Les délégués à la protection des données, ou « data protection officer » (DPO), expriment un désarroi grandissant face à l’inflation des textes en vigueur. C’est ce qui ressort de la quatorzième édition du baromètre trimestriel publiée mi-février par l’Association française des correspondants à la protection des données à caractère personnel (AFCDP). Presque un quart des répondants à l’enquête y expliquent que « le contexte réglementaire changeant crée de l’instabilité dans leur stratégie » – contre 19 % dans l’édition précédente. En outre, 43 % estiment que l’année 2025 sera difficile pour les DPO et 34 % la considèrent « particulière », au sens où elle devrait être une période de transition affectant directement leur rôle.

Cette impression croissante a de quoi interpeller, étant donné que le métier de DPO consiste par essence à veiller à s’aligner sur les réglementations en vigueur. Elle trouve néanmoins ses fondements dans une conjonction de raisons. « Il y a toujours eu en Europe beaucoup de textes concernant ces métiers liés à la conformité, analyse Paul-Olivier Gibert, président de l’AFCDP. Néanmoins, l’année 2024 fut celle de la mise en application du paquet numérique voté par la Commission européenne et les dirigeants d’entreprise éprouvent de la difficulté à savoir s’ils sont directement concernés ou non. En outre, ils ont conscience que l’évolution du corpus réglementaire nécessitera d’articuler l’ensemble des nouvelles dispositions avec le règlement général de protection des données (RGPD), qui constitue le cœur de métier des DPO, tout en veillant à rester en phase avec les autres textes “classiques” du droit. Et beaucoup voient cela comme un défi. »

« Cette inquiétude, que nous percevons assez nettement, ne s’exprime pas encore massivement dans les questions concrètes qui nous sont remontées, mais plutôt au travers d’interrogations générales sur la réglementation et les incidences relatives à l’application des textes », décrypte Damien Elkind, chef du service des délégués et de l’accompagnement au sein de la Commission nationale de l’informatique et des libertés (CNIL). De fait, beaucoup anticipent l’embouteillage provoqué par le Digital Services Act (DSA), le Digital Market Act (DMA), l’AI Act, la directive NIS 2 ou le règlement DORA (Digital Operational Resilience Act). Et l’impression d’indigestion pointe à l’horizon.

« Le souci, c’est que les DPO n’ont pas nécessairement les moyens de se former face à cette nouvelle complexité, alors même que la réglementation qui nous concerne au premier chef est déjà très dense, pointe Meg-Ann Ransay, déléguée à la protection des données de la communauté d’agglomération du Centre Littoral Guyane. En s’ajoutant au RGPD, les problématiques liées à la cybersécurité ou encore à l’IA imposent une vision globale pour réellement mener à bien notre fonction. Nous sommes de plus en plus confrontés à un millefeuille de règles qui se contredisent parfois, voire à des vides juridiques. »

S’ajoute une difficulté intrinsèque au métier de DPO. Même si cette population progresse, comme le montre l’étude 2024 du ministère du Travail, 74 % travaillent seuls et 63 % déclarent ne pas avoir de budget. Sans oublier les 85 % qui exercent à temps partiel et se trouvent, de facto, contraints de gérer les priorités, ou ceux intervenant de façon mutualisée, qui doivent jauger ce qu’il convient d’implémenter dans chaque entité… « Le sentiment d’inquiétude est nécessairement corrélé à la taille de la structure dans lequel le DPO intervient. Qui plus est, il est probablement alimenté par le fait que les profils autres que juridique ou informatique sont devenus majoritaires dans la profession, l’an dernier », relève Valentin Thévenot, DPO de la Banque BCP. Entre 2022 et 2025, le Conseil national des barreaux (CNB) n’a d’ailleurs reçu que onze candidatures liées à la spécialisation créée fin 2021 pour les DPO – dont huit ont donné lieu à une admission.

Cela étant dit, la gestion de ce panel de nouveaux textes relève-t-elle réellement de ces professionnels ? Probablement, mais le débat n’est pas toujours clos au sein des entreprises… « La mise en conformité avec le RGPD relève explicitement de la responsabilité du DPO, mais tel n’est pas le cas dans les nouveaux textes élaborés à l’échelle européenne », pointe Paul-Olivier Gibert, qui considère que les difficultés identifiées induiront une nécessaire période d’adaptation. Et si certains pourraient rechigner à élargir leur périmètre, la majorité y consent si l’on en juge par l’étude conduite l’an passé par le CEDPO (Confederation of European Data Protection Organisations). « 72 % des DPO pensent qu’ils devraient superviser les nouvelles règles numériques au sein de leur organisation », souligne Damien Elkind. Une perspective antagoniste avec le manque chronique de moyens.