DPO : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Le DPO (Data Protection Officer), traduit en français par délégué à la protection des données, est un acteur central de la gouvernance RGPD au sein des organisations.

Le DPO (Data Protection Officer), traduit en français par délégué à la protection des données, est un acteur central de la gouvernance RGPD au sein des organisations. Sa fonction est encadrée par les articles 37 à 39 du règlement (UE) 2016/679, qui définissent les conditions de sa désignation, son statut et l'étendue de ses missions. Le délégué constitue le point de contact privilégié entre l'organisation, ses sous-traitants, les personnes concernées et l'autorité de contrôle nationale.

L'introduction du DPO par le RGPD prolonge et étend la fonction de correspondant Informatique et Libertés (CIL) qui existait sous l'empire de la loi française du 6 janvier 1978. Là où la désignation d'un CIL relevait d'une démarche volontaire, le RGPD impose la désignation d'un DPO dans plusieurs configurations limitativement énumérées par son article 37.

Le délégué joue un double rôle : conseil opérationnel auprès de l'organisation qui l'a désigné, et vigie indépendante du respect des obligations RGPD. Cette dualité fait peser sur lui des exigences professionnelles élevées et lui confère un statut particulier, protégé contre toute instruction ou sanction liée à l'exercice de ses missions.

Vous souhaitez désigner un DPO ou externaliser la fonction ? Le Cabinet Aurore Bonavia, dont la fondatrice est DPO certifiée par Bureau Veritas, propose une mission de DPO externe aux organisations soumises à l'obligation ou souhaitant renforcer leur gouvernance RGPD. → Voir l'accompagnement en droit du numérique

Quand la désignation d'un DPO est obligatoire

L'article 37 paragraphe 1 du RGPD énumère trois hypothèses dans lesquelles la désignation d'un délégué à la protection des données s'impose :

  • lorsque le traitement est effectué par une autorité publique ou un organisme public, à l'exclusion des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;
  • lorsque les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • lorsque les activités de base consistent en un traitement à grande échelle de catégories particulières de données au sens de l'article 9 (données sensibles) ou de données relatives à des condamnations pénales et infractions au sens de l'article 10.

Les notions de « grande échelle » et d'« activités de base » ont été précisées par les lignes directrices WP 243 du Groupe de l'article 29 (G29), désormais reprises par le Comité européen de la protection des données (EDPB). L'appréciation tient compte du nombre de personnes concernées, du volume et de la diversité des données, de la durée et de l'extension géographique du traitement.

Hors ces hypothèses obligatoires, le RGPD encourage la désignation volontaire d'un DPO comme bonne pratique de gouvernance. Cette désignation volontaire entraîne néanmoins l'application intégrale du régime des articles 37 à 39, ce qui implique que l'organisation s'engage durablement dans cette structuration.

Les missions du délégué à la protection des données

L'article 39 du RGPD énumère les missions confiées au DPO, qui couvrent l'ensemble du cycle de vie de la conformité :

  • informer et conseiller le responsable de traitement, le sous-traitant et leurs employés sur les obligations qui leur incombent en vertu du règlement et des autres dispositions de droit national ou européen relatives à la protection des données ;
  • contrôler le respect du règlement, des dispositions nationales et des politiques internes de l'organisation, ce qui implique la conduite d'audits, la sensibilisation et la formation du personnel intervenant dans les opérations de traitement ;
  • dispenser des conseils sur l'analyse d'impact relative à la protection des données (AIPD) prévue à l'article 35 et vérifier sa réalisation ;
  • coopérer avec l'autorité de contrôle et agir en qualité de point de contact pour cette autorité sur toute question relative au traitement, y compris la consultation préalable de l'article 36 ;
  • tenir compte du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

Le DPO est également désigné par l'article 38 paragraphe 4 comme point de contact des personnes concernées pour toutes les questions relatives au traitement de leurs données et à l'exercice de leurs droits.

Le statut et les garanties d'indépendance du DPO

L'article 38 du RGPD encadre strictement le statut du DPO afin de garantir son indépendance fonctionnelle. Plusieurs prescriptions s'imposent au responsable de traitement et au sous-traitant qui l'ont désigné :

  • associer le DPO à toutes les questions relatives à la protection des données personnelles d'une manière appropriée et en temps utile ;
  • fournir au DPO les ressources nécessaires à l'exercice de ses missions, ainsi que l'accès aux données et opérations de traitement ;
  • garantir l'absence d'instructions quant à l'exercice de ses missions ;
  • interdire toute sanction ou révocation liée à l'exercice de ses missions ;
  • assurer la confidentialité dans laquelle le DPO accomplit son travail ;
  • prévenir les conflits d'intérêts : le DPO ne peut occuper en parallèle une fonction qui le conduirait à arrêter les finalités et les moyens des traitements.

Le DPO peut être un membre du personnel (DPO interne), un prestataire externe désigné en qualité de DPO sur la base d'un contrat de service (DPO externe), ou être mutualisé entre plusieurs organismes en application de l'article 37 paragraphe 2 ou 3 du RGPD. Ses coordonnées sont publiées et communiquées à l'autorité de contrôle nationale, qui en France est la CNIL.

Spécificité juridique sur les compétences exigées

L'article 37 paragraphe 5 du Règlement (UE) 2016/679 fixe le profil professionnel attendu du délégué :

« Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l'article 39. »

Le règlement n'impose ni diplôme spécifique ni certification obligatoire, ce qui laisse à chaque organisation la responsabilité d'apprécier l'adéquation du profil aux enjeux du traitement concerné. Les certifications délivrées par des organismes accrédités (Bureau Veritas, AFNOR Certification, LSTI) attestent toutefois d'un socle de connaissances reconnu et constituent un signal de qualité utile à la désignation.

La CNIL recommande, par sa délibération n° 2018-318 du 20 septembre 2018, que le DPO dispose d'une expertise juridique solide en matière de protection des données, d'une connaissance des secteurs d'activité et des traitements concernés, ainsi que d'aptitudes managériales suffisantes pour piloter la conformité au sein de l'organisation.

Plusieurs sanctions emblématiques ont été prononcées pour manquement à l'obligation de désignation d'un DPO ou aux exigences de communication de ses coordonnées. La sanction prononcée par l'Agencia Española de Protección de Datos contre GLOVO APP 23 S.L. le 9 juin 2020 (référence PS/00417/2019) a notamment retenu un défaut de désignation effective du DPO et l'absence de communication de ses coordonnées à l'autorité de contrôle, donnant lieu à une amende administrative significative. Cette décision illustre la rigueur avec laquelle les autorités européennes contrôlent l'effectivité de la désignation au-delà du seul respect formel de l'article 37.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de DPO

  • l'évaluation de l'obligation de désigner un DPO au regard des trois critères de l'article 37 du RGPD ;
  • la rédaction de la lettre de mission ou du contrat de service encadrant la fonction de DPO interne ou externe ;
  • l'organisation de la passation entre un correspondant Informatique et Libertés (CIL) et un délégué à la protection des données ;
  • la mission de DPO externe pour les organisations qui choisissent l'externalisation, mission assurée par Aurore Bonavia, certifiée DPO par Bureau Veritas ;
  • la formation des équipes internes aux exigences du RGPD et aux bonnes pratiques opérationnelles ;
  • la conduite des analyses d'impact (AIPD) prévues à l'article 35 ;
  • la coopération avec la CNIL en cas de contrôle, de demande d'information ou de procédure de sanction ;
  • la rédaction des notifications de violation de données dans le délai de soixante-douze heures imparti par l'article 33.

En savoir plus sur l'accompagnement du cabinet : avocat CNIL.

Sources : Règlement (UE) 2016/679 (RGPD), articles 37 à 39, Lignes directrices WP 243 du Groupe de l'article 29 (G29) reprises par l'EDPB, CNIL délibération n° 2018-318 du 20 septembre 2018, Loi Informatique et Libertés du 6 janvier 1978, Agencia Española de Protección de Datos décision PS/00417/2019 du 9 juin 2020 (GLOVO APP 23 S.L.). Fiche mise à jour le 4 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.