Communiqué de presse – 02 mai 2023

Avec son Observatoire trimestriel, l’AFCDP souhaite estimer l’évolution de la conformité des organisations, et évaluer la perception des DPO sur des sujets techniques et d’actualité.

« L’AFCDP étant au plus proche des préoccupations quotidiennes des DPO, l’association propose avec ce Baromètre de prendre un peu de recul sur 3 questions clés par trimestre : le sentiment de l’évolution de la conformité des organisations, une question technique et une question d’actualité. Avec 218 répondants, nous sommes heureux de partager à nouveau ces résultats et d’en étudier l’évolution. », commente Paul-Olivier Gibert, Président de l’AFCDP.

Avez-vous confiance dans la protection des données privées au sein de vos organisations ?

Il est manifeste que de plus en plus de DPO (53 % vs 41 % fin janvier 2023) considèrent qu’il y a encore du chemin à faire avant de considérer que les données de son organisation sont bien protégées. Est-ce le contexte économico-socio-politique tendu qui influe sur le sentiment des DPO en ce début 2023 ? Nous ne pouvons l’affirmer. Mais ce n’est visiblement pas les réglementations changeantes (DMA, DSA, DA, Privacy Shield, Cookies Wall, etc.) qui perturbent les stratégies de protection des données personnelles mises en place, vu que seuls 10 % des répondants (vs 18 % fin janvier 2023) les considèrent comme responsables. À noter, le nombre de répondants ayant le sentiment d’avoir une stratégie de protection des données qui s’adapte et se sentant écoutés reste stable (35 % vs 36 % fin janvier).

“ L’AFCDP constate une baisse du sentiment de confiance des DPO qui traduit peut-être une certaine inquiétude de ces professionnels face au contexte actuel. Les professionnels de la protection des données sont confrontés à des défis majeurs, comme les applications d’intelligence artificielle dans les métiers pour rester compétitifs, les challenges socio-économiques, … Ces priorités peuvent mettre au second plan parfois, comme lors du Covid, les enjeux de protection des données personnelles.”, commente Paul-Olivier Gibert, Président de l’AFCDP.

Que pensez-vous du PIMS, le Privacy Information Management System (“Système de Management de la Vie privée”) ? (dispositif introduit par la norme ISO 27701 sur la management de la protection de la vie privée)

Une quasi-moitié des DPO répondants (49 %) avoue ne pas être familière du PIMS, le “Système de Management de la Vie privée”. Pour rappel*, la norme ISO/IEC 27701 a été publiée en août 2019. Première norme internationale qui traite du management de la protection de la vie privée, son objectif est d’aider les organismes à établir, à tenir à jour et à améliorer continuellement un système de management en matière de protection de la vie privée (SMVP) en améliorant le SMSI existant, conformément aux exigences de la norme ISO/IEC 27001 et aux orientations de la norme ISO/IEC 27002. Il peut être utilisé par tous les types d’organismes, quels que soient leur taille, leur complexité ou le pays dans lequel ils opèrent.

Aujourd’hui, seuls 8 % des DPO répondants sont en cours d’élaboration d’un PIMS, et 25 % disent ne pas avoir encore assez de recul sur cette norme.

Quel est l’impact de la directive NIS2 dans votre organisation ?

Comme le rappelle l’ANSSI**, les députés européens ont voté le 10 novembre 2022 la directive NIS2 qui vise à harmoniser et à renforcer la cybersécurité du marché européen. Elle rentrera en vigueur en France au deuxième semestre 2024, au plus tard. De nombreuses entreprises et administrations françaises seront soumises à cette nouvelle réglementation, depuis les PME jusqu’aux grands groupes du CAC 40, en passant par les administrations et certaines collectivités territoriales.

Les professionnels de la protection des données personnelles répondants sont, pour plus d’un tiers (38 %), au stade de l’étude des conséquences de cette directive toute récente, contre un tiers qui ne se prononce pas encore aujourd’hui. A noter que 8 % des répondants sont déjà entrain de se mettre en conformité, et un cinquième (20 %) déclare ne pas être concerné.

« Il faut noter que, NIS2 semble se rapprocher des mécanismes du RGPD. Il est donc préférable de se pencher sur les impacts au sein de son organisation, car les sanctions prévues, selon les infractions, seront calculées selon son chiffre d’affaires. » conseille Paul-Olivier Gibert, président de l’AFCDP.

Les porte-paroles de l’AFCDP se tiennent à votre disposition pour commenter ces résultats

Méthodologie

Dans le cadre de son Baromètre trimestriel, l’AFCDP a mené une enquête en ligne auprès de ses 6000 membres entre le 13 et le 27 avril 2023, via le réseau social privé de l’association (112 répondants) et sa page LinkedIn (106 répondants).

* PECB

** Directive NIS 2 : ce qui va changer pour les entreprises et l’administration françaises • L’ANSSI

-------------------------------------------

À propos de l’AFCDP - www.afcdp.net

L’AFCDP, créée dès 2004, regroupe plus de 6 000 professionnels de la conformité au RGPD et à la Loi Informatique et Libertés – dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer).

Si l’AFCDP est l’association représentative des DPD, elle rassemble largement. Au-delà des professionnels de la protection des données et des DPD désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.

Contact Presse : Maëlle Garrido, NASKAS RP, Relations Presse, 06 12 70 77 30,