En bref
Le DPO est obligatoire pour les organismes publics et ceux traitant des données sensibles à grande échelle. Garant de la conformité RGPD, il bénéficie d'une indépendance protégée. Les manquements exposent à des amendes pouvant atteindre 10 millions d'euros.
Cadre juridique et définition du délégué à la protection des données
Organismes ayant désigné un DPO en France
Ce chiffre, en progression constante depuis l'entrée en application du RGPD en 2018, témoigne de la montée en puissance de la fonction de délégué à la protection des données dans le tissu économique et institutionnel français.
Source : CNIL — rapport d'activité 2023
Les trois hypothèses de désignation obligatoire du DPO
Art. 37, §1 RGPD (règl. UE 2016/679)
« Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données lorsque le traitement est effectué par une autorité publique ou un organisme public, lorsque les activités de base exigent un suivi régulier et systématique à grande échelle des personnes, ou lorsqu'elles consistent en un traitement à grande échelle de catégories particulières de données. »
Source : RGPD — règlement (UE) 2016/679
Sous-évaluer la notion de « grande échelle »
La notion de traitement à grande échelle ne se réduit pas au seul nombre de personnes concernées. Le Comité européen de la protection des données recommande de croiser quatre critères : le volume de données traitées, la durée du traitement, l'étendue géographique et la proportion de la population concernée. Une clinique locale ne traite pas à grande échelle, mais un réseau hospitalier régional peut y être soumis.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Compétences requises et modalités de désignation
La certification CNIL : un atout stratégique non obligatoire
La CNIL a publié un référentiel de certification permettant aux professionnels de faire valider leurs compétences de DPO par un organisme agréé. Bien que facultative, cette certification renforce la crédibilité du délégué et sécurise juridiquement le choix de l'organisme désignant.
DPO mutualisé : une solution adaptée aux structures modestes
Les PME, associations et petites collectivités peuvent désigner un DPO commun, interne ou externe. Cette mutualisation permet de bénéficier d'une expertise spécialisée à coût partagé, sous réserve que le DPO reste effectivement disponible et joignable par chaque organisme l'ayant désigné.
Les missions du DPO définies par l'article 39 du RGPD
Art. 39 RGPD (règl. UE 2016/679)
« Les missions du DPO comprennent l'information et le conseil du responsable de traitement et des employés, le contrôle du respect du règlement et des politiques de protection des données, la dispensation de conseils sur l'analyse d'impact, la coopération avec l'autorité de contrôle et la fonction de point de contact pour celle-ci. »
Source : RGPD — règlement (UE) 2016/679
Indépendance fonctionnelle et interdiction des conflits d'intérêts
Art. 38 RGPD (règl. UE 2016/679)
« Le responsable du traitement et le sous-traitant veillent à ce que le délégué ne reçoive aucune instruction en ce qui concerne l'exercice de ses missions. Il ne peut être relevé de ses fonctions ni pénalisé pour leur exercice. Le DPO fait directement rapport au niveau le plus élevé de la direction de l'organisme. »
Source : RGPD — règlement (UE) 2016/679
Cumuler la fonction de DPO avec un poste dirigeant opérationnel
Confier la mission de DPO au directeur informatique, au directeur financier ou au responsable marketing constitue un conflit d'intérêts caractérisé. Ces fonctions impliquent de déterminer les finalités et les moyens des traitements de données, ce qui est incompatible avec le rôle de contrôle indépendant du délégué à la protection des données.
Sanctions encourues et enjeux stratégiques de la conformité DPO
Art. 83, §4 RGPD (règl. UE 2016/679)
« Les violations des dispositions relatives au délégué à la protection des données font l'objet d'amendes administratives pouvant s'élever jusqu'à 10 000 000 d'euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. »
Source : RGPD — règlement (UE) 2016/679
Questions fréquentes
Un organisme privé de moins de 250 salariés doit-il obligatoirement désigner un DPO ?
L'obligation de désigner un DPO ne dépend pas de l'effectif de l'organisme mais de la nature de ses activités. Même une PME traitant des données de santé à grande échelle ou réalisant un suivi systématique de personnes doit procéder à cette désignation. Le seuil de 250 salariés concerne uniquement l'obligation allégée de tenue du registre des traitements prévue à l'article 30, paragraphe 5, du RGPD.
Le DPO peut-il être tenu personnellement responsable en cas de non-conformité RGPD ?
Non. La responsabilité de la conformité au RGPD incombe exclusivement au responsable de traitement, non au délégué. Le DPO exerce une mission de conseil, d'information et de contrôle indépendant, sans se substituer à l'organisme dans ses obligations. Seul le responsable de traitement est passible des amendes administratives prévues par l'article 83 du règlement européen.
Comment désigner un DPO externe et quelles précautions contractuelles prendre ?
Le DPO externe est désigné sur la base d'un contrat de prestation de services détaillant ses missions, ses moyens d'action, ses engagements de confidentialité et ses modalités de reporting. L'organisme doit vérifier ses compétences spécialisées, s'assurer de sa disponibilité effective et de l'absence de tout conflit d'intérêts, puis communiquer ses coordonnées à la CNIL par téléprocédure.
Le DPO bénéficie-t-il d'une protection contre le licenciement en droit français ?
L'article 38 du RGPD interdit de relever le DPO de ses fonctions ou de le pénaliser pour l'exercice de ses missions. En droit français, cette protection fonctionnelle ne confère pas un statut protecteur équivalent à celui des représentants du personnel. Toutefois, un licenciement motivé par l'exercice loyal de la fonction de DPO serait susceptible d'être qualifié d'abusif par les juridictions prud'homales.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
- Procédure à Saint Pierre Reunion
- Procédure à Courbevoie
- Procédure à Asnieres Sur Seine
- Procédure à Rueil Malmaison
- Procédure à Dunkerque
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,99 € · paiement sécurisé · document prêt en quelques minutes