Tout sur le DPO

Accompagnement des DPO en difficulté

Il faut sauver le soldat DPO ! • 5 mai 2023

Par Bruno RASLE • Expert RGPD - Formateur de DPO


Le métier de DPO (Délégué à la Protection des Données) est passionnant. Il peut être également stressant, du fait d’une forte charge de travail, d’un manque de moyen, d’une insuffisance de soutien ou d’écoute, voire de tensions avec certaines directions Métier, voire même avec le responsable de traitement. Mais il est des situations où le DPO est soumis à une telle pression qu’il perd confiance en lui, abdique son indépendance, se retrouve « placardis, isolé, poussé au départ, voire licencié. Certains d’entre eux vont jusqu’à tomber en dépression. À partir de l’étude de cas emblématiques, l’auteur tente de lister les différentes causes racines et d’identifier les enseignements qui peuvent en être tirés : que faire pour éviter d’en arriver là et comment gérer ces situations si, malgré tout, elles se produisent ?

Après s’être investi, alors qu’il était délégué général de l’AFCDP, dans la création du code de déontologie du DPO , avoir participé à la conception de la première enquête de l’AFPA sur le métier dans laquelle il a suggéré l’insertion de questions liées au stress et fait intervenir un psychothérapeute à l’occasion de l’Université AFCDP 2020 des DPO sur le thème « Le DPO n’est ni un paillasson ni un ennemi », Bruno Rasle a interviewé en toute confidentialité plusieurs confrères et consœurs qui ont vécu des situations traumatisantes, et dont certains ont mis plusieurs mois pour s’en remettre.

Des délégués à la protection des données internes ont accepté de se confier longuement à lui. Sans qu’il soit possible d’assurer que ces témoignages fournissent une représentation exhaustive du phénomène étudié, ils permettent de lever un voile sur des situations anormales sur lesquelles règne le silence. Ce silence, couplé à la solitude du DPO, explique en partie l’épuisement intellectuel de plusieurs des professionnels interrogés. À l’issue de la plupart des interviews – souvent douloureuses pour les personnes concernées, encore traumatisées par la mauvaise expérience vécue – l’auteur a souvent entendu des réactions telles que « J’avoue que c’est encore très difficile pour moi d’en parler, mais je réalise que cela était nécessaire » ou « À l’époque, il m’était impossible d’échanger avec mon entourage, y compris familial. Cet isolement a sûrement empiré les choses ».

Le premier objectif visé était de découvrir s’il existait des cas dans lesquels des DPO internes avaient été mis en très grande difficulté. Le deuxième objectif était d’essayer de prendre connaissance des causes à l’origine de ces cas. Retrouve-t-on les mêmes ? De quels ordres sont-elles ? Cette étape doit permettre – et c’est là le troisième objectif visé – de formuler des propositions pour éviter d’en arriver là (démarche pro-active) et pour gérer ces situations si, malgré tout, elles se produisent (démarche corrective).

À qui s’adresse cette étude ? En premier lieu, aux milliers de DPO internes désignés auprès de la CNIL par les responsables de traitement, afin qu’ils sachent détecter à temps les signes qui méritent d’être pris au sérieux et agir en conséquence. En second lieu à l’autorité de contrôle, auprès de laquelle les personnes concernées se confient trop rarement. Enfin, aux responsables de traitement. N’est-il pas désolant de voir des délégués licenciés ou poussés au départ, car leurs actions ont déplu ou bousculé quelques mauvaises habitudes, alors que ces DPO se sont pleinement investis pour réduire leur risque juridique ? On verra infra qu’en réalité, la faute en revient souvent au cadre à qui l’on a confié la « supervision » du délégué à la protection des données, qui n’a pas su assurer à ce dernier un environnement propice à un exercice serein de la fonction. Dans une proportion importante, les témoignages recueillis montrent que, si les DPO interviewés étaient enthousiastes à l’idée de rejoindre une entreprise ou un projet, ils les ont souvent fuis à cause de leur hiérarchie directe. L’auteur recommande donc aux DPO internes de communiquer la présente étude à leur N+1 et à leur responsable de traitement.

Le document est ainsi structuré : dans un premier temps, les témoignages recueillis sont décrits afin d’en faire ressortir les points saillants (Partie I). Une tentative d’analyse des témoignages (Partie II) et de taxonomie des causes sources (Partie III) sont ensuite réalisées. Des comparaisons sont réalisées avec des fonctions qui présentent quelques similitudes avec celle de DPO. L’étude se termine par une évocation des perspectives possibles (Partie IV), dans l’hypothèse d’une poursuite des travaux dans le cadre de la principale association qui regroupe et représente les DPO en France, l’AFCDP. Cinq annexes viennent compléter ce document : 1) une proposition de méthode permettant à un DPO d’évaluer son niveau de stress et d’en identifier les causes ; 2) une analyse des réponses apportées au sondage réalisé en mars 2023 auprès des membres de l’AFCDP sur le sujet de l’indépendance du délégués à la protection des données ; 3) une synthèse des points de contrôles sur les conditions d’exercice du DPO, sur la base de l’analyse des contrôles menés par la CNPD luxembourgeoise ; 4) les trente-six questions soulevées par la CNIL dans le cadre de l’opération conjointe européenne 2023 sur les conditions d’exercice du DPO ; 5) un auto-quiz permettant à un délégué de juger de son assertivité.

Télécharger l’étude intégrale « Il faut sauver le soldat DPO ! »



Vous utilisez actuellement un navigateur dont la version n’est plus supportée. Veuillez utiliser l’un des navigateurs suivants :

  • Windows : Chrome, Firefox, Edge
  • MacOS : Safari, Chrome, Firefox
  • Linux : Chromium
  • Mobile : fonctionne de manière optimale sur tout les navigateurs.