Intéressante étude PwC Luxembourg réalisée avec le soutien actif de CLUSIL, CNPD et ILR
CISO et DPO sont désormais davantage impliqués dans les grands projets de transformation, la gestion des incidents et les discussions sur la gouvernance. Ce qui témoigne de leur influence croissante au sein des organisations. Pour PwC Luxembourg, qui publie le rapport « Out of the shadows: CISOs and DPOs in the spotlight », nous sommes à un moment charnière pour ces deux fonctions.
Des rôles de conformité à des facilitateurs stratégiques… mais pas encore sur un pied d’égalité. Les obligations légales, réglementaires, de conformité et d’audit sont citées par 72 % des CISO et 83 % des DPO comme les principaux catalyseurs de la création de leurs fonctions. La pression réglementaire demeure donc le principal moteur de la mise en place de ces deux rôles.
Comme le note PwC Luxembourg, la réglementation continue d’étendre les responsabilités et de remodeler les modèles opérationnels. La réglementation numérique de l’UE demeure un facteur déterminant dans la définition des responsabilités des CISO et des DPO. Un peu plus de la moitié (52 %) des CISO sont soumis à la réglementation DORA, tandis que 17 % ne le sont pas mais en tiennent compte car leurs clients soumis à celle-ci l’exigent. Chez les DPO, ces chiffres sont respectivement de 44 % et 11 %.
Ces seuls ordres de grandeur tirés de données (échantillon de 56 répondants ; données recueillies via une plateforme d’enquête en ligne, garantissant l’anonymat et la confidentialité des réponses) indiquent clairement que nous sommes à un moment charnière.
Combler le fossé entre les attentes et la réalité pour faire face aux risques réglementaires et technologiques
L’enquête de 2026 souligne comment les évolutions réglementaires telles que DORA, NIS2, la loi sur la gouvernance des données et la loi sur les données continuent d’accroître les responsabilités, tandis que les technologies émergentes, notamment l’IA et les solutions cloud, redéfinissent les réalités opérationnelles.
En juillet 2016, PwC avait lancé la première édition de l’enquête « Sortir de l’ombre : les CISO sous les projecteurs !», suivie d’une deuxième édition en 2018 (en collaboration avec le CPSI) et d’une troisième édition en 2020, réalisée en partenariat avec le CLUSIL (Club de la Sécurité de l’Information – Luxembourg). PwC Luxembourg a alors décidé d’élargir le champ de l’enquête en y incluant les DPO et en collaborant avec la Commission Nationale pour la Protection des Données (CNPD) et l’Institut Luxembourgeois de Régulation (ILR) afin de publier deux enquêtes, l’une en 2022 et l’autre en 2024. La CSSF a également contribué à l’édition 2024.
Manque d’indépendance, ressources insuffisantes
De fait, face à l’accélération de la transformation numérique des entreprises, les rôles des CISO et des DPO sont devenus essentiels pour maintenir la confiance, la résilience et la conformité réglementaire. Au Luxembourg, les cyber-risques, les exigences en matière de protection des données et les progrès technologiques s’intensifient de concert, plaçant les CISO et DPO au cœur des décisions stratégiques.
Ceci dit, nombre de CISO sont encore rattachés aux directions IT, ce qui soulève des questions d’indépendance et de conflits d’intérêts potentiels. La répartition des budgets reste inégale ; le cloisonnement interne continue d’entraver l’efficacité et le manque de ressources limite la capacité à répondre aux attentes croissantes. Les DPO, quant à eux, doivent composer avec une complexité grandissante, conciliant obligations réglementaires et soutien technologique et organisationnel limité.
Avis pris en compte
L’influence grandit, mais les ressources restent insuffisantes, constate PwC Luxembourg. Plus d’un quart (26 %) des CISO estiment que leur rôle est très influent et 48 % le considèrent comme influent même si leurs opinions ne sont pas toujours prises en compte. Ces chiffres s’élèvent respectivement à 29 % et 47 % pour les DPO. Pourtant, la gestion budgétaire demeure limitée : moins de la moitié (44 %) des CISO et près d’un quart (24 %) des DPO disposent d’un budget dédié.
Parallèlement, l’enquête met en lumière des évolutions encourageantes. En effet, malgré les difficultés liées à l’indépendance, les CISO et les DPO voient leur avis de plus en plus souvent pris en compte dans les discussions stratégiques. De plus, la sensibilisation aux risques liés à la cybersécurité et à la protection de la vie privée progresse au sein des organisations, comme en témoigne une implication accrue dans les initiatives de résilience, les programmes de gouvernance des données et les projets liés à l’IA.
A l’intersection de la protection des données, de la sécurité, de la conformité et de la prise de décision stratégique
La position même du Luxembourg explique beaucoup. Comme le relève Maxime Pallez Advisory Director, Cybersecurity PwC Luxembourg, « le Luxembourg se distingue comme une juridiction pionnière en matière d’engagement dans la cybersécurité, grâce notamment à des initiatives nationales telles que la Maison luxembourgeoise de la cybersécurité. » En même temps, compte tenu de la recrudescence des cyberattaques et des préoccupations croissantes en matière de protection de la vie privée, « il est urgent pour les organisations d’adopter des stratégies proactives et robustes de cybersécurité et de protection des données dans tous les secteurs. »
Pour sa part, Antonin Jakubse Advisory Senior Manager, Privacy PwC Luxembourg, insiste sur l’expertise des CISO et DPO à l’intersection cruciale de la protection des données, de la sécurité, de la conformité et de la prise de décision stratégique. « Ce combo permet aux organisations de protéger les données sensibles, de garantir le respect des exigences réglementaires et de protection des données en constante évolution, et d’intégrer systématiquement les enjeux de protection des données dans les décisions stratégiques et opérationnelles, permettant ainsi une utilisation sécurisée des nouvelles technologies. »
Le message est clair : renforcer la gouvernance et sensibiliser les plus hauts responsables à la protection des données et aux cyber-risques. Et mettre en place des protections robustes qui favorisent la stabilité opérationnelle à long terme et la croissance du chiffre d’affaires.
