfaits de leur position, ce que corroborent les 73,7 % des DPD (Délégués à la protection des données) qui recommanderaient « sans hésiter » ou « probablement » leur métier à un jeune.
Toutefois, quelques points peuvent être regrettés, tels que la trop grande fréquence des situations stressantes ou de tentatives d’atteinte à l’indépendance du DPD, l’isolement de certains professionnels, le manque de relais au sein des directions métier et des entités géographiquement éloignées, ou le fait que seuls 39,7 % des DPD disposent d’un budget dédié.
Un DPO sur quatre ne connaît pas son sujet
Sur le front de l’emploi, il est intéressant de noter qu’alors que les répondants expriment de grandes difficultés à trouver des collaborateurs de bon niveau (65,5 % d’entre eux estiment ne pas avoir réussi), on relève que la majorité des offres d’emploi se focalisent (à tort) sur les seuls profils juridiques. « On ne répètera jamais assez qu’il n’existe pas de profil idéal pour être DPD », souligne-t-on à l’AFCDP. On peut être aussi surpris par la sous-estimation, par les DPD de profil juridique, du besoin de disposer d’un niveau minimum de connaissances techniques : « Cette forme de « naïveté technique » est une faiblesse et met les DPD concernés en état de dépendance vis-à-vis de leur DSI et des sous-traitants. » Mais la plus grande surprise de cette étude est sans doute les 24,6 % des DPD externes qui avouent ne pas maîtriser leur sujet !
RGPD : qui sont les bons élèves ?
Selon l’index publié par l’AFCDP, qui a sollicité 154 organismes (80 % privés, 20 % publics), 70,7 % ont réagi dans le temps imparti pour l’accès aux données personnelles. Bien que le pourcentage des responsables de traitement sollicités qui n’ont jamais réagi (29,3 %), soit encore trop élevé, l’AFCDP observe une nette amélioration : la proportion était de 33 % de l’index précédent et de 47,6 % de l’index publié en janvier 2017 (avant l’entrée en application du RGPD). Mais répondre dans le temps imparti ne signifie pas non plus que cette réponse soit conforme au RGPD : 37 % des organismes sollicités ont fait une réponse conforme au droit, jugée satisfaisante ou très satisfaisante (contre 36,5 % et 36,6 % pour les index précédents).
Source : Données personnelles, index AFDCP 2020.
Lien : https://afcdp.net/index-du-droit-d-acces/
Accès aux données personnelles : le bêtisier des entreprises
L’index du droit d’accès publié par l’AFCDP est basé sur les travaux effectués par les membres du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Electronique de Paris). Lors des tests réalisés auprès d’entreprises, plusieurs témoignages montrent que les pratiques sont encore artisanales et manquent de sérieux :
- « Une grande chaîne hôtelière m’a envoyé des données d’un tiers ! »
- « Ce fournisseur de biens culturels a refusé de prendre en compte la copie de la carte d’identité que j’avais jointe à ma demande. Elle exigeait que j’indique en sus l’adresse e-mail rattachée à mon compte client, ainsi que les deux derniers achats ou commandes effectué(e)s dans l’enseigne. Un comportement abusif, compte tenu du faible degré de sensibilité des données que détient cette entreprise. »
- « Mes données m’ont été envoyées sans aucune vérification de mon identité. N’importe qui aurait pu se faire passer pour moi et obtenir mes informations les plus personnelles. »
- « La réaction de l’entreprise était complètement « à côté de la plaque » : ils ont compris, à tort, que je voulais supprimer mon compte et ils ont effacé toutes mes données ! »
- « Cette compagnie aérienne, que j’emprunte souvent et avec laquelle j’ai un litige en cours, m’assure ne détenir aucune donnée me concernant ! »
- « Les informations qui m’ont été envoyées étaient incompréhensibles. De plus, les destinataires et les durées de conservation manquaient, alors que cela est expressément prévu par le RGPD. »
- « Mes données m’ont été envoyées par e-mail, en clair, sans aucune sécurisation… »