RGPD, IA Act et gouvernance : les DPO du Club ETI Occitanie partagent leurs défis opérationnels

Face à l'émergence de nouvelles réglementations telles que l’IA Act ou NIS2 et à l’évolution rapide des technologies, la gouvernance des données est devenue un enjeu stratégique majeur pour les ETI. C’est dans ce contexte que le Club ETI Occitanie a réuni, le 29 mai 2026, une quinzaine de Délégués à la Protection des Données (DPO) de ses entreprises membres pour une séance de lancement.

L’objectif de cette rencontre ? Partager les retours d'expérience du terrain, échanger sur les bonnes pratiques et briser le sentiment d’isolement parfois associé à ces fonctions clés.

Un panorama varié des réalités et de la maturité RGPD

À contextes variés, défis spécifiques : les réalités du terrain révèlent ainsi des écarts importants en matière de conformité :

• La sensibilité des données : si certaines ETI gèrent des données hautement sensibles, (données de santés, données personnelles…) imposant une approche par les risques extrêmement stricte, d'autres, notamment, se concentrent principalement sur la gestion massive de CV et les exigences de conformité des appels d’offres.

• Des niveaux de maturité disparates : le niveau de conformité s'avère souvent élevé sur les processus jugés critiques, certains chantiers moins stratégiques accusent parfois un retard (registres de traitement non mis à jour…), poussant certaines entreprises à engager de vastes plans de rattrapage combinant audits et de formations.

Malgré cette diversité, des priorités communes unissent les participants : la difficulté de formalisation des processus, l'intégration sécurisée de l'intelligence artificielle, l'acculturation des équipes et la maîtrise des données RH.

Le positionnement du DPO : le débat entre internalisation et externalisation

• L'externalisation, un catalyseur de performance au démarrage : plébiscitée pour sa flexibilité et son accès à une expertise mutualisée, l’externalisation via un cabinet conseil externe permet un "ramp-up de mise à niveau" très rapide.

• L'internalisation, le choix de la continuité et de la culture : à l'inverse, l'intégration d'un DPO interne garantit une connaissance intime de l'organisation, de ses flux d'informations et de sa culture d'entreprise.

Il n’existe pas de modèle unique. Si l’externe convient pour amorcer une démarche ou exécuter des missions ciblées, le DPO interne, potentiellement appuyé par des experts externes sur des sujets pointus, s'impose comme un modèle efficient pour ancrer durablement la culture de la data privacy.

Trois défis opérationnels majeurs passés au crible

Cette plénière a permis de confronter les pratiques face à trois problématiques concrètes et complexes du quotidien :

1. Le droit d'accès des salariés partants : de plus en plus de collaborateurs sur le départ, souvent conseillés par des avocats, exigent une copie de l'intégralité de leurs données personnelles, incluant l'historique de leurs e-mails et conversations Teams.

2. L’encadrement de l’intelligence artificielle et le "Shadow IA" : l'usage d'outils d’IA générative grand public par les collaborateurs engendre un risque critique de fuite de données d'entreprise. L’interdiction stricte menant inévitablement à un contournement, les ETI privilégient des stratégies d'alternatives sécurisées : création d'une plateforme interne contrôlée interrogeant des API externes ou développement d'une IA souveraine sur serveurs on-premise.

3. La gestion du cycle de vie des CV : véritable "cœur de métier" pour les ESN, la maîtrise des durées de conservation des candidatures et la perte de contrôle des CV transmis par e-mail aux clients restent des défis complexes qui bousculent des habitudes de travail très ancrées.

Cette première rencontre a mis en lumière une forte convergence des problématiques opérationnelles, qu’elles soient techniques ou managériales. Face à la complexité réglementaire, la valeur ajoutée du partage d'expériences entre pairs s'est révélée réelle pour rompre l'isolement des professionnels du secteur.

Pour pérenniser cette dynamique collective, le Club ETI Occitanie passe à l'action avec la création officielle d'un groupe de travail dédié, prévue au deuxième semestre.