Les DPO du gouvernement contestés par le volume des travaux du GDPR

Les agents de protection des données (DPO) travaillant dans les ministères, les agences et les organismes publics associés à travers le Royaume-Uni disent qu’ils ont vu un doublement du volume de demandes de protection des données (DPR) depuis l’introduction du Règlement général sur la protection des données (GDPR) en 2018, mais ne disposent pas de ressources suffisantes lorsqu’il s’agit de traiter la charge de travail.

C’est selon L’impact du GDPR dans le gouvernement central, une étude récemment publiée menée par eCase, un fournisseur de systèmes de gestion de cas par correspondance qui travaille beaucoup avec Westminster, y compris au Ministère du travail et des pensions (DWP), Defra, HMRC, le ministère de la Défense (MoD) et le Trésor.

Son enquête auprès des DPO du gouvernement central a révélé que 70 % d’entre eux avaient constaté une augmentation importante de leur charge de travail depuis l’application de la loi sur le GDPR, tandis que 40 % n’avaient reçu aucune ressource supplémentaire pour gérer cette mesure et 33 % géraient toujours les DPR manuellement ou avec le soutien d’un logiciel de base sur les feuilles de calcul.

Une majorité de 83 % ont toutefois déclaré avoir connu une augmentation du « soutien et de la reconnaissance » de la part de leurs supérieurs.

« Grâce à nos travaux, nous reconnaissons que le GDPR a présenté des défis uniques pour les DPO dans l’ensemble du gouvernement central, et nous voulions donc leur fournir un mécanisme permettant de partager des défis communs et de fournir un aperçu de la façon dont ils peuvent mieux et mieux gérer leur conformité », a déclaré Richard Clarke, directeur d’eCase.

« Au cours de nos recherches, nous avons découvert que peu d’entre eux utilisent des outils commerciaux spécialement conçus », a-t-il dit. « Ce manque d’outillage efficace peut non seulement affecter leur capacité à gérer avec confiance leur charge de travail actuelle, mais aussi leur capacité à répondre aux demandes futures, ce qui deviendra encore plus prononcé à mesure que leur charge de travail continuera d’augmenter. »

En effet, bon nombre de ceux qui ont dit utiliser des outils de gestion des DPR sur mesure se sont dits préoccupés par la capacité de s’acquitter de leurs obligations dans les délais fixés par le Commissariat à l’information. Tous ceux qui utilisent des outils spécialement conçus ont dit qu’ils étaient la plupart du temps ou complètement confiants qu’ils pouvaient le faire.

À la lumière de cela, eCase a demandé au gouvernement d’accroître la taille des équipes ministérielles de protection des données, de fournir un soutien plus concret à ces équipes pour les aider à intégrer les meilleures pratiques de protection des données dans leur travail, et d’offrir une formation et une éducation plus étendues et, surtout, continues en matière de protection des données.

« Je crois que les idées et les recommandations contenues dans ce rapport fourniront au gouvernement central et au secteur public en général une feuille de route claire pour l’amélioration », a déclaré M. Clarke.

« Compte tenu de la situation pandémique actuelle, où nous savons que de nombreuses équipes ont été épuisées et que l’accent mis sur le rôle des données dans la gestion de cette crise s’est accentué, le risque que les équipes de protection des données soient débordées est plus grand que jamais. J’exhorte tous les DPO du gouvernement à lire ce rapport et à donner suite à ses recommandations avant que cela ne se produise.

Jon Baines, président de la National Association of Data Protection and Freedom of Information Officers (NADPO) et conseiller en protection des données au cabinet d’avocats Mishcon de Reya, a ajouté : « Je me félicite de ce rapport car ses conclusions devraient aider à éclairer non seulement les décisions prises au sein du gouvernement et du secteur public, mais aussi dans l’ensemble des organisations privées. »