Les organisations interprètent différemment et exclusivement le rôle du délégué à la protection des données (DPD). Pourtant, les défis pour la plupart des DPD sont les mêmes : l’incertitude juridique entrave leur travail et, en interne, un cadre clair avec des responsabilités attribuées fait trop souvent défaut.
Le titre de délégué à la protection des données (DPD) comprend de nombreuses connotations différentes. C’est ce qui ressort d’une enquête qualitative menée auprès de 30 organisations belges de différents secteurs par Beltug, l’organisation de défense des intérêts des décideurs belges en matière de technologies de l’information. Depuis l’introduction de la réglementation GDPR en 2018, les entreprises sont obligées de nommer un DPD pour s’occuper de la conformité et de la confidentialité des données, mais un fil conducteur des meilleures pratiques reste à trouver.
Du juridique à la TI
Ainsi, il n’y a déjà pas d’unanimité sur le département auquel appartient un DPD. Pour 23 % d’entre eux, il s’agit du service juridique, tandis que 23 autres % confient le DPD au service de la conformité. Pour 9 % d’entre eux, le DPD fait partie de l’informatique et de la sécurité. 45 % attribuent une autre interprétation au rôle.
Dans 55 % des organisations interrogées, il existe un DPD à plein temps. Pour 45 % d’entre eux, ce rôle ne représente qu’une partie des attributions, et le DPD cumule sa fonction avec d’autres responsabilités. Beltug souligne que des organisations différentes ont des besoins différents. Une entreprise B2C est confrontée à des défis différents de ceux d’une grande usine et doit donc remplir le rôle de DPD différemment.
Performance moyenne
Quelle que soit la définition du rôle du DPD, le fonctionnement de la fonction n’est jamais parfait. Une structure claire pour la gestion de la vie privée fait défaut dans toutes les organisations interrogées. Aucune des personnes interrogées n’a indiqué qu’elle était la meilleure de sa catégorie. Quinze pour cent d’entre eux disent qu’ils s’en sortent bien. La moitié des organisations considèrent que leur structure est moyenne, tandis que 35 % disent qu’elle est peu performante.
Les plus grands défis sont le manque de sensibilisation et de soutien de la part de la direction. En outre, il n’existe pas de responsabilité clairement définie au sein des organisations en matière de politique de protection de la vie privée. Les DPD y voient l’un des principaux défis à relever. Enfin, les procédures pratiques font défaut.
Des règles claires, un suivi clair
L’incertitude juridique joue un rôle dans ce domaine. Le domaine de la protection de la vie privée et des données évolue rapidement et il est trop souvent difficile de savoir ce qui peut ou ne peut pas être fait. Les domaines où les règles sont déjà définies sont généralement bien suivis.
Selon l’enquête, la plupart des organisations maîtrisent la gestion des demandes de données et des violations de données. Il s’agit de deux domaines clairement définis pour lesquels des amendes concrètes sont également prévues lorsqu’une entreprise les néglige.
« Lorsqu’il existe des règles parfaitement claires pour un domaine de conformité particulier, il est plus facile pour une organisation de faire des choix », explique Danielle Jacobs, PDG de Beltug, à ce sujet. « Toutefois, lorsque les règles sont interprétables de différentes manières, les organisations sont plus susceptibles de se montrer hésitantes, de retarder leurs actions et éventuellement de douter de l’avis de leur DPD. »