dpo

DPO et RGPD : rôles, missions et obligations

dpo

Beaucoup d’entreprises pensent avoir réglé la question RGPD le jour où elles ont nommé un DPO. Un nom dans une case, une déclaration envoyée à la CNIL, et voilà. Sauf que la réalité est bien plus exigeante. Le poste de Délégué à la Protection des Données est l’un des plus mal compris du droit européen : mal attribué, sous-financé, parfois confié à des profils en situation de conflit d’intérêts évident. Et la CNIL, elle, ne fait pas semblant de ne pas voir. Voici ce qu’il faut vraiment savoir sur le DPO avant de commettre une erreur qui coûte cher.

Ce que le RGPD dit vraiment sur le DPO (et ce qu’on oublie souvent de lire)

Le Délégué à la Protection des Données, ou DPO (Data Protection Officer), n’est pas une création française. C’est une fonction instituée par le Règlement Général sur la Protection des Données, en vigueur depuis mai 2018 dans toute l’Union européenne. Les articles 37, 38 et 39 du RGPD en définissent précisément les conditions de désignation, le statut et les missions. Ce n’est ni un simple responsable informatique, ni un juriste de plus dans l’organigramme : c’est une fonction hybride, qui suppose des compétences en droit, en gestion des risques et en organisation.

Ce qui frappe, quand on regarde les chiffres, c’est l’accélération. En France, le nombre de DPO désignés auprès de la CNIL est passé de 21 000 en 2019 à plus de 34 000 en 2024. Une progression de 62 % en cinq ans. Mais la quantité ne dit rien de la qualité. Les manquements aux règles de désignation et d’indépendance restent fréquents, et les sanctions pour conflits d’intérêts se multiplient à l’échelle européenne. Nommer un DPO est une chose. Le nommer correctement en est une autre.

DPO obligatoire ou facultatif : les 3 cas qui ne souffrent aucune exception

L’article 37 du RGPD est sans ambiguïté : la désignation d’un DPO est obligatoire dans trois situations précises. Dès qu’une seule d’entre elles est remplie, il n’est pas possible d’y déroger, quelle que soit la taille de l’organisation ou les contraintes budgétaires invoquées.

Cas d’obligationExemples concretsSecteurs concernés
Autorité publique ou organisme publicCommunes, hôpitaux, ministères, établissements scolairesSecteur public
Suivi régulier et systématique à grande échelleCiblage publicitaire, tracking web, opérateurs télécom, assureursE-commerce, assurance, télécom, marketing digital
Traitement à grande échelle de données sensiblesDonnées de santé, données biométriques, condamnations pénalesSanté, justice, ressources humaines à grande échelle

Pour la majorité des PME françaises, la désignation reste juridiquement facultative. Mais attention à un piège que peu d’articles signalent : si vous décidez de nommer volontairement un DPO sous ce titre officiel, l’ensemble des exigences du RGPD s’appliquent immédiatement, comme si la désignation avait été obligatoire. La bonne volonté ne protège pas d’une mise en conformité incomplète.

Les missions du DPO : bien plus qu’un rôle de gardien de données

L’article 39 du RGPD fixe cinq missions au DPO. À lire rapidement, on pourrait croire à une liste administrative. En réalité, ces missions s’imbriquent les unes dans les autres et supposent une présence continue, une autorité réelle et des compétences transversales que peu de postes exigent à ce niveau. Voici ce que le RGPD impose concrètement :

  • Informer et conseiller l’organisme et ses salariés sur leurs obligations en matière de protection des données personnelles, en assurant une sensibilisation continue des équipes.
  • Contrôler la conformité au RGPD et au droit national, notamment la loi Informatique et Libertés, en veillant à la tenue du registre des traitements et à la légitimité des bases légales.
  • Conseiller sur les analyses d’impact (AIPD) lorsqu’un traitement présente des risques élevés pour les droits et libertés des personnes concernées.
  • Coopérer avec la CNIL et servir de point de contact privilégié avec l’autorité de contrôle, y compris lors des contrôles et enquêtes.
  • Être le point de contact pour les personnes dont les données sont traitées, afin qu’elles puissent exercer leurs droits.

Une enquête menée en 2024 auprès de 3 625 DPO révèle que 72 % des délégués internes estiment que leurs recommandations sont écoutées et régulièrement suivies. Ce chiffre est encourageant. Mais il signifie aussi que 28 % travaillent dans des structures où leur rôle est consultatif sur le papier, ignoré dans les faits. Ce décalage entre statut formel et influence réelle est l’un des angles morts les plus dangereux de la conformité RGPD.

L’indépendance du DPO : la condition la plus violée, et la plus sanctionnée

C’est là que la plupart des organisations trébuchent. Le RGPD ne se contente pas d’exiger un DPO compétent : il exige un DPO indépendant. L’article 38.6 est explicite sur ce point. Un DPO qui détermine lui-même les finalités ou les moyens du traitement des données qu’il est censé contrôler se trouve en situation de conflit d’intérêts. Et un conflit d’intérêts, c’est une désignation invalide.

La CNIL a établi une liste de fonctions incompatibles avec le rôle de DPO : directeur général, secrétaire général, directeur des services informatiques, directeur des ressources humaines, directeur financier. Ces profils décident des traitements de données. Ils ne peuvent pas simultanément en assurer le contrôle indépendant. Les sanctions existent et elles font mal : une autorité belge a condamné une entreprise à 50 000 euros pour cumul de fonctions incompatibles, et l’autorité allemande a prononcé une amende de 525 000 euros pour conflit d’intérêts avéré. La Cour de Justice de l’Union européenne a précisé que l’appréciation se fait au cas par cas, mais la tendance générale est claire.

La question mérite d’être posée directement : votre DPO contrôle-t-il des traitements qu’il a lui-même contribué à mettre en place ? Si la réponse est oui, vous avez un problème.

DPO interne ou DPO externe : ce que le choix dit de votre organisation

Le RGPD laisse le choix entre un DPO salarié de l’organisation et un DPO externe lié par contrat de prestation. Les deux formules sont légales. Elles ne sont pas équivalentes pour autant. Le DPO interne connaît l’organisation, ses processus, sa culture. Il est présent au quotidien. Mais seulement 25 % des DPO internes exercent leurs fonctions à temps plein. La plupart cumulent avec un autre poste, ce qui nourrit précisément le risque de conflit d’intérêts évoqué plus haut. Et 63 % des DPO internes n’ont pas de budget dédié, ce qui limite concrètement leur capacité d’action.

Le DPO externe présente d’autres avantages : indépendance structurelle garantie, expertise immédiatement opérationnelle, et coût maîtrisé pour les structures qui n’ont pas besoin d’un poste à temps plein. Pour les PME, c’est souvent la solution la plus adaptée, économiquement comme juridiquement. Un groupe d’entreprises peut nommer un seul DPO mutualisé, à condition qu’il reste facilement joignable depuis chaque entité. Ce n’est pas un détail : la CNIL vérifie cette accessibilité.

Ce que le DPO ne fait pas : les responsabilités que l’entreprise ne peut pas lui déléguer

Une idée reçue persiste dans beaucoup de directions : « on a un DPO, donc on est couverts ». Cette confusion est compréhensible, mais elle est fausse et potentiellement coûteuse. Le DPO ne porte pas la responsabilité juridique des manquements au RGPD. Cette charge incombe au responsable de traitement, c’est-à-dire à l’entreprise elle-même et à sa direction. Le DPO conseille, contrôle, alerte. Il n’est pas la personne morale signataire des traitements.

La délégation de pouvoir au DPO est d’ailleurs incompatible avec son statut d’indépendance. Lui transférer la responsabilité reviendrait à lui faire jouer le rôle du décideur, ce que le RGPD interdit précisément. En cas de manquement grave, les sanctions administratives de la CNIL peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. C’est l’entreprise qui paie, pas le DPO.

Nommer un DPO auprès de la CNIL : les étapes concrètes à ne pas manquer

La désignation d’un DPO ne se résume pas à un choix interne. Elle doit être déclarée officiellement auprès de la CNIL, exclusivement en ligne via le téléservice dédié, accessible sur le site cnil.fr. Depuis le 25 février 2025, la démarche nécessite la création d’un compte sur l’espace personnel de la CNIL. Aucun courrier postal n’est accepté, aucun document justificatif n’est à transmettre. Le formulaire se déroule en quatre étapes et permet de choisir entre la désignation d’une personne physique (DPO interne) ou d’une personne morale (DPO externe).

Ce que beaucoup oublient, c’est que la désignation doit s’accompagner d’une documentation interne solide : pourquoi ce profil, pourquoi cette personne, pourquoi l’absence de conflit d’intérêts est-elle garantie. En cas de contrôle de la CNIL, c’est ce dossier qui parlera à votre place. Et les chiffres rappellent l’ampleur du retard à combler : en 2025, près de 48 % des communes françaises n’avaient toujours pas désigné de DPO, alors que l’obligation s’impose à elles depuis 2018. Un DPO bien choisi, bien positionné dans l’organisation, avec les moyens de travailler, n’est pas une contrainte réglementaire de plus : c’est la première ligne de défense d’une gouvernance des données qui tient la route.

Publications similaires :

  1. Conseils pour optimiser la gestion des documents en entreprise
  2. Engineering Data Management : Optimisez la gestion des données techniques dans votre entreprise
  3. Comment touver et vérifier le titulaire d’un IBAN en toute sécurité
  4. Pourquoi choisir Payfit : avantages, automatisation et gain de temps

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publications similaires