LegamapexDroit du numérique européen
Retour aux fiches
RGPDRGPDDPOCompliance

Le Délégué à la Protection des Données (DPO)

Le Délégué à la Protection des Données (DPO, ou DPD en français) est une figure centrale du RGPD, introduit par le Règlement (UE) 2016/679. Il joue un rôle de conseil, de contrôle interne et d'interface avec l'autorité de contrôle (en France : la CNIL). Sa désignation est obligatoire dans certains cas.

Quand la désignation d'un DPO est-elle obligatoire ?

L'article 37 RGPD impose la désignation d'un DPO dans trois hypothèses :
  • Le responsable du traitement ou le sous-traitant est une autorité ou un organisme public (à l'exception des juridictions dans l'exercice de leurs fonctions juridictionnelles).
  • Les activités de base consistent en des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées (exemples : profilage publicitaire, surveillance des comportements en ligne).
  • Les activités de base consistent en un traitement à grande échelle de catégories particulières de données (article 9 RGPD : données de santé, biométriques, etc.) ou de données relatives à des condamnations pénales (article 10 RGPD).
En dehors de ces trois cas, la désignation reste possible mais facultative.

Profil et statut du DPO

Le DPO est désigné sur la base de ses qualités professionnelles, notamment une connaissance spécialisée du droit et des pratiques en matière de protection des données. Plusieurs modalités de désignation sont possibles :
  • Salarié interne de l'organisme.
  • Prestataire externe (DPO mutualisé ou externalisé), solution fréquente pour les PME.
  • DPO unique pour un groupe d'entreprises, si le DPO est facilement joignable depuis chaque établissement.
Le DPO bénéficie de garanties d'indépendance importantes : il ne peut être sanctionné ni relevé de ses fonctions pour l'exercice de ses missions, et rapporte directement au niveau le plus élevé de la direction.

Missions du DPO

L'article 39 RGPD énumère cinq missions minimales du DPO :
  • Informer et conseiller le responsable du traitement, le sous-traitant et les employés sur leurs obligations au titre du RGPD.
  • Contrôler le respect du RGPD et des politiques internes de l'organisme (sensibilisation, formation, audits).
  • Conseiller sur les analyses d'impact relatives à la protection des données (AIPD) et vérifier leur bonne exécution.
  • Coopérer avec l'autorité de contrôle (la CNIL en France).
  • Faire office de point de contact avec la CNIL pour toute question relative aux traitements de données.

Responsabilité du DPO

Attention : le DPO n'est pas le responsable du traitement. Il est un conseiller. La responsabilité juridique des traitements pèse sur le responsable du traitement ou le sous-traitant, pas sur le DPO. Cependant, en cas de manquement grave à ses missions de conseil, sa responsabilité civile contractuelle pourrait être engagée. En France, le DPO doit être notifié à la CNIL (notification en ligne obligatoire).

Articles clés à connaître

  • Article 37 RGPDDésignation obligatoire du DPO : trois cas (organisme public, suivi systématique à grande échelle, données sensibles à grande échelle).
  • Article 38 RGPDPosition du DPO : indépendance, ressources nécessaires, accès au niveau le plus élevé de la direction, absence de conflit d'intérêts.
  • Article 39 RGPDMissions du DPO : information, conseil, contrôle, AIPD, coopération avec l'autorité de contrôle.

💡 Exemple concret

Un hôpital public traite des données de santé (catégorie particulière, article 9) de milliers de patients → désignation obligatoire. Une startup de 5 salariés qui collecte uniquement les emails de ses clients pour envoyer une newsletter → désignation non obligatoire (mais recommandée). Une plateforme de publicité ciblée qui profile des millions d'internautes → désignation obligatoire (suivi systématique à grande échelle).

Pièges à éviter

  • Le DPO n'est pas responsable des violations de données : c'est le responsable du traitement qui l'est. Le DPO est un conseiller, pas un garant.
  • L'indépendance du DPO est réelle : un employeur ne peut pas lui donner des instructions sur la façon d'exercer ses missions, ni le licencier pour avoir signalé une violation.
  • La notification du DPO à la CNIL est obligatoire en France, même si la désignation n'est pas légalement requise.
  • Un DPO peut cumuler d'autres fonctions, mais sans conflit d'intérêts : un directeur juridique ou un responsable informatique peut être DPO si ses autres fonctions ne créent pas de conflit avec ses missions de protection des données.

L'essentiel à retenir

  • Désignation obligatoire dans 3 cas : organisme public, suivi systématique à grande échelle, données sensibles à grande échelle.
  • Le DPO est indépendant : il ne peut être sanctionné pour l'exercice de ses missions.
  • 5 missions clés : informer, contrôler, conseiller sur les AIPD, coopérer avec la CNIL, point de contact.
  • La responsabilité reste chez le responsable du traitement, pas chez le DPO.
  • Notification obligatoire à la CNIL en France.