Le Règlement général sur la protection des données (RGPD) vise à améliorer considérablement la protection de la vie privée des citoyens européens. Toutes les organisations doivent prendre la vie privée au sérieux et nommer un délégué à la protection des données (DPD).

Avec cette étude, Deloitte Belgium et Beltug entendent offrir aux moyennes et grandes entreprises et à leurs DPD un point de référence afin qu’ils puissent comparer leur approche à celle d’autres organisations.

Le DPD joue un rôle important dans la gouvernance de la protection de la vie privée. Il s’agit d’une profession encore jeune, et les entreprises sont à la recherche d’informations sur la façon dont d’autres organisations font face à leurs propres défis en matière de protection de la vie privée. Les DPD occupent une position particulière. En effet, ils œuvrent au sein de l’entreprise, où ils guident la stratégie en matière de confidentialité des données, mais ils doivent dans le même temps rester indépendants. C’est aux divisions commerciales qu’il revient de prendre les décisions et de mettre en œuvre les mesures de protection de la vie privée.

Le rôle et la position du DPD varient d’une entreprise à l’autre

L’étude a mis en évidence une grande disparité dans la façon dont les entreprises emploient leurs DPD. Elle a en effet relevé qu’un peu plus de la moitié des entreprises font appel à un DPD à temps plein et à du personnel externe pour les aider à gérer les questions liées à la protection de la vie privée. D’autres entreprises n’emploient en revanche qu’un DPD à temps partiel sans appui externe. Bien sûr, les défis en matière de protection de la vie privée d’une entreprise B2C diffèrent de ceux d’une usine.

Par ailleurs, les DPD sont employés dans des unités d’affaires différentes : les DPD de 23 % des répondants travaillent au service juridique, 23 % dans le département de la conformité, 9 % au service informatique et sécurité et 45 % sont actifs dans d’autres services.

« Ces différences démontrent qu’il n’existe actuellement pas un modèle spécifique de DPD qui recueillerait tous les suffrages. L’étude montre également que le budget annuel consacré à la conformité en matière de protection des données varie considérablement d’une entreprise à l’autre. La plupart des répondants déclarent que leurs ressources sont restées stables depuis 2018. Dans le même temps, avec l’évolution de plus en plus rapide des réglementations mondiales en matière de protection des données (numériques), nous prévoyons que les entreprises qui ne parviennent pas à déterminer exactement comment déployer le rôle de DPD et lui allouer les ressources appropriées risquent de prendre un sérieux retard dans leurs obligations en matière de protection des données », explique Alexandra Jaspar, Director & Privacy lead Data Protection and Privacy chez Deloitte. « Des défis supplémentaires nous attendent avec la numérisation croissante, car celle-ci amènera une expansion rapide de l’utilisation des données personnelles. »

Priorité aux domaines de conformité permettant d’éviter les préjudices financiers ou les atteintes à la réputation 

Les résultats de l’étude indiquent que les domaines de conformité les plus matures sont les demandes des personnes concernant les données et la gestion des violations de données. La maturité de ces domaines de conformité appuie en outre l’idée selon laquelle les entreprises ont choisi de donner la priorité aux obligations de conformité qui comportent une composante « externe » claire.

Danielle Jacobs, CEO de Beltug : « Selon les DPD interrogés, la sécurité juridique est un facteur décisif dans la définition des priorités de l’entreprise. Lorsqu’il existe des règles claires s’appliquant à un certain domaine de conformité, il est plus facile pour une organisation de faire des choix. En revanche, lorsque les règles sont sujettes à interprétation, les entreprises ont tendance à être réticentes, à reporter leur action et, potentiellement, à contester les conseils de leur DPD ».

L’étude a également révélé des différences significatives en termes de niveaux de maturité entre les différentes initiatives de protection des données au sein de chaque entreprise. Parallèlement, le paysage réglementaire de la protection des données est en constante évolution grâce à de nouveaux règlements, avis de tribunaux et directives réglementaires. Compte tenu de ces facteurs, les attentes de conformité dites « de base » sont en train de changer. Cela exigera que les entreprises commencent à se concentrer davantage sur les initiatives de protection des données moins au point telles que les transferts de données tiers, la conservation des documents, la confidentialité dès la conception, etc.

Les processus de gestion de la culture et du changement sont des défis clés pour la conformité en matière de protection des données

Lorsqu’on leur a demandé ce qu’ils considéraient comme étant les principaux défis actuels, les DPD ont cité les transferts de données transfrontaliers, l’attribution (et la mise en œuvre) d’une responsabilité appropriée au niveau de l’entreprise et la localisation des données au sein de l’entreprise.

L’enquête met en évidence la manière dont les DPD estiment généralement que la gouvernance en matière de sécurité des données personnelles et des informations peut être améliorée et montrent qu’ils considèrent ces domaines comme primordiaux dans le paysage opérationnel de leur entreprise. Il y a trois domaines centraux  dans lesquels il y a un manque de gouvernance : le manque de sensibilisation et de soutien au niveau du top management, pas d’attribution claire des responsabilités en matière de protection de la vie privée ou de mise en œuvre des politiques, et un manque de politiques et de procédures pratiques.

Erik Luysterborg, Data Privacy et Data Protection partner chez Deloitte: « Travailler avec un DPD et assurer le bon niveau de protection des données est une question de culture et de gestion du changement. En effet, pour parvenir à la conformité, la protection des données doit être intégrée efficacement dans l’ensemble des processus, des règles internes et des méthodes de travail de l’organisation. Le DPD ne devrait et ne peut pas y arriver seul. »

À propos de cette étude
Une étude qualitative portant sur 44 questions ciblées a été menée auprès d’une trentaine de membres du Privacy Council de Beltug. Celle-ci couvrait les principaux secteurs de l’industrie tels que la finance, les services bancaires et les assurances, la santé et les produits pharmaceutiques, et le secteur public. Parmi les répondants figuraient des DPD à temps plein et à temps partiel, nommés par de grandes et moyennes entreprises belges.

Le rapport intégral peut être consulté à l’adresse suivante : https://www2.deloitte.com/be/en/pages/governance-risk-and-compliance/solutions/dpo-benchmark.html