Les entreprises qui s’étaient déjà conformées à la loi « informatique et liberté » et, a fortiori, celles qui ont été contrôlées par la Cnil, ont déjà mis en place des procédures qui vont faciliter l’adoption du RGPD. La maturité des entreprises est liée à leur exposition aux contrôles de la Cnil. La grande distribution, ou une entreprise de transport comme la RATP, se trouvent donc à un degré de maturité élevé, de même que les professions réglementées. À l’opposé, les clubs sportifs, qui gèrent pourtant beaucoup de données sensibles, ou les associations, présentent un degré de maturité faible. Considérées globalement, les situations sont très disparates.

Dans les grands comptes, le DPO a bénéficié d’une formation et est entouré d’une équipe. C’est dans les structures moyennes que désigner un DPO ou attribuer cette compétence est une tâche plus compliquée. C’est le savoir-être et la motivation qui feront la différence car le DPO va être amené à conseiller des opérationnels, les orienter et en même temps les contrôler. Diplomatiquement, c’est une fonction complexe. Pour être remplie correctement, elle doit avoir l’appui de la direction générale.

Une formation d’une journée vaut toujours mieux que rien. Il existe aussi des formations longues, étalées sur un an, qui représentent trois mois de formation à temps plein. Mon retour d’expérience m’a conduit à conclure que ces formations longues sont un peu superflues. Je crois que le point d’équilibre réside dans une semaine de formation à plein-temps.