Le délégué à la protection des données (DPO, pour Data Protection Officer) est le chef d'orchestre de la conformité au RGPD au sein d'une organisation. Il conseille, contrôle et fait le lien avec la CNIL et les personnes concernées. Sa désignation est obligatoire dans trois situations précises, prévues par l'article 37 du RGPD, et vivement recommandée dans les autres. Cette fiche détaille son rôle, les cas où il s'impose, son statut et les modalités de sa désignation, à l'appui du RGPD et des sources officielles (cnil.fr).
L'essentiel
- Le DPO est prévu par l'article 37 du RGPD ; sa désignation est obligatoire dans trois cas.
- Il est obligatoire pour les autorités et organismes publics, le suivi régulier et systématique à grande échelle, et le traitement à grande échelle de données sensibles ou pénales.
- Hors ces cas, sa désignation est facultative mais encouragée par la CNIL.
- Il doit disposer de moyens, d'indépendance et ne peut subir de sanction pour l'exercice de ses missions.
- Il peut être interne ou externe, personne physique ou morale, et doit être déclaré à la CNIL.
Le rôle du DPO
Le DPO informe et conseille le responsable de traitement et les salariés sur leurs obligations. Il contrôle le respect du RGPD et des règles internes, accompagne la réalisation des analyses d'impact, sensibilise les équipes et coopère avec la CNIL, dont il est le point de contact. Il est aussi l'interlocuteur des personnes concernées qui souhaitent exercer leurs droits (accès, rectification, effacement).
Le DPO ne décide pas à la place de l'organisation : la responsabilité de la conformité reste celle du responsable de traitement. Le DPO éclaire, alerte et accompagne, dans une position d'indépendance.
Quand la désignation est-elle obligatoire ?
| Cas (art. 37 RGPD) | Exemples |
|---|---|
| Autorité ou organisme public | Ministères, collectivités, établissements publics. |
| Suivi régulier et systématique à grande échelle | Banques, assureurs, opérateurs télécoms, fournisseurs d'accès. |
| Traitement à grande échelle de données sensibles ou pénales | Données de santé, biométriques, opinions, condamnations. |
En dehors de ces trois hypothèses, la désignation est facultative. La CNIL l'encourage néanmoins, car le DPO constitue un atout pour piloter la conformité et démontrer le respect du principe de responsabilité (accountability). Beaucoup d'entreprises font ce choix volontairement.
Statut et garanties
Le DPO doit posséder une expertise en matière de protection des données et disposer des moyens nécessaires à ses missions. Il exerce ses fonctions en toute indépendance : il rend compte au plus haut niveau de la direction, ne reçoit pas d'instructions sur la manière de traiter une question et ne peut être relevé de ses fonctions ni pénalisé pour l'exercice de sa mission. Il doit aussi être à l'abri des conflits d'intérêts : il ne peut être à la fois DPO et décideur des traitements qu'il contrôle.
Le DPO peut être un salarié (DPO interne) ou un prestataire (DPO externe), personne physique ou morale. Un même DPO peut être mutualisé entre plusieurs organismes, par exemple au sein d'un groupe.
Les démarches de désignation
- Déterminer si la désignation est obligatoire au regard des trois cas de l'article 37.
- Choisir un profil compétent en droit, en informatique et en gestion des risques.
- Décider interne ou externe, en veillant à l'absence de conflit d'intérêts.
- Garantir les moyens et l'indépendance du DPO et son rattachement à la direction.
- Désigner officiellement le DPO auprès de la CNIL via le téléservice dédié.
- Publier ses coordonnées et les rendre accessibles aux personnes concernées.
FAQ
Toutes les entreprises doivent-elles désigner un DPO ?
Non. L'obligation ne vise que trois cas (organisme public, suivi à grande échelle, données sensibles à grande échelle). Ailleurs, la désignation est facultative mais recommandée.
Le DPO peut-il être le dirigeant ?
C'est déconseillé : le DPO doit éviter les conflits d'intérêts et ne peut contrôler des traitements qu'il décide lui-même. Un profil indépendant est préférable.
Le DPO peut-il être externe ?
Oui. Il peut être un prestataire, personne physique ou morale. Cette solution est fréquente pour les structures qui n'ont pas la ressource en interne.
Faut-il déclarer le DPO ?
Oui. Sa désignation doit être communiquée à la CNIL via un téléservice, et ses coordonnées doivent être rendues accessibles au public et aux personnes concernées.