Le bilan global de cette campagne de contrôles est plutôt positif, soulignant que les organismes ont bien intégré les obligations liées aux missions des délégués. La majorité des DPO interrogés déclarent posséder les moyens, les compétences et les connaissances nécessaires pour accomplir leur travail et recevoir des formations régulières. Ils ont des tâches clairement définies conformément au RGPD et ne reçoivent pas d’instructions quant à la manière d’exercer leurs fonctions de la part de l’employeur. En outre, ils indiquent disposer d’informations suffisantes pour s’acquitter de leurs tâches. Ils sont également consultés par les employeurs et leurs avis sont très bien suivis.
Cependant, trop de DPO ne bénéficient pas d’une telle position. De plus, une disparité significative de moyens entre les DPO des grandes entreprises et ceux des petites collectivités a été notée, avec souvent un délégué "public" exerçant seul, tandis qu'un délégué "privé" dispose généralement d'une équipe.
Malgré ce bilan plutôt positif, la CNIL a identifié des carences et pris des mesures correctives, telles que des mises en demeure, des rappels aux obligations légales ou encore une amende de 10 000 euros pour manquements à l'article 38 du RGPD.
Comme le plaidoyer FO-Cadres « pour un dialogue social technologique » ne manque pas de le souligner, la protection et l’indépendance des DPO sont un enjeu fondamental :
« Lorsque le DPO est salarié de l’entreprise celui-ci peut faire l’objet de pressions si fortes qu’il ne pourra rester réellement indépendant. Le RGPD prévoit que le DPO ne peut être sanctionné pour des raisons inhérentes à sa mission mais ce régime ne lui confère que peu de protection en cas de licenciement ou d’éventuelles sanctions. Cela justifie des garanties supérieures au RGPD parmi lesquelles l’octroi du statut de salarié protégé. La Cour de justice de l’Union Européenne a récemment rappelé qu’il est possible aux États membres de prévoir une protection plus importante en faveur des DPO, en limitant par exemple les possibilités de licenciement d’un DPO salarié à la commission d’une faute grave ou après autorisation de l’inspection du travail. Dans tous les cas, le législateur doit permettre que le CSE soit informé obligatoirement de la désignation de leur DPO, afin de s’assurer de ses conditions d’exercice et de son indépendance. Les entreprises et les administrations doivent également s’engager formellement à assurer leur indépendance et le préciser à la CNIL lors de la désignation. Il convient enfin que le règlement intérieur veille lorsque le poste de DPO est extérieur à l’entreprise que le contrat de prestations soit précis et détaillé pour éviter tout conflit d’intérêts. »