Prendre le pouls de l'évolution de la conformité des organisations et évaluer la perception des délégués à la protection des données (DPO) sur des sujets techniques et d'actualité. Tel est la raison d'être des enquêtes trimestrielles menées par l'AFCDP dont la dernière édition a été rendue publique il y a quelques jours. Pour ce 9e baromètre, l'association a mené une enquête en ligne entre fin août et mi-septembre à laquelle 274 membres ont répondu.

Alors quels sont les principaux enseignements à relever de ce sondage ? Tout d'abord la part des DPO considérant qu'il y a encore beaucoup de chemin à faire pour que les données de leurs entités soient bien protégées ressort en net recul à 37 % contre 53 % lors de la précédente étude en mai dernier. Une bonne nouvelle donc mais qui en cache une plus préoccupante : « les réglementations changeantes (DMA, DSA, DA, Privacy Shield/DPF, Cookies Wall, etc.) semblent plus perturber les stratégies de protection des données personnelles mises en place, pour 20% des DPO répondants versus 10 % en mai 2023 », indique l'association. Et Paul-Olivier Gibert, président de l'AFCDP de préciser : « Il est manifeste que la série de mesures, règlements et lois actuellement en cours pour assurer une meilleure protection des données personnelles aux Français et aux Européens va chambouler les stratégies mises en place dans nos organisations. Et les DPO sont en première ligne et anticipent déjà les évolutions à bientôt mettre en place ».

Le Data Privacy Framework loin de répondre à toutes les attentes

S'agissant à proprement parler du dernier système d'échange de données entre les Etats-Unis et l'Europe Data Privacy Framework (DPF) en vigueur depuis le 10 juillet dernier, 50 %des DPO français estiment que cet accord est loin de répondre à toutes les préoccupations et 33 % le considèrent comme fragile, et ce ne sont pas les seuls. « L’AFCDP rappelle que contrairement aux autres accords d’adéquation adoptés à l’égard d’États non européens, le DPF ne garantit pas la conformité globale des traitements effectués aux États-Unis : il ne concerne que les entreprises, et uniquement celles qui s’engagent dans la procédure d’auto-certification », explique l'association.

Et Paul-Olivier Gibert de commenter : « L’AFCDP avait manifesté sa crainte que le DPF ne soit à nouveau l’objet d’une remise en cause, tant sa mise en place a été l’objet de réticences, en particulier de la part des autorités de contrôle, homologues de la CNIL, réunies au sein du CEPD/EDPB, mais aussi du Parlement européen. Si une telle remise en cause était prévisible de la part de Noyb, l’association de Max Schrems, il fallait néanmoins s’attendre à ce qu’elle n’intervienne qu’après un long délai d’analyse, comme ce fut le cas pour les précédentes actions envers le Safe Harbor puis le Privacy Shield ». La récente démarche de Philippe Latombe permet d’avoir un retour rapide sur la conformité du DPF, et savoir si les organisations vont pouvoir s’appuyer dessus ». 

Les DPO main dans la main avec le département RSE

Dans le cadre de son 9e baromètre, l'AFCDP a également interrogé ses membres sur leur rapport avec le département en charge de la responsabilité sociétale de leur entreprise (RSE). Force est de constater qu'il existe entre eux plus d'atomes crochus que de pomme de discorde, seulement 7 % des répondants estimant ne pas être concernés par cette démarche. Bien qu'ayant des responsabilités distinctes, 58 % des DPO estiment ainsi qu'ils sont bien des enjeux communs avec la fonction RSE, l'association constatant même que les DPO sont enclins à casser les silos avec les départements RSE pour consolider l'ambition d'une entreprise responsable. Mais cela ne se fera pas tête baissée : « L'intégration de la protection des données personnelles dans les initiatives RSE peut être considérée comme une pratique responsable et éthique. Il est important de s’assurer que ces données sont traitées conformément aux réglementations de protection des données et que la vie privée des individus est respectée », prévient Paul-Olivier Gibert.