Exigences relatives au délégué à la protection des données par pays (2026)
Un délégué à la protection des données (DPO) est un professionnel de la conformité désigné, exigé par la loi dans des dizaines de juridictions à travers le monde. En vertu du règlement général de l'Union européenne sur la protection des données (RGPD), les articles 37 à 39 fixent les règles fondamentales que la plupart des cadres nationaux ont depuis adoptées ou adaptées. Ce guide explique qui doit désigner un DPO, ce qu'exige le rôle, et comment l'obligation varie selon les principaux régimes mondiaux en date de mai 2026.
Informations vérifiées pour la dernière fois le 19/05/2026. Cet article n'a pas encore été révisé par un avocat autorisé.
Champ juridictionnel : Cet article couvre les exigences relatives au DPO et à ses équivalents en vertu du RGPD de l'UE, du RGPD britannique, et de lois nationales sélectionnées sur la protection de la vie privée au Brésil, en Chine, en Inde, en Corée du Sud, à Singapour, en Malaisie, en Thaïlande, en Afrique du Sud, aux ÉAU (PDPL fédéral, DIFC, ADGM), en Indonésie et au Vietnam. Les lois sont citées telles qu'en vigueur au 19/05/2026.
Qu'est-ce qu'un délégué à la protection des données ?
Un délégué à la protection des données est une personne désignée par une organisation pour servir d'autorité interne en matière de conformité à la protection des données. L'article 39 du RGPD définit les tâches essentielles du DPO : informer et conseiller le responsable de traitement et le sous-traitant (ainsi que leurs employés) sur leurs obligations en matière de protection des données ; contrôler le respect du RGPD et des politiques propres du responsable de traitement ; conseiller sur les analyses d'impact relatives à la protection des données (AIPD) ; coopérer avec l'autorité de contrôle ; et faire office de point de contact pour les personnes concernées et l'autorité de contrôle.
Le concept a gagné en importance mondiale après l'entrée en vigueur du RGPD le 25 mai 2018. Les régulateurs d'Amérique du Sud, d'Asie et d'Afrique ont depuis intégré des exigences équivalentes au DPO dans leurs lois nationales sur la vie privée, bien que les déclencheurs spécifiques, les qualifications et les lignes hiérarchiques diffèrent substantiellement selon la juridiction.
Toutes les organisations n'ont pas besoin d'un DPO. L'obligation dépend généralement du type de données traitées, de l'ampleur des activités de traitement, et du fait que l'organisation soit ou non un organisme public. Pour les organisations multinationales, des obligations qui se chevauchent peuvent survenir simultanément au titre de deux régimes ou plus.
Les règles du RGPD relatives au DPO : articles 37, 38 et 39
Le RGPD établit le cadre fondamental relatif au DPO que la plupart des autres juridictions ont utilisé comme référence. Les articles 37 à 39 du règlement (UE) 2016/679 énoncent les déclencheurs de désignation, les qualifications, les exigences opérationnelles et les tâches.
Les trois déclencheurs obligatoires de désignation (article 37)
En vertu de l'article 37(1) du RGPD, un responsable de traitement ou un sous-traitant doit désigner un DPO lorsque l'une des trois conditions suivantes est remplie :
Déclencheur 1 : autorité ou organisme public. Le traitement est effectué par une autorité ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle. Cela couvre les ministères, les municipalités, les universités publiques, les entreprises publiques et entités similaires dans toute l'UE et l'EEE.
Déclencheur 2 : suivi régulier et systématique à grande échelle. Les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées. Les lignes directrices du G29 (WP243rev.01, entérinées par le CEPD) citent en exemple le suivi de géolocalisation via des applications mobiles et la vidéosurveillance systématique d'espaces publics. Le RGPD ne définit pas la « grande échelle » par un nombre précis ; les lignes directrices du G29 invitent les responsables de traitement à tenir compte du nombre de personnes concernées, du volume de données, de l'étendue géographique, de la durée, et de la nature du traitement. Un seul hôpital traitant les données de santé de sa patientèle est concerné ; un médecin exerçant seul et traitant des patients individuels ne l'est pas.
Déclencheur 3 : traitement à grande échelle de données sensibles ou de données relatives aux infractions pénales. Les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données au sens de l'article 9 (y compris l'origine raciale ou ethnique, les données de santé, les données biométriques, et les données relatives à l'orientation sexuelle) ou de données à caractère personnel relatives aux condamnations pénales et infractions au sens de l'article 10.
Le terme « activités de base » est essentiel. Le CEPD précise qu'il désigne les opérations commerciales principales, et non les fonctions de soutien accessoires. Un assureur qui traite des données de santé pour évaluer un risque exerce une activité de base ; un cabinet d'avocats qui traite les données de paie de ses employés ne le fait pas, même si la paie implique des données personnelles.
« La notion d'"activités principales" peut être interprétée comme les opérations clés nécessaires pour atteindre les objectifs du responsable du traitement ou du sous-traitant. Par exemple, un hôpital ne peut fournir des soins de santé sans traiter les données de santé de ses patients ; le traitement de ces données constitue donc une activité principale. » (G29, Lignes directrices concernant les délégués à la protection des données, WP243rev.01, 5 avril 2017)
Qualifications du DPO (article 37(5))
L'article 37(5) du RGPD exige que le DPO possède des « connaissances spécialisées du droit et des pratiques en matière de protection des données ». Aucun diplôme universitaire ni certification professionnelle spécifique n'est imposé au niveau de l'UE. Le niveau d'expertise requis évolue avec la complexité des opérations de traitement de données de l'organisation. Pour un responsable de traitement de données sensibles à grande échelle, un niveau élevé de connaissances spécialisées est attendu. Pour un organisme public plus modeste dont le traitement est simple, un niveau de connaissances proportionné suffit.
En pratique, des certifications comme le CIPP/E (Certified Information Privacy Professional/Europe) et le CIPM (Certified Information Privacy Manager) de l'International Association of Privacy Professionals (IAPP) sont largement considérées comme des preuves de l'expertise requise, bien qu'elles demeurent facultatives en droit de l'UE.
Position et indépendance (article 38)
L'article 38 établit les exigences opérationnelles qui protègent l'indépendance du DPO :
- Le DPO doit être associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
- Le responsable de traitement et le sous-traitant doivent soutenir le DPO en lui fournissant les ressources nécessaires à l'exécution de ses tâches, à l'entretien de ses connaissances spécialisées, et à l'accès aux données personnelles et aux opérations de traitement.
- Le DPO doit rendre compte directement au niveau le plus élevé de la direction du responsable de traitement ou du sous-traitant.
- Le DPO ne peut être relevé de ses fonctions ni pénalisé pour l'exercice de ses tâches.
- Le DPO peut exercer d'autres fonctions, à condition qu'il n'existe aucun conflit d'intérêts.
L'exigence d'absence de conflit d'intérêts a fait l'objet d'une action d'application significative. Le CEPD confirme que les fonctions qui déterminent les finalités et les moyens du traitement des données entrent intrinsèquement en conflit avec la fonction de DPO. Cela inclut : directeur général, directeur des opérations, directeur technique, responsable informatique, responsable des ressources humaines, responsable marketing, et dans la plupart des contextes, responsable juridique (lorsque le conseil juridique se prononce sur les mêmes décisions de traitement que le DPO est censé superviser en toute indépendance).
En 2025, l'autorité polonaise de protection des données (UODO) a infligé une amende administrative de 132 000 euros à une organisation pour positionnement inapproprié du DPO, y compris un conflit d'intérêts résultant du cumul par le DPO de fonctions de conformité, d'audit et de gestion des risques (décision de l'UODO, 2025). Le commissaire de Berlin à la protection des données a séparément infligé une amende de 525 000 euros à un groupe de distribution pour une violation comparable de l'article 38(6).
Les tâches du DPO (article 39)
L'article 39 définit cinq catégories de tâches obligatoires :
- Informer et conseiller le responsable de traitement, le sous-traitant et leurs employés sur leurs obligations en matière de protection des données en vertu du RGPD et d'autres dispositions du droit de l'Union ou des États membres relatives à la protection des données.
- Contrôler le respect du RGPD, y compris la répartition des responsabilités, la sensibilisation, la formation du personnel participant aux opérations de traitement, et les audits correspondants.
- Dispenser des conseils, lorsqu'ils sont sollicités, sur les AIPD et contrôler leur exécution en vertu de l'article 35.
- Coopérer avec l'autorité de contrôle.
- Faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, et procéder à des consultations, le cas échéant.
Sanctions pour non-conformité relative au DPO (article 83(4))
Le fait de ne pas désigner un DPO lorsqu'il est requis, d'entraver l'indépendance du DPO, ou de ne pas publier les coordonnées du DPO relève de l'article 83(4)(a), qui autorise des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
Les lignes directrices du CEPD sur le DPO et l'action coordonnée d'application de 2024
Les lignes directrices du G29 sur les délégués à la protection des données (WP243rev.01), adoptées en décembre 2016 et révisées en avril 2017, demeurent l'autorité interprétative principale des articles 37 à 39. Le CEPD a entériné ces lignes directrices lors de sa première réunion plénière en mai 2018.
En janvier 2024, le CEPD a publié le rapport de son action coordonnée d'application 2023 (CEF 2023) portant sur la désignation et la position du DPO. L'enquête a impliqué 25 autorités de protection des données à travers l'EEE, qui ont examiné plus de 17 000 réponses d'organisations et de DPO des secteurs privé et public. Principales conclusions :
- Un nombre significatif d'organisations tenues de désigner un DPO ne l'avaient pas fait.
- De nombreux DPO désignés manquaient de connaissances spécialisées suffisantes au regard de la complexité du traitement qu'ils supervisaient.
- Les DPO signalaient fréquemment des ressources insuffisantes : temps, budget et personnel inadéquats.
- Une indépendance insuffisante restait répandue, certains DPO signalant des pressions de la direction pour modifier des évaluations de conformité.
- Les DPO n'étaient pas toujours associés dès le début des nouveaux projets de traitement de données.
Le CEPD a recommandé aux autorités de protection des données d'intensifier les activités de sensibilisation et l'application ciblée. Le rapport complet est disponible sur edpb.europa.eu.
Variations selon les États membres de l'UE
Bien que le RGPD fixe un plancher minimal, les États membres peuvent imposer des exigences supplémentaires par le biais de leur législation nationale de transposition.
Allemagne. La loi fédérale sur la protection des données (Bundesdatenschutzgesetz, BDSG), article 38, exige la désignation d'un DPO pour toute organisation employant régulièrement au moins 20 personnes engagées dans le traitement automatisé de données personnelles. Ce seuil est nettement inférieur à la norme de « grande échelle » du RGPD et concerne de nombreuses petites et moyennes entreprises.
France. La CNIL recommande une adoption large du DPO mais n'ajoute pas de déclencheurs de désignation obligatoires au-delà du RGPD. La France comptait plus de 80 000 DPO enregistrés auprès de la CNIL en 2024, reflétant une forte adoption institutionnelle de la fonction.
Roumanie. L'autorité nationale de surveillance (ANSPDCP) exige que les DPO détiennent des qualifications formelles reconnues par l'autorité, faisant de la Roumanie l'un des rares États membres de l'UE imposant de facto une exigence de certification.
Pologne. L'autorité polonaise de protection des données (UODO) exige une notification de la désignation du DPO dans un délai de 14 jours et publie un registre public. En 2025, l'UODO a infligé une amende de 5 814 euros pour défaut de désignation d'un DPO et défaut de publication des coordonnées du DPO (décision de l'UODO, 2025).
Royaume-Uni (RGPD britannique et DPA 2018)
Depuis le Brexit, le Royaume-Uni fonctionne sous le RGPD britannique et le Data Protection Act 2018 (DPA 2018). Les déclencheurs de désignation du DPO reproduisent la structure en trois volets de l'article 37 du RGPD de l'UE. L'Information Commissioner's Office (ICO) fournit des lignes directrices sur ico.org.uk.
Le Data Protection and Digital Information Bill, présenté en 2023, proposait de remplacer l'exigence obligatoire de DPO par un modèle plus flexible de « personne responsable désignée » (SRI). En date de mai 2026, ce projet de loi n'a pas été adopté, et l'exigence de DPO du RGPD britannique demeure en vigueur.
Exigences équivalentes au DPO dans d'autres juridictions
Brésil (LGPD) : Encarregado
La Lei Geral de Proteção de Dados (LGPD) du Brésil, loi 13.709/2018, en vigueur depuis septembre 2020, exige de tout responsable de traitement qu'il désigne un encarregado en vertu de l'article 41. Contrairement au RGPD, l'obligation brésilienne s'applique à tous les responsables de traitement, indépendamment de leur taille ou du type de traitement. L'encarregado reçoit les plaintes des personnes concernées, fournit des informations aux personnes concernées et à l'ANPD, coopère avec l'ANPD, et guide les efforts de conformité interne.
La résolution CD/ANPD n° 2 de janvier 2022 de l'ANPD a assoupli l'obligation pour les petites entreprises et les microentreprises classées comme telles en droit brésilien, en autorisant une désignation volontaire plutôt qu'obligatoire. Aucune qualification spécifique n'est prescrite. La fonction peut être exercée par une personne physique ou une organisation externe ; il n'existe aucune exigence de présence locale.
Chine (PIPL) : responsable de la protection des informations personnelles
La loi chinoise sur la protection des informations personnelles (PIPL), en vigueur depuis le 1er novembre 2021, exige des organisations traitant les informations personnelles de plus d'un million de personnes qu'elles désignent un responsable de la protection des informations personnelles en vertu de l'article 52. Ce responsable doit être basé en Chine, ou l'organisation doit établir une entité dédiée ou désigner un représentant en Chine. Le nom et les coordonnées du responsable doivent être rendus publics et signalés au service compétent de l'Administration du cyberespace de Chine (CAC).
Les sanctions pour violation, y compris le défaut de désignation d'un responsable, peuvent atteindre 50 millions CNY (environ 7 millions USD) ou 5 % du chiffre d'affaires de l'exercice précédent, le montant le plus élevé étant retenu.
Inde (DPDPA 2023) : DPO pour les fiduciaires de données importants
La loi indienne de 2023 sur la protection des données personnelles numériques (DPDPA), promulguée le 11 août 2023, exige des « fiduciaires de données importants » (SDF) qu'ils désignent un délégué à la protection des données basé en Inde en vertu de l'article 10(2)(a). Les règles DPDP, notifiées par le MeitY le 13 novembre 2025 et applicables progressivement jusqu'en 2026-2027, définissent les critères de SDF et les responsabilités du DPO.
Les SDF sont classés par le gouvernement en fonction du volume de données personnelles traitées, de la sensibilité des données, du risque pour les personnes concernées, des considérations de sécurité nationale, et de l'impact potentiel sur les droits des personnes concernées. Le DPO doit être un cadre supérieur du SDF basé en Inde, doit rendre compte au conseil d'administration, et fait office de point de contact pour le Conseil de protection des données de l'Inde. Les SDF doivent également mener des AIPD périodiques et désigner un auditeur de données indépendant. L'amende maximale pour non-conformité est de 250 crores INR (environ 30 millions USD).
Singapour (PDPA) : DPO universel obligatoire
La loi de 2012 de Singapour sur la protection des données personnelles (PDPA), administrée par la Commission de protection des données personnelles (PDPC), exige de toute organisation soumise à la PDPA qu'elle désigne au moins une personne comme DPO en vertu de l'article 11(3). Aucun seuil minimal de traitement n'est prévu. L'obligation s'étend aux sociétés holding, aux sociétés en sommeil, et aux organisations cessant leurs activités tant qu'elles continuent de traiter des données personnelles.
Depuis le 1er juin 2025, la PDPC exige des organisations qu'elles lui notifient les coordonnées de leur DPO. Aucune qualification spécifique n'est imposée par la loi, bien que le DPO doive posséder une connaissance adéquate de la PDPA pour guider efficacement l'organisation.
Malaisie (PDPA telle que modifiée en 2024)
La loi malaisienne de 2010 sur la protection des données personnelles (PDPA) a été substantiellement modifiée par la loi modificative de 2024 sur la protection des données personnelles. L'amendement rend obligatoire la désignation d'un DPO pour les responsables de traitement et sous-traitants qui traitent de grands volumes de données personnelles, traitent des données personnelles sensibles, ou effectuent un suivi régulier et systématique de personnes. L'amendement est entré en vigueur par étapes entre janvier et juin 2025.
Exigences clés : le DPO doit être résident malaisien pendant au moins 180 jours par an ; le commissaire doit être notifié de la désignation du DPO ; le DPO conseille sur les obligations de la PDPA, contrôle la conformité, mène des évaluations d'impact, et fait office de point de contact avec le commissaire. L'externalisation des services de DPO est autorisée à condition que l'exigence de résidence soit satisfaite.
Corée du Sud (PIPA) : CPO et amendement de 2026 sur la responsabilité du PDG
La loi coréenne sur la protection des informations personnelles (PIPA), substantiellement modifiée en 2023, exige de tous les responsables et sous-traitants d'informations personnelles qu'ils désignent un responsable de la protection de la vie privée (CPO) en vertu de l'article 31. Le CPO doit détenir un pouvoir décisionnel au sein de l'organisation. Les institutions publiques doivent désigner le CPO au niveau de cadre dirigeant supérieur. Le nom, le service et les coordonnées du CPO doivent être rendus publics.
Le 12 février 2026, l'Assemblée nationale a adopté un nouvel amendement à la PIPA, promulgué le 10 mars 2026 et en vigueur depuis le 11 septembre 2026. L'amendement de 2026 : désigne le PDG ou le représentant de l'entreprise comme la « personne ultimement responsable de la protection des données » ; exige la désignation, la réaffectation ou la révocation du CPO par résolution formelle du conseil d'administration avec notification à la Commission de protection des informations personnelles (PIPC) pour les organisations dépassant un certain seuil de taille ; exige que le CPO rende compte directement au PDG et au conseil d'administration ; et introduit un plafond de sanction aggravé de 10 % du chiffre d'affaires total pour les violations répétées ou graves.
Thaïlande (PDPA)
La loi thaïlandaise sur la protection des données personnelles B.E. 2562 (2019), pleinement en vigueur depuis le 1er juin 2022, exige la désignation d'un DPO pour les autorités publiques, les organisations effectuant un suivi régulier et systématique à grande échelle, et les organisations dont les activités principales impliquent le traitement de données personnelles sensibles (sections 41-42 de la PDPA). La notification de la PDPC sur la désignation des délégués à la protection des données, en vigueur depuis le 13 décembre 2023, fournit des orientations de mise en œuvre détaillées.
Une notification du Journal officiel du 9 octobre 2025 a étendu les exigences obligatoires de DPO à tous les organismes d'État. Le DPO peut être un employé ou un prestataire externe. Les coordonnées du DPO doivent être fournies à la PDPC. En mars 2026, la PDPC a ouvert une consultation publique sur des lignes directrices actualisées de la PDPA, les obligations relatives au DPO figurant parmi les domaines prioritaires.
Afrique du Sud (POPIA) : responsable de l'information
La loi sud-africaine 4 de 2013 sur la protection des informations personnelles (POPIA), pleinement en vigueur depuis le 1er juillet 2021, exige de toute partie responsable (responsable de traitement) qu'elle enregistre un responsable de l'information auprès du régulateur de l'information en vertu de l'article 56. Pour les organisations du secteur privé, le dirigeant de l'organisation est le responsable de l'information par défaut. Un responsable adjoint de l'information peut être désigné pour les tâches de conformité quotidiennes. Tous les responsables de l'information et leurs adjoints doivent être enregistrés sur le registre public du régulateur de l'information. Les sanctions pour non-conformité incluent des amendes pouvant atteindre 10 millions ZAR (environ 550 000 USD) et une peine d'emprisonnement pouvant aller jusqu'à 10 ans.
ÉAU (PDPL fédéral, DIFC, ADGM)
Les Émirats arabes unis disposent de trois cadres de protection des données qui se chevauchent mais restent distincts, avec des exigences de DPO différentes :
PDPL fédéral. Le décret-loi fédéral n° 45 de 2021 des ÉAU (PDPL) exige des responsables de traitement qu'ils désignent un DPO lorsque : le traitement implique un traitement systématique à grande échelle de données personnelles sensibles ; le traitement présente un risque élevé pour la confidentialité et la vie privée des données personnelles ; ou le traitement implique un profilage à grande échelle, sensible ou systématiquement automatisé. Une fois désigné, le responsable de traitement ou le sous-traitant doit notifier au Bureau des données des ÉAU les coordonnées du DPO. Le DPO peut être un employé interne ou un prestataire de services externe.
DIFC. Le Dubai International Financial Centre fonctionne sous la loi DIFC n° 5 de 2020 (loi sur la protection des données). La désignation d'un DPO est obligatoire pour les organismes du DIFC et pour tout responsable de traitement ou sous-traitant menant des activités de traitement à haut risque de manière systématique ou régulière. Le DPO doit résider aux ÉAU, sauf si la personne est employée au sein du groupe de l'organisation et exerce une fonction équivalente à l'international. L'organisation doit publier les coordonnées du DPO. Des règlements modifiés sur la protection des données, adoptés en septembre 2023, ont encore aligné le cadre sur les normes internationales.
ADGM. L'Abu Dhabi Global Market fonctionne sous les règlements ADGM sur la protection des données de 2021. Un DPO doit être désigné pour les entreprises dont les activités de base impliquent un traitement régulier et systématique de données personnelles à grande échelle, ou un traitement à grande échelle de catégories particulières de données personnelles. Le responsable de traitement ou le sous-traitant doit notifier au commissaire ADGM à la protection des données la désignation du DPO dans un délai d'un mois suivant sa nomination.
Indonésie (loi PDP de 2022)
La loi n° 27 de 2022 de l'Indonésie sur la protection des données personnelles est pleinement entrée en vigueur le 17 octobre 2024. L'article 53 exige la désignation d'un DPO lorsque le traitement est effectué dans l'intérêt de services publics, lorsque les activités de base exigent un suivi régulier et systématique de données personnelles à grande échelle, ou lorsque les activités de base impliquent un traitement à grande échelle de catégories particulières de données personnelles.
En juillet 2025, la Cour constitutionnelle indonésienne (décision n° 151/PUU-XXII/2024) a rendu une décision élargissant le champ de la désignation obligatoire du DPO au-delà des seuils statutaires initiaux, bien que les règlements d'application définissant les critères révisés restent en attente en date de mai 2026.
Vietnam (loi PDPL 2025)
La loi n° 91/2025/QH15 du Vietnam sur la protection des données personnelles, promulguée le 26 juin 2025 et en vigueur depuis le 1er janvier 2026, exige des responsables de traitement et sous-traitants qu'ils désignent un service ou du personnel interne dédié à la protection des données, ou qu'ils fassent appel à des prestataires externes de services de protection des données. Les start-ups, petites entreprises, foyers d'entreprise et microentreprises sont exemptés de cette obligation ainsi que des obligations d'analyse d'impact relative à la protection des données.
Exigences mondiales relatives au DPO : tableau comparatif
| Juridiction | Loi | Titre de la fonction | Qui doit désigner | Présence locale requise | Externalisation du DPO autorisée | Sanction maximale |
|---|---|---|---|---|---|---|
| UE/EEE | RGPD, art. 37 | Délégué à la protection des données | Organismes publics ; suivi systématique à grande échelle ; traitement à grande échelle de données sensibles | Non (doit être accessible) | Oui | 10 M€ / 2 % du chiffre d'affaires |
| Allemagne | BDSG, art. 38 | Délégué à la protection des données | 20+ personnes en traitement automatisé (plus les déclencheurs du RGPD) | Non | Oui | 10 M€ / 2 % du chiffre d'affaires |
| Royaume-Uni | RGPD britannique / DPA 2018 | Délégué à la protection des données | Identique au RGPD (modèle SRI proposé, non adopté) | Non | Oui | 17,5 M£ / 4 % du chiffre d'affaires |
| Brésil | LGPD, art. 41 | Encarregado | Tous les responsables de traitement (exemption PME via la résolution ANPD 2/2022) | Non | Oui | 2 % du chiffre d'affaires (plafond 50 M BRL/violation) |
| Chine | PIPL, art. 52 | Responsable de la protection des IP | Responsables de traitement de plus de 1 M de personnes | Oui | Non (interne attendu) | 50 M CNY / 5 % du chiffre d'affaires |
| Inde | DPDPA, art. 10 / règles DPDP 2025 | Délégué à la protection des données | Fiduciaires de données importants (seuils dans les règles) | Oui (basé en Inde) | Non (cadre supérieur du SDF) | 250 crores INR (~30 M USD) |
| Singapour | PDPA, art. 11(3) | Délégué à la protection des données | Toutes les organisations traitant des données personnelles | Non | Oui | 1 M SGD |
| Malaisie | PDPA (modifiée 2024) | Délégué à la protection des données | Responsables de traitement et sous-traitants à gros volume/données sensibles/suivi systématique | Oui (résident 180 jours/an) | Oui (si résidence respectée) | 1 M MYR / emprisonnement possible |
| Corée du Sud | PIPA, art. 31 (amdt 2023 + 2026) | Responsable de la protection de la vie privée | Tous les responsables et sous-traitants d'IP | Non | Non (interne, pouvoir décisionnel) | 10 % du chiffre d'affaires total (amendement 2026) |
| Thaïlande | PDPA, sections 41-42 / notification déc. 2023 | Délégué à la protection des données | Organismes publics ; suivi à grande échelle ; traitement de données sensibles | Non | Oui | 5 M THB (~140 000 USD) |
| Afrique du Sud | POPIA, art. 56 | Responsable de l'information | Toutes les parties responsables | Non | Un responsable adjoint peut être désigné | 10 M ZAR / 10 ans d'emprisonnement |
| ÉAU (fédéral) | PDPL / règlements d'application | Délégué à la protection des données | Traitement à grande échelle à haut risque ou sensible | Non | Oui | Réglementation secondaire en attente |
| DIFC | Loi DIFC DPL n° 5/2020 | Délégué à la protection des données | Organismes DIFC ; entités à traitement à haut risque | Oui (résident ÉAU, exception de groupe) | Sous réserve de la DPL | Action réglementaire du commissaire du DIFC |
| ADGM | Règlements ADGM DP 2021 | Délégué à la protection des données | Traitement systématique à grande échelle ou de données sensibles | Non | Sous réserve des règlements | Action réglementaire du commissaire de l'ADGM |
| Indonésie | Loi PDP n° 27/2022, art. 53 | Délégué à la protection des données | Services publics ; suivi à grande échelle ; traitement à grande échelle de données sensibles | Non | Réglementation en attente | 60 Md IDR (~3,7 M USD) / 6 ans d'emprisonnement |
| Vietnam | Loi PDPL n° 91/2025 | Personnel/service de protection des données | Tous les responsables/sous-traitants (exemption PME) | Non | Oui (prestataires externes) | Réglementation secondaire en attente |
| Japon | APPI | Aucun DPO formel requis | S.O. (bonne pratique volontaire) | S.O. | S.O. | 100 M JPY (~670 000 USD) |
| Australie | Loi sur la vie privée de 1988 | Aucun DPO formel requis | S.O. (volontaire ; propositions de réforme en cours) | S.O. | S.O. | 50 M AUD |
| Canada | LPRPDE / projet de loi C-27 | Responsable de la vie privée (obligatoire dans le cadre du CPPA proposé) | Toutes les organisations (CPPA non encore adopté) | Non | S.O. | 25 M CAD / 5 % du chiffre d'affaires (proposé) |
DPO interne ou externe
La plupart des grands cadres de protection de la vie privée autorisent la fonction de DPO à être exercée par un prestataire externe ou un DPO mutualisé, à condition que les normes d'indépendance et d'expertise soient respectées. L'article 37(2) du RGPD autorise explicitement un groupe d'entreprises à désigner un DPO unique, à condition que cette personne soit « facilement joignable à partir de chaque lieu d'établissement ».
Les services de DPO externes sont disponibles dans le commerce dans la plupart des juridictions et sont populaires auprès des petites et moyennes entreprises. En vertu du RGPD, de la LGPD et de la PDPA thaïlandaise, un DPO externe doit satisfaire aux mêmes exigences d'indépendance qu'un DPO interne : il ne peut pas conseiller simultanément sur les décisions de traitement qu'il est censé superviser, et l'organisation demeure pleinement responsable de la conformité.
Les juridictions qui exigent une désignation interne incluent : la Chine (le responsable doit être une personne interne dotée d'une autorité au sein de l'organisation), la Corée du Sud (le CPO doit détenir un pouvoir décisionnel interne), et l'Inde (le DPO doit être un cadre supérieur du SDF lui-même).
Attention : faire appel à un cabinet d'avocats ou à un consultant en protection des données comme DPO ne satisfait pas automatiquement aux exigences d'indépendance. Le CEPD a noté qu'un conseiller juridique qui fournit également des recommandations de traitement au même client peut être en situation de conflit d'intérêts. Maintenez une séparation claire du périmètre des missions entre les services de conseil et les fonctions de supervision du DPO lorsque vous faites appel à des prestataires externes.
Comment désigner et positionner efficacement un DPO
Sur la base des lignes directrices WP243rev.01 du CEPD et des conclusions du rapport CEF de janvier 2024, les étapes suivantes réduisent le risque de non-conformité :
Étape 1 : déterminer si la désignation est obligatoire. Recensez toutes les juridictions dans lesquelles votre organisation est établie ou traite des données personnelles. Appliquez les déclencheurs de chaque juridiction. Documentez cette analyse et révisez-la annuellement ou lorsque les opérations changent de manière significative.
Étape 2 : sélectionner un candidat qualifié. Le niveau de « connaissances spécialisées » requis évolue avec la complexité du traitement de l'organisation. Un DPO d'hôpital nécessite une expertise plus approfondie que celui d'une petite municipalité. Les certifications (CIPP/E, CIPM, CDPSE) constituent des preuves courantes d'expertise mais ne sont pas légalement exigées en droit de l'UE.
Étape 3 : mener une revue des conflits d'intérêts. Identifiez chaque fonction que le candidat occupe ou occupera et qui implique la détermination des finalités ou des moyens du traitement des données. En vertu de l'amendement de 2026 à la PIPA sud-coréenne, la désignation, la réaffectation ou la révocation du CPO exige une résolution formelle du conseil d'administration. Envisagez des mécanismes de gouvernance similaires dans d'autres juridictions comme bonne pratique.
Étape 4 : fournir des ressources adéquates. Le rapport CEF 2023 a identifié l'insuffisance des ressources comme la défaillance opérationnelle la plus courante. Le DPO doit disposer de temps protégé, d'un budget, et d'un accès aux opérations de traitement et au personnel concerné. Les DPO à temps partiel sont autorisés mais doivent disposer d'un temps suffisant pour exercer leur fonction.
Étape 5 : établir des lignes hiérarchiques directes. Le DPO doit rendre compte au niveau le plus élevé de la direction en vertu de l'article 38(3) du RGPD. Les règles DPDP de l'Inde et l'amendement de 2026 à la PIPA sud-coréenne exigent par la loi une remontée au niveau du conseil d'administration.
Étape 6 : enregistrer et notifier là où c'est requis. Des obligations de notification existent : à Singapour (PDPC, depuis juin 2025), en Malaisie (commissaire de la PDPA), en Pologne (UODO, dans un délai de 14 jours), en Afrique du Sud (régulateur de l'information), à l'ADGM (commissaire, dans un délai d'un mois), et au niveau fédéral aux ÉAU (Bureau des données des ÉAU). Publiez les coordonnées du DPO dans l'avis de confidentialité de l'organisation et sur son site web.
Développements récents (2024-2026)
Rapport CEF 2023 du CEPD (janvier 2024). L'action coordonnée d'application du CEPD a examiné plus de 17 000 réponses de DPO et d'organisations dans 25 autorités de l'EEE. Elle a identifié des lacunes systémiques en matière de ressources et d'indépendance des DPO. Il a été recommandé aux autorités nationales de poursuivre par des enquêtes ciblées et des mesures d'application en 2025-2026.
L'extension de la charge de travail des DPO par le règlement européen sur l'IA. Le règlement européen sur l'IA (règlement (UE) 2024/1689) comporte des obligations pour les systèmes d'IA à haut risque entrant en pleine application le 2 août 2026. De nombreuses organisations confient la supervision de la conformité en matière d'IA à leurs DPO existants, en particulier pour les systèmes d'IA à haut risque qui traitent également des données personnelles et nécessitent donc des AIPD en vertu du RGPD.
DPO obligatoire en Malaisie (juin 2025). La loi modificative de 2024 sur la protection des données personnelles est pleinement entrée en vigueur d'ici juin 2025, établissant des exigences obligatoires de DPO pour les responsables de traitement et sous-traitants concernés, avec des obligations de résidence et de notification.
Règles DPDP de l'Inde (novembre 2025). Le MeitY a notifié les règles DPDP le 13 novembre 2025, activant le cadre de classification des SDF et l'obligation de DPO pour les entités désignées. Le Conseil de protection des données de l'Inde a été établi simultanément.
Amendement PIPA 2026 de la Corée du Sud (en vigueur depuis septembre 2026). Adopté le 12 février 2026, promulgué le 10 mars 2026. Introduit le PDG comme personne ultimement responsable, une exigence de résolution du conseil d'administration pour les changements de CPO, un plafond de sanction de 10 % du chiffre d'affaires pour les violations aggravées, et une certification ISMS-P obligatoire pour les grands responsables de traitement à compter du 1er juillet 2027.
Loi PDPL du Vietnam (janvier 2026). La première loi autonome du Vietnam sur la protection des données est entrée en vigueur, exigeant du personnel ou des services de protection des données dans la plupart des organisations, avec des exemptions pour les start-ups et microentreprises.
Décision de la Cour constitutionnelle indonésienne (juillet 2025). La décision n° 151/PUU-XXII/2024 a élargi les seuils obligatoires de DPO en vertu de la loi PDP de 2022 ; les règlements d'application définissant les critères révisés restent en attente.
Notification DPO de Singapour (juin 2025). La PDPC a introduit une exigence de notification pour que les organisations enregistrent les coordonnées de leur DPO, renforçant la responsabilisation et permettant une supervision ciblée.
Pour en savoir plus
Pour les organisations soumises au RGPD, la référence fondamentale est constituée par les lignes directrices du G29 entérinées par le CEPD sur les délégués à la protection des données (WP243rev.01), disponibles sur edpb.europa.eu. Pour le cadre général de conformité au RGPD dans lequel s'inscrit l'obligation de DPO, voir la liste de vérification de conformité au RGPD et le guide central des lois européennes sur la protection des données sur ce site.
Les organisations opérant dans plusieurs juridictions devraient obtenir l'avis d'un conseil juridique qualifié en protection des données dans chaque territoire concerné avant de finaliser leur structure de DPO.
Avertissement
Cet article fournit des informations juridiques générales sur les exigences relatives aux délégués à la protection des données dans plusieurs juridictions, en date du 19/05/2026. Il ne constitue pas un avis juridique. Les lois et règlements décrits changent fréquemment et peuvent avoir été modifiés après la date de vérification. Les lecteurs ne doivent pas se fier à cet article comme substitut à l'avis d'un avocat qualifié et autorisé dans les juridictions spécifiques concernées par leurs activités. Aucune relation avocat-client n'est créée par la lecture de cet article.
Autorités citées
- Règlement (UE) 2016/679 (RGPD), art. 37-39, 83(4). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
- G29, Lignes directrices concernant les délégués à la protection des données (WP243rev.01), 5 avril 2017 (entérinées par le CEPD). https://ec.europa.eu/newsroom/article29/items/612048
- CEPD, rapport CEF 2023 sur la désignation et la position des DPO, 16 janvier 2024. https://www.edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en
- Bundesdatenschutzgesetz (BDSG) 2018, art. 38. https://www.gesetze-im-internet.de/bdsg_2018/__38.html
- ICO (Royaume-Uni), guide sur la responsabilisation et la gouvernance : délégués à la protection des données. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/guide-to-accountability-and-governance/accountability-and-governance/data-protection-officers/
- LGPD du Brésil, loi 13.709/2018, art. 41. https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
- Résolution CD/ANPD n° 2 de l'ANPD, 27 janvier 2022. https://www.gov.br/anpd/pt-br
- PIPL de Chine, en vigueur depuis le 1er novembre 2021, art. 52. http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
- DPDPA 2023 de l'Inde, art. 10. https://www.meity.gov.in/writereaddata/files/Digital%20Personal%20Data%20Protection%20Act%202023.pdf
- Règles DPDP 2025 de l'Inde, notifiées le 13 novembre 2025. https://www.meity.gov.in
- PDPA 2012 de Singapour (rév. 2021), art. 11(3). https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act
- Loi modificative malaisienne de 2024 sur la protection des données personnelles. https://www.pdp.gov.my/ppdpv1/en/akta/personal-data-protection-amendment-act-2024/
- PIPA de Corée du Sud, art. 31 (amendement 2023). https://www.law.go.kr/LSW/eng/engLsSc.do?menuId=2§ion=lawNm&query=personal+information+protection&x=0&y=0
- Amendement PIPA de Corée du Sud (promulgué le 10 mars 2026, en vigueur depuis le 11 septembre 2026). https://iapp.org/news/a/south-korea-overhauls-pipa-and-ties-fines-to-ceo-accountability
- PDPA B.E. 2562 (2019) de Thaïlande, sections 41-42 ; notification de la PDPC sur la désignation des DPO (en vigueur depuis le 13 décembre 2023). https://www.mdes.go.th/law
- POPIA d'Afrique du Sud, loi 4 de 2013, art. 56. https://www.gov.za/documents/protection-personal-information-act
- Décret-loi fédéral n° 45 de 2021 des ÉAU (PDPL), art. 10. https://uaepdpl.com/article-10/
- Loi DIFC sur la protection des données n° 5 de 2020. https://www.difc.ae/business/laws-regulations/legal-database/data-protection-law-difc-law-no-5-2020/
- Règlements ADGM sur la protection des données de 2021. https://www.adgm.com/operating-in-adgm/office-of-data-protection/guidance
- Loi n° 27 de 2022 de l'Indonésie sur la protection des données personnelles, art. 53. https://jdih.kominfo.go.id
- Loi n° 91/2025/QH15 du Vietnam sur la protection des données personnelles (en vigueur depuis le 1er janvier 2026). https://www.ey.com/en_vn/technical/tax/tax-and-law-updates/legal-alert-july-2025-personal-data-protection-law
- UODO polonaise, amende administrative de 132 000 euros pour positionnement inapproprié du DPO (2025). https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fine-132-000-eu-improper-positioning-dpo-and_en
- UODO polonaise, amende administrative de 5 814 euros pour défaut de désignation d'un DPO (2025). https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fine-5-814-eu-failure-designate-data-protection_en
- BlnBDI (Berlin), amende administrative de 525 000 euros pour conflit d'intérêts du DPO (art. 38(6) RGPD). https://gdprhub.eu/index.php?title=BlnBDI_(Berlin)_-_Berlin_DPO_Conflict_of_Interest
Dernière mise à jour : 19/05/2026. Les lois citées reflètent leur version en vigueur au 19/05/2026.
Frequently Asked Questions
En vertu du RGPD, quels sont les trois déclencheurs rendant obligatoire la désignation d'un DPO ?
L'article 37(1) du RGPD exige la désignation d'un DPO pour : (1) les autorités ou organismes publics (à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle) ; (2) les responsables de traitement ou sous-traitants dont les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées ; et (3) les responsables de traitement ou sous-traitants dont les activités de base impliquent un traitement à grande échelle de données sensibles (article 9) ou de données relatives aux condamnations pénales (article 10). Le fait de satisfaire à l'un quelconque de ces déclencheurs rend la désignation obligatoire.
Toute entreprise a-t-elle besoin d'un délégué à la protection des données ?
Non, pas universellement. En vertu du RGPD, seules les organisations satisfaisant à au moins l'un des trois déclencheurs de l'article 37 doivent désigner un DPO. Toutefois, la PDPA de Singapour s'applique à toute organisation traitant des données personnelles, quelle que soit sa taille. La PIPA sud-coréenne exige la désignation d'un CPO par tous les responsables et sous-traitants d'informations personnelles. La POPIA sud-africaine exige que toutes les parties responsables enregistrent un responsable de l'information. La LGPD brésilienne exige que tous les responsables de traitement désignent un encarregado, sous réserve d'exemptions pour les petites entreprises.
Quelles qualifications un DPO doit-il posséder en vertu du RGPD ?
L'article 37(5) exige des « connaissances spécialisées du droit et des pratiques en matière de protection des données ». Aucun diplôme ni certification spécifique n'est imposé. Le niveau requis évolue avec la complexité du traitement. Les certifications CIPP/E et CIPM de l'IAPP sont largement considérées comme des indicateurs de l'expertise requise mais demeurent facultatives. La Roumanie est actuellement le seul État membre de l'UE imposant une exigence de qualification formelle par la loi nationale.
Un DPO peut-il être démis de ses fonctions pour avoir exercé ses tâches ?
Non. L'article 38(3) du RGPD prévoit que le DPO ne peut être relevé de ses fonctions ni pénalisé pour l'exercice de ses tâches. Cette protection garantit que le DPO peut soulever des préoccupations de conformité sans crainte de représailles. Des dispositions similaires de protection de l'emploi figurent dans la LGPD brésilienne et la PDPA thaïlandaise. Un DPO peut être démis pour des motifs entièrement sans rapport avec ses fonctions de DPO, à condition que ces motifs soient manifestement indépendants du travail de conformité.
Un même DPO peut-il servir plusieurs sociétés d'un groupe ?
Oui. En vertu de l'article 37(2) du RGPD, un groupe d'entreprises peut désigner un DPO unique à condition qu'il soit « facilement joignable à partir de chaque lieu d'établissement ». Cette pratique est largement utilisée par les groupes multinationaux pour leurs opérations dans l'UE. Toutefois, la PIPL chinoise et la DPDPA indienne exigent une personne basée localement, de sorte qu'un DPO de groupe basé en Europe ne peut satisfaire à ces obligations. La Corée du Sud exige un CPO doté d'un pouvoir décisionnel interne, ce qui limite le recours à des DPO de groupe ou externes.
Quelle est la sanction en cas de défaut de désignation d'un DPO requis en vertu du RGPD ?
En vertu de l'article 83(4)(a), le défaut de désignation d'un DPO lorsqu'il est requis peut entraîner des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total. En 2025, l'UODO polonaise a infligé une amende de 5 814 euros à un organisme public n'ayant pas désigné de DPO, et une amende de 132 000 euros pour positionnement inapproprié du DPO. Sanctions dans d'autres juridictions : PIPL chinoise, 50 millions CNY ou 5 % du chiffre d'affaires ; PIPA sud-coréenne (amendement 2026), jusqu'à 10 % du chiffre d'affaires total.
Un DPO est-il personnellement responsable des violations de protection des données de l'organisation ?
Non. Le RGPD et la plupart des autres cadres font peser la responsabilité juridique sur le responsable de traitement ou le sous-traitant, et non sur le DPO. Le DPO conseille, contrôle et coopère, mais n'autorise pas personnellement les décisions de traitement. Le responsable de traitement demeure chargé de veiller à ce que les conseils du DPO soient suivis. La responsabilité du DPO en cas de violation de confidentialité ou de conflit d'intérêts personnel relève d'une question distincte régie par le droit national du travail et des contrats.
Quelles fonctions créent un conflit d'intérêts empêchant une personne d'exercer la fonction de DPO ?
Les lignes directrices WP243rev.01 du CEPD identifient toute fonction déterminant les finalités et les moyens du traitement des données comme incompatible avec la fonction de DPO. Cela inclut typiquement : directeur général, directeur des opérations, directeur technique, responsable informatique, responsable des ressources humaines, responsable marketing, et responsable juridique. En 2025, l'autorité de protection des données de Berlin a infligé une amende de 525 000 euros et l'UODO polonaise une amende de 132 000 euros pour des violations de conflit d'intérêts du DPO au titre de l'article 38(6) du RGPD.
Un consultant externe ou un cabinet d'avocats peut-il exercer la fonction de DPO ?
Oui, en vertu du RGPD, de la LGPD brésilienne et de la PDPA thaïlandaise, la fonction de DPO peut être externalisée à un prestataire de services externe, à condition que celui-ci satisfasse aux mêmes normes d'indépendance et d'expertise qu'un DPO interne. La Malaisie autorise l'externalisation sous réserve de l'exigence de résidence de 180 jours. La PIPL chinoise et la PIPA sud-coréenne attendent une personne interne dotée d'une autorité organisationnelle. Un cabinet d'avocats conseillant également le même client sur des décisions de traitement devrait maintenir une stricte séparation des périmètres afin d'éviter les conflits.
Que requiert l'amendement de 2024 à la PDPA malaisienne concernant les DPO ?
La loi modificative de 2024 sur la protection des données personnelles, en vigueur depuis juin 2025, exige des responsables de traitement et sous-traitants qui traitent de grands volumes de données personnelles, traitent des données personnelles sensibles, ou effectuent un suivi régulier et systématique, qu'ils désignent un DPO. Le DPO doit être résident malaisien pendant au moins 180 jours par an. La désignation doit être notifiée au commissaire à la protection des données personnelles. L'externalisation du DPO est autorisée si l'exigence de résidence est satisfaite.
Que change l'amendement de 2026 à la PIPA sud-coréenne pour les DPO ?
L'amendement, adopté le 12 février 2026 et en vigueur depuis le 11 septembre 2026, désigne le PDG ou le représentant de l'entreprise comme la personne ultimement responsable de la protection des données. La désignation, la réaffectation ou la révocation du CPO exige désormais une résolution formelle du conseil d'administration et doit être signalée à la PIPC pour les organisations concernées. Le CPO doit rendre compte directement au PDG et au conseil d'administration. Les sanctions pour violations répétées ou graves augmentent jusqu'à 10 % du chiffre d'affaires total.
Sources and References
- RGPD, règlement (UE) 2016/679, art. 37-39, 83(4)(eur-lex.europa.eu).gov
- Lignes directrices du G29 sur les délégués à la protection des données (WP243rev.01)(ec.europa.eu).gov
- Rapport CEF 2023 du CEPD sur les DPO, janvier 2024(edpb.europa.eu).gov
- BDSG allemand, article 38 - Délégués à la protection des données(gesetze-im-internet.de).gov
- Lignes directrices de l'ICO britannique sur les délégués à la protection des données(ico.org.uk).gov
- LGPD du Brésil, article 41(planalto.gov.br).gov
- PIPL de Chine, article 52(npc.gov.cn).gov
- DPDPA 2023 de l'Inde, article 10(meity.gov.in).gov
- Loi modificative malaisienne de 2024 sur la protection des données personnelles(pdp.gov.my).gov
- PIPA de Corée du Sud, article 31(law.go.kr).gov
- Amendement PIPA 2026 de Corée du Sud(iapp.org)
- PDPA de Thaïlande, sections 41-42(mdes.go.th).gov
- POPIA d'Afrique du Sud, article 56(gov.za).gov
- PDPL des ÉAU, article 10(uaepdpl.com)
- Loi DIFC sur la protection des données n° 5 de 2020(difc.ae).gov
- Lignes directrices du Bureau de la protection des données de l'ADGM(adgm.com).gov
- PDPA de Singapour, article 11(3)(pdpc.gov.sg).gov
- Amende UODO polonaise de 132 000 euros pour positionnement inapproprié du DPO (2025)(edpb.europa.eu).gov
- Amende UODO polonaise de 5 814 euros pour défaut de désignation d'un DPO (2025)(edpb.europa.eu).gov
- Amende de l'autorité de Berlin de 525 000 euros pour conflit d'intérêts du DPO(gdprhub.eu)