Quels bénéfices économiques du DPO en entreprise ?

À la demande du ministère du Travail, de l'emploi et de la santé, l’Association pour la formation professionnelle des adultes (AFPA) a mené la quatrième édition de son enquête statistique auprès des délégués à la protection des données (DPO) en janvier 2024. Comptant 3 625 répondants, ce questionnaire permet d’étudier les bénéfices économiques pour une entreprise liés à la présence d’un DPO, indépendamment du caractère obligatoire de sa désignation.

En complément de cette étude, la CNIL a mené des entretiens qualitatifs avec dix DPO proposés par l’Association française des correspondants à la protection des données (AFCDP). Ils permettent de confirmer l’interprétation des résultats du questionnaire.

Les bénéfices économiques du DPO

Il ressort des réponses au questionnaire qu’il existe différents types de bénéfices liés à la fonction de DPO : levier pour gagner des appels d’offre, évitement des sanctions, évitement des fuites de données et rationalisation de la gestion de la donnée. Ces bénéfices ne sont pourtant pas perçus par toutes les entreprises ayant des DPO.

L’analyse statistique montre en effet que ces bénéfices sont mieux perçus par les entreprises de grande taille et par les entreprises les plus investies dans la conformité RGPD et considérant la conformité comme un levier et moins comme une contrainte.

*Part du groupe d’entreprise dans l’ensemble des entreprises
Sources : enquête AFPA, modélisation et calculs CNIL

36 % des DPO en poste sont dans une petite entreprise où la conformité y est perçue comme un levier : c’est le groupe le plus important parmi l’ensemble des entreprises interrogées. Au total, 58 % des DPO sont dans des organisations où la conformité est considérée de manière positive. L’analyse ne met pas en évidence de lien marqué entre la taille de l’entreprise et la perception de la conformité. Les deux secteurs les plus représentés sont les secteurs « Recherche, informatique et conseil » et « Banque, assurance et mutuelles » avec respectivement 24% et 17% des DPO de l’échantillon en poste dans des entreprises de ces secteurs.

Le bénéfice à la conformité comme levier dans les appels d’offres

La présence d’un DPO constitue un vecteur important de confiance dans les procédures d’appel d’offres, tout particulièrement lorsque le marché porte sur des traitements de données personnelles. La présence d’un DPO témoigne de la prise en compte des enjeux de conformité par les candidats. Le DPO constitue d’ailleurs pour l’acheteur un interlocuteur précieux tout au long de la réalisation de la prestation (documentation des traitements, rédaction des clauses de sous-traitance, rôle de conseil, etc.).

Un DPO a par exemple expliqué que, suite à la mise en place d’une stratégie de mise en avant de la conformité, son entreprise a vu ses chances de remporter des appels d’offre augmenter de moitié. 42% des DPO interrogés dans l’enquête déclarent également percevoir ce bénéfice et ce chiffre s’élève à 50% parmi ceux qui sont activement consultés.

Il est également ressorti des entretiens que certains DPO envisageaient leur rôle au-delà de la simple mise en conformité des traitements de données personnelles dans la structure. Ces derniers s’appropriaient également la valorisation de cette conformité, par exemple, en participant à l’inclusion de la conformité RGPD au sein de la stratégie RSE de l’entreprise.

Le bénéfice à l’évitement des sanctions

Les sanctions prononcées par les autorités de protection des données peuvent être importantes. En 2024, la CNIL a ainsi prononcé 87 sanctions pour un montant total de 55 millions d’euros.

Les régressions statistiques montrent que le bénéfice à l’évitement des sanctions, tel qu’apprécié par le DPO, dépend de la taille de l’entreprise et son modèle d’affaires.

Les entreprises ayant un modèle d’affaires reposant pour tout ou partie sur la donnée, ou sur la commercialisation de solutions innovantes potentiellement intrusives, perçoivent un bénéfice important à l’évitement des sanctions. Dès lors qu’ils encourent une sanction publique, ce n’est pas tant le coût monétaire de la sanction qui est craint, que l’effet de la sanction sur l’image de l’entreprise auprès de ses clients et de ses partenaires. En effet, dans les entreprises, qui entretiennent une image de marque auprès de leurs consommateurs qui est incompatible avec une non-conformité au RGPD, les DPO déclarent jouer un rôle essentiel pour préserver la réputation de l’entreprise.

Plusieurs DPO ont ainsi souligné, lors des entretiens, l’effet négatif d’une sanction publique sur les recettes clients, mais également sur la notation financière : la conformité peut donc avoir des conséquences favorables tant sur le cycle de production que sur les capacités de financement d’une entreprise.

Par son rôle d’information, de sensibilisation, de conseil et de contrôle, le DPO contribue à prévenir les risques de sanctions en aidant les organismes à se mettre en conformité avec la règlementation et à répondre à leurs obligations. Le DPO est également le point de contact de l’autorité de contrôle et des personnes dont les données sont traitées. À ce titre, il peut prendre en charge l’organisation du traitement de leurs demandes d’exercice de droits afin qu’une réponse complète soit apportée dans les délais impartis.

Le bénéfice à l’évitement des fuites de données

Les cyberattaques représentent des coûts importants pour les entreprises. Par exemple, un rapport d’IBM en 2024 a montré que le coût moyen d’une violation de données est de 5 millions de dollars, une hausse de 10% par rapport à 2023.

Comme dans le cas d’une sanction publique, une entreprise ayant un modèle d’affaires reposant en tout ou partie sur les données s’expose à des dégâts sur son image en cas de fuites de données de grande ampleur. La recherche en économie de la cybersécurité a notamment démontré que suite à des fuites de données, la valeur des actions des grandes entreprises avait tendance à diminuer.

Le DPO peut contribuer à réduire le risque de violation de données. De par ses différentes missions, le DPO joue un rôle central dans la sécurisation des données personnelles au sein de l’entreprise. Il conseille l’entreprise sur les mesures de sécurité à mettre en place et participe aux analyses d’impact sur la protection de la vie privée. Il peut réaliser des contrôles et des audits et alerter les responsables lorsqu’il identifie des failles de sécurité. Il participe également à l’élaboration de la politique de sécurité et organise des actions de sensibilisation et de formation des salariés.

Lors des entretiens menés par la CNIL, un DPO a par exemple rapporté qu’après avoir mis en place des formations sur l’hameçonnage, le taux de clic sur les liens suspicieux dans la structure est passé de 21% à 5%.

Le bénéfice à la rationalisation de la gestion de la donnée

Les grands principes du RGPD (limitation des finalités, minimisation des données, limitation de la conservation), dont le DPO veille au respect, poussent les entreprises à être vigilantes dans la collecte et la conservation des données personnelles.

Cette rationalisation dans la gestion des données présente plusieurs intérêts économiques pour les entreprises. D’une part, elle entraine des économies opérationnelles en termes d’espace de stockage. Lors des entretiens, un DPO d’une entreprise ayant un chiffre d’affaire de 150 millions d’euros a ainsi expliqué que la mise en conformité au RGPD a permis d’économiser 400 000 euros en coûts de serveurs. D’autre part, cette rationalisation a des effets bénéfiques en matière de cybersécurité : moins de données collectées et conservées signifie moins de points d’entrée pour les cybercriminels et donc une surface d’attaque réduite.

De manière plus générale, le DPO participe à une meilleure connaissance du patrimoine informationnel de l’entreprise. Son action contribue ce faisant à faciliter l’exploitation des données : en centralisant l’information et en évitant les doublons ou les silos de données. Les équipes peuvent ainsi accéder plus facilement aux données pertinentes, ce qui améliore l’efficacité des processus internes et la prise de décision.

Sources : enquête AFPA, modélisation et calculs CNIL

Le graphique ci-dessus illustre les principaux enseignements issus de l’analyse en composantes principales (ACP), réalisée à partir des réponses au questionnaire. Cette analyse permet de résumer les réponses aux questions en deux principaux axes, un axe représentant la taille de l’entreprise et un axe représentant la vision perçue de la conformité. Les éléments situés à droite sont liés à des structures de grande taille. Par exemple, un DPO qui consacre plus de 70 % de son temps à sa fonction travaille généralement dans une organisation importante. En haut du graphique, les réponses sont associées à une vision positive de la conformité : les DPO qui déclarent pouvoir exercer pleinement leurs missions sont le plus souvent en poste dans des structures où la conformité est perçue comme un levier.

Ce graphique permet de mettre en avant quelques résultats saillants du questionnaire. Par exemple, les DPO ont davantage tendance à déclarer pouvoir éviter des sanctions et des fuites de données dans des structures de grande taille mais également dans des structures qui ont une approche positive de la conformité.

L’impact du modèle d’affaires sur le DPO

Le DPO apporte des bénéfices économiques qui peuvent être plus ou moins forts selon le modèle d’affaire de l’entreprise concernée. Une relation inverse existe également : il existe des différences entre les conditions d’exercice des DPO selon le modèle d’affaire de l’entreprise, selon sa taille, mais également selon sa vision de la conformité.

Il ressort de l’étude que les structures les plus investies dans la conformité accordent davantage de moyens à leurs DPO. C’est en cela qu’on peut investir dans la fonction de DPO : les entreprises accordant de réels moyens aux DPO sont celles qui en tirent le plus de bénéfices.

Parmi ces dernières, on trouve les structures qui perçoivent la probabilité d’être sanctionnées par la CNIL comme élevée et également les entreprises ayant un modèle d’affaires où la donnée joue un rôle important.

Il y a un retour sur investissement dans le sens où les DPO qui disposent de davantage de temps à dédier à leur fonction ont de meilleures conditions pour assurer la mise en conformité de l’entreprise, ce qui permet de réduire la probabilité d’être sanctionné.

En plus d’affecter les moyens dont il dispose, l’investissement dans la conformité affecte également la manière dont le DPO vit sa fonction. Ainsi, les DPO qui ont des difficultés à mener à bien leurs missions, qui sont peu consultés et sont peu formés, ont tendance à être moins satisfaits de leur profession (cf. Fig. 1).

De même, la conformité y étant un enjeu perçu comme moins économique que réglementaire, le rôle du DPO est moins valorisé dans les structures où la conformité est perçue comme une contrainte.

Le modèle d’affaires affecte enfin la satisfaction du DPO au travail : les DPO dans des structures où la conformité au RGPD est perçue comme un levier ont tendance à être plus satisfaits.

Conclusion : la conformité comme un actif

La mise en conformité au RGPD est obligatoire et entraîne des coûts de mise en conformité indéniables. Cependant, il est possible pour une entreprise de rentabiliser sa mise en conformité en valorisant celle-ci.

L’article 37 du RGPD prévoit certains cas de figure dans lesquels les entreprises doivent désigner un DPO, ce qui pousse certaines structures à percevoir le DPO comme une contrainte.

Cependant, il y a des gains économiques à la conformité RGPD dont il est possible de bénéficier lorsqu’on exploite sa conformité comme un actif jouant un rôle à part entière dans son modèle d’affaires. L’investissement réalisé comporte une rentabilité économique : c’est un véritable actif.

La conformité RGPD étant partie intégrante d’une stratégie RSE, on peut dresser un parallèle entre la mise en conformité et les enjeux environnementaux, où cette distinction entre les entreprises qui perçoivent la réglementation comme une contrainte et celles qui la perçoivent comme une opportunité ressort clairement.

Avec une telle stratégie, le DPO n’est pas uniquement un coût mais peut être « rentabilisé » et, ainsi, constituer un investissement pour l’entreprise.

Quelques recommandations pour les entreprises

L’adoption de certaines bonnes pratiques peut permettre de dégager des gains économiques à la fonction de DPO :

• Associer les DPO à certaines réunions du comité exécutif permet à ceux-ci d’articuler la mise en conformité avec la stratégie globale de l’entreprise.
   
• Intégrer la conformité RGPD à la stratégie RSE et à la stratégie de sécurité des systèmes d’informations (SSI) pour favoriser une planification et des opérations cohérentes.
   
• S’efforcer de quantifier les bénéfices économiques liés au rôle du DPO dans l’entreprise, de manière informelle, soit par une concertation interne, dans un premier temps, afin d’objectiver l’intérêt d’un positionnement favorable du DPO en son sein. Pour cela le DPO pourra prendre l’attache des autres services de l’entreprise concernés ou du contrôle de gestion pour se mettre d’accord sur quelques chiffres.
   
• Sensibiliser les autres métiers à la valorisation des enjeux de conformité dans la stratégie de l’entreprise afin que le DPO soit reconnu comme créateur de valeur et aligner son activité avec celle des autres départements.

La méthode utilisée

L’analyse statistique repose notamment sur la méthode de l’analyse en composantes principales (ACP), qui permet de synthétiser l’information issue d’un grand nombre de réponses aux questions. Cette méthode vise à faciliter la compréhension des phénomènes observés en identifiant les deux axes les plus pertinents d’organisation des réponses des DPO. Ici, les réponses varient principalement selon la taille des entreprises d’une part, et selon leur investissement plus ou moins important dans la conformité, d’autre part.