Exigences relatives au DPO au titre du RGPD : avez-vous besoin d'un délégué à la protection des données ? (2026)

Les articles 37 à 39 du RGPD imposent à certains responsables du traitement et sous-traitants de désigner un délégué à la protection des données (DPO). Cette obligation est impérative dans trois cas de figure : vous êtes une autorité ou un organisme public ; vos activités principales exigent un suivi régulier et systématique à grande échelle des personnes ; ou vos activités principales impliquent un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales.
Quand un DPO est-il obligatoire ? Les trois déclencheurs de l'article 37, paragraphe 1
L'article 37, paragraphe 1, du règlement (UE) 2016/679 énonce trois conditions, chacune d'entre elles suffisant à déclencher une obligation impérative de désigner un DPO. Remplir un seul déclencheur suffit.
| Déclencheur | Article | Exemple représentatif |
|---|---|---|
| Autorité ou organisme public (à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle) | Art. 37, § 1, a) | Une administration fiscale nationale, une municipalité, une université publique, un hôpital public |
| Les activités principales exigent un suivi régulier et systématique à grande échelle des personnes concernées | Art. 37, § 1, b) | Une régie publicitaire en ligne, un fournisseur de télécommunications suivant les relevés d'appels, une banque effectuant du scoring de crédit |
| Les activités principales consistent en un traitement à grande échelle de données sensibles (art. 9) ou de données relatives à des condamnations pénales (art. 10) | Art. 37, § 1, c) | Un réseau hospitalier traitant les dossiers de santé de patients, une société de sécurité privée traitant des vérifications d'antécédents judiciaires à grande échelle |
Le considérant 97 confirme ce cadre et ajoute que le niveau d'expertise requis du DPO doit correspondre à la complexité des opérations de traitement.
Premier déclencheur : autorité ou organisme public (article 37, paragraphe 1, point a))
Toute autorité ou organisme public doit désigner un DPO, indépendamment de l'ampleur ou de la sensibilité de son traitement. Ce déclencheur est inconditionnel : aucun seuil de volume, aucune catégorie de données particulière, aucun type d'activité spécifique n'est requis.
L'exception expresse couvre les juridictions agissant dans l'exercice de leur fonction juridictionnelle. Le considérant 20 explique que l'indépendance judiciaire exige que les autorités de contrôle ne se penchent pas directement sur le traitement des affaires par les juridictions. Les autres fonctions administratives des juridictions (paie, ressources humaines, gestion des bâtiments) demeurent soumises au RGPD ; ces activités échappent à l'exception liée à la fonction juridictionnelle.
Ce qui constitue une autorité publique dépend du droit national de chaque État membre de l'UE. Les administrations centrales, les collectivités régionales et locales, les agences de régulation, les radiodiffuseurs publics financés par l'État, les universités publiques financées par l'État, et les hôpitaux publics constituent les cas paradigmatiques. Les organismes mixtes public-privé et les entreprises publiques peuvent ou non relever de cette qualification selon le droit constitutionnel et administratif de l'État membre concerné.
Deuxième déclencheur : suivi régulier et systématique à grande échelle (article 37, paragraphe 1, point b))
Le deuxième déclencheur s'applique aux responsables du traitement et sous-traitants dont les activités principales exigent un suivi régulier et systématique à grande échelle des personnes concernées. Les deux volets appellent un examen attentif : « suivi régulier et systématique » et « grande échelle » sont des qualifications distinctes.
Ce que signifie « suivi régulier et systématique »
L'ancien groupe de travail Article 29 (WP29), dont les lignes directrices ont été adoptées par le Comité européen de la protection des données (CEPD) le 25 mai 2018, a traité cette question dans le WP243 rev.01. « Régulier » signifie continu, se répétant à intervalles fixes, ou se produisant de manière constante ou périodique. « Systématique » signifie se produisant selon un système, préétabli ou méthodique, ou mis en œuvre dans le cadre d'un plan général de collecte de données.
Exemples de suivi régulier et systématique donnés par le WP29 : l'exploitation d'un réseau de télécommunications ; la fourniture de services internet ; le suivi des données de localisation issues d'applications mobiles ; les programmes de fidélité assortis d'une analyse comportementale ; le traitement de données biométriques pour le contrôle d'accès ; la vidéosurveillance de personnes dans des espaces publics ; la publicité comportementale ; et le suivi via des objets connectés.
Ce que signifie « grande échelle »
Le RGPD ne définit pas numériquement la « grande échelle ». Le considérant 91 précise que le traitement à grande échelle vise à traiter une quantité considérable de données à caractère personnel à l'échelle régionale, nationale ou supranationale, et pourrait affecter un grand nombre de personnes concernées. À titre de contre-exemple, le considérant 91 note qu'un médecin ou un avocat individuel traitant les données de ses patients ou clients ne constitue pas un traitement à grande échelle.
Le WP29 a identifié quatre facteurs d'évaluation : le nombre de personnes concernées (en valeur absolue ou en proportion de la population concernée) ; le volume ou l'étendue des données traitées ; la durée ou la permanence de l'activité ; et l'étendue géographique.
Le CEPD considère comme relevant de la grande échelle : un hôpital traitant les données de patients dans le cours normal de ses opérations ; une société de transport traitant des données de déplacement sur l'ensemble du réseau de transports en commun d'une ville ; un traitement de géolocalisation en temps réel couvrant un réseau routier national ; un moteur de recherche traitant des données à des fins de publicité comportementale à l'échelle mondiale. Ne relèvent pas de la grande échelle : un médecin ou un spécialiste individuel traitant les dossiers de ses patients ; un avocat individuel traitant les données de ses clients.
Troisième déclencheur : traitement à grande échelle de données sensibles ou relatives à des condamnations pénales (article 37, paragraphe 1, point c))
Le troisième déclencheur porte sur la sensibilité des données plutôt que sur le type de suivi. Il s'applique lorsque les activités principales consistent en un traitement à grande échelle des catégories particulières énumérées à l'article 9, paragraphe 1, ou de données relatives à des condamnations pénales au titre de l'article 10.
L'article 9, paragraphe 1, énumère huit catégories particulières : l'origine raciale ou ethnique ; les opinions politiques ; les convictions religieuses ou philosophiques ; l'appartenance syndicale ; les données génétiques ; les données biométriques traitées à des fins d'identification unique ; les données de santé ; et les données concernant la vie sexuelle ou l'orientation sexuelle.
Les données de l'article 10 concernent les condamnations pénales et les infractions. La plupart des organisations traitant des données de l'article 10 dans le cadre de leurs activités principales le font en vertu d'une base légale spécifique. L'exigence de grande échelle demeure applicable ; une petite association caritative effectuant une seule vérification d'antécédents judiciaires sur un bénévole ne déclenche pas ce volet.
Organisations susceptibles de remplir le troisième déclencheur : un assureur santé privé traitant des données de tarification médicale pour l'ensemble de sa clientèle ; un cabinet de recrutement effectuant des vérifications d'antécédents judiciaires à grande échelle ; un service de test génétique traitant l'ADN de centaines de milliers de consommateurs ; un fournisseur de contrôle d'accès biométrique couvrant un grand effectif.
La notion d'« activités principales »
Les deuxième et troisième déclencheurs exigent tous deux que le traitement concerné fasse partie des « activités principales » de l'organisation. Un traitement accessoire ou de soutien ne déclenche pas l'obligation de DPO.
Le WP29 a tracé une ligne entre les fonctions commerciales primaires et les fonctions de support telles que la paie, la gestion informatique, et les ressources humaines. Un hôpital traite des données de santé en tant qu'activité principale, car les soins de santé constituent sa raison d'être. Le traitement de sa paie, bien qu'il implique des données à caractère personnel, est accessoire et ne déclenche pas le troisième déclencheur.
Une société de sécurité surveillant des centres commerciaux et des espaces publics par vidéosurveillance se livre à un suivi régulier et systématique en tant qu'activité principale, car la surveillance constitue le service principal qu'elle vend. Un supermarché qui installe des caméras de vidéosurveillance à des fins de prévention du vol utilise la surveillance comme un outil secondaire, et non comme une offre principale.
De nombreuses entreprises de taille moyenne traitent des données à caractère personnel de manière étendue dans leurs systèmes RH, leurs plateformes CRM, et leurs logiciels de comptabilité, mais aucune de ces activités n'est principale au sens du RGPD. Un fabricant dont l'activité principale est la production de biens traite les données de ses salariés et de ses clients comme des fonctions de support. Si son activité principale n'implique pas de suivi à grande échelle ni de traitement à grande échelle de données sensibles, aucune obligation impérative de DPO ne naît au titre des deuxième et troisième déclencheurs.
La désignation volontaire d'un DPO
L'article 37, paragraphe 4, confirme que, lorsque la désignation n'est pas obligatoire, les organisations « peuvent ou doivent » désigner un DPO. Le terme « doivent » renvoie aux possibilités offertes par le droit de l'Union ou d'un État membre d'exiger une désignation au-delà du seuil de base de l'article 37, paragraphe 1 ; les organisations devraient vérifier la législation nationale de mise en œuvre.
Le CEPD recommande la désignation volontaire à toute organisation traitant des volumes significatifs de données à caractère personnel, indépendamment du respect des seuils obligatoires. Un DPO volontaire peut démontrer la responsabilité, renforcer la confiance réglementaire, et réduire le risque de violations non détectées.
De manière essentielle, les articles 38 et 39 s'appliquent pleinement à un DPO volontaire. Une organisation ne peut pas désigner un DPO nominal, dépourvu d'indépendance ou soustrait aux règles de conflit d'intérêts.
Qui peut exercer la fonction de DPO ?
Qualifications requises
L'article 37, paragraphe 5, exige une désignation fondée sur des qualités professionnelles et des connaissances spécialisées du droit de la protection des données et de ses pratiques, ainsi que sur la capacité à exercer les missions de l'article 39. Aucune qualification ni examen prescrit n'existe. Le niveau d'expertise requis est proportionné à la sensibilité des données et à la complexité du traitement.
Le WP29 a identifié des domaines d'expertise pertinents : le droit de la protection des données national et européen ; le secteur d'activité et le domaine de l'organisation ; l'infrastructure commerciale et informatique de l'organisation ; la gestion de la fonction conformité ; et les cadres relatifs aux transferts internationaux de données.
Pour une petite organisation collectant uniquement des données de contact de base pour une lettre d'information, un salarié compétent disposant d'une compréhension raisonnable du RGPD peut suffire. Pour une multinationale traitant des données biométriques, exploitant la publicité comportementale, et transférant des données entre juridictions, une expertise juridique et technique spécialisée est appropriée.
Membre du personnel ou prestataire externe
L'article 37, paragraphe 6, autorise expressément que le DPO soit un membre du personnel ou exerce ses fonctions dans le cadre d'un contrat de service. Le modèle du DPO externe a connu une croissance significative depuis l'entrée en vigueur du RGPD. Cabinets d'avocats, cabinets de conseil, et prestataires spécialisés en protection de la vie privée proposent des services de DPO partagés ou à temps partiel.
Lorsque le DPO est externe, le contrat de service doit être structuré de manière à satisfaire aux articles 38 et 39. Le DPO externe doit disposer d'un accès véritable aux opérations de traitement et à la direction de l'organisation, et ne pas se limiter à un simple point de contact conformité nominal.
DPO de groupe et DPO multi-autorités
L'article 37, paragraphe 2, permet à un groupe d'entreprises de désigner un DPO unique, à condition que celui-ci soit facilement accessible depuis chaque établissement. L'article 37, paragraphe 3, permet de même à plusieurs autorités ou organismes publics de désigner un DPO commun, en tenant compte de leur structure organisationnelle et de leur taille.
L'« accessibilité facile » est une exigence fonctionnelle. Le DPO doit être joignable par les salariés, les personnes concernées, et les autorités de contrôle sans difficulté excessive. Le WP29 a identifié des facteurs à l'appui : la communication claire des coordonnées du DPO dans l'ensemble du groupe ; la disponibilité pour des consultations sur des questions de protection des données ; et une présence physique là où un traitement complexe ou sensible a lieu.
L'article 37, paragraphe 7, impose aux responsables du traitement et sous-traitants de publier les coordonnées du DPO et de les communiquer à leur autorité de contrôle. L'identité complète n'a pas besoin d'être publiée, mais une adresse de contact accessible aux personnes concernées doit l'être.
Les missions du DPO au titre de l'article 39
L'article 39, paragraphe 1, énumère cinq missions minimales. La formulation « au moins » indique clairement que le droit d'un État membre, les conditions d'engagement du DPO, ou la gouvernance propre de l'organisation peuvent lui attribuer des responsabilités supplémentaires.
Première mission : informer et conseiller (article 39, paragraphe 1, point a))
Le DPO doit informer et conseiller le responsable du traitement, le sous-traitant, et les salariés sur les obligations du RGPD et les autres dispositions applicables en matière de protection des données. Cela englobe les conseils relatifs aux bases légales de traitement, aux mécanismes de consentement, aux procédures relatives aux droits des personnes concernées, à la formation du personnel, et à la stratégie de protection des données.
Le DPO informe et conseille ; il ne décide pas. Au titre de l'article 38, paragraphe 3, le DPO ne peut recevoir d'instructions dans l'exercice de ses missions, mais le responsable du traitement ou le sous-traitant conserve le pouvoir de décision sur la manière dont les données à caractère personnel sont traitées. Le rôle du DPO consiste à garantir que les décideurs comprennent le cadre juridique et à signaler les orientations non conformes.
Deuxième mission : contrôler la conformité (article 39, paragraphe 1, point b))
Le DPO doit contrôler le respect du RGPD, des autres dispositions applicables en matière de protection des données, et des politiques propres de l'organisation en la matière. Ce contrôle implique : l'attribution des responsabilités en matière de protection des données ; la réalisation d'audits internes ; l'examen des contrats de sous-traitance et des accords de partage de données ; la mise à jour du registre des activités de traitement ; le suivi des demandes relatives aux droits des personnes concernées ; et le suivi des mesures techniques et organisationnelles de sécurité.
L'article 39, paragraphe 1, point b), fait également référence à la sensibilisation et à la formation du personnel. Le DPO a donc une obligation permanente de tenir le personnel informé des exigences du RGPD à mesure que le cadre réglementaire et les opérations de traitement de l'organisation évoluent.
Troisième mission : conseiller sur les AIPD (article 39, paragraphe 1, point c))
Lorsqu'une nouvelle activité de traitement est susceptible d'engendrer un risque élevé pour les personnes concernées, l'article 35 impose une analyse d'impact relative à la protection des données (AIPD) avant le début du traitement. Le DPO fournit des conseils sur l'AIPD et en contrôle l'exécution.
Au titre de l'article 38, paragraphe 1, le DPO doit être associé « d'une manière appropriée et en temps utile », et devrait être consulté dès le lancement de tout projet susceptible de nécessiter une AIPD. L'avis du DPO et la réponse du responsable du traitement devraient être documentés en même temps que le dossier de l'AIPD. Le considérant 97 précise que le DPO devrait aider à évaluer si une AIPD est nécessaire et déterminer comment la réaliser.
Si un responsable du traitement poursuit une activité de traitement à haut risque malgré l'objection documentée du DPO, l'avis du DPO et la décision du responsable du traitement devraient tous deux être consignés par écrit. Cette documentation atteste de l'indépendance du DPO et de la responsabilité du responsable du traitement au titre de l'article 5, paragraphe 2.
Quatrième mission : coopérer avec l'autorité de contrôle (article 39, paragraphe 1, point d))
Le DPO doit coopérer avec l'autorité de contrôle. Cette coopération comprend la facilitation des inspections et enquêtes ; la fourniture d'informations dans le cadre des pouvoirs d'enquête de l'autorité au titre de l'article 58 ; la participation à des réunions ou auditions ; et la gestion des notifications de violations de données à l'autorité.
Cinquième mission : faire office de point de contact pour l'autorité de contrôle (article 39, paragraphe 1, point e))
Le DPO fait office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement et, le cas échéant, procède à la consultation préalable au titre de l'article 36. La consultation préalable est le mécanisme par lequel un responsable du traitement qui ne peut ramener les risques identifiés par une AIPD à un niveau acceptable consulte l'autorité de contrôle avant de commencer le traitement.
La fonction de point de contact signifie également que les personnes concernées disposent d'une adresse publiée pour exercer leurs droits au titre du RGPD. L'article 37, paragraphe 7, garantit que les coordonnées du DPO sont accessibles au public, et l'article 38, paragraphe 4, confirme que les personnes concernées peuvent contacter le DPO sur toutes les questions relatives au traitement et à leurs droits.
L'approche fondée sur les risques en pratique
L'article 39, paragraphe 2, impose au DPO, dans l'exercice de l'ensemble de ses missions, de tenir compte du risque associé aux opérations de traitement, eu égard à leur nature, leur portée, leur contexte et leurs finalités. Une approche proportionnée et fondée sur les risques oriente l'attention vers les activités les plus susceptibles de créer des risques élevés : le profilage, la prise de décision automatisée, le traitement à grande échelle de données sensibles, et les transferts transfrontaliers sans garanties adéquates.
L'indépendance du DPO et la protection contre le licenciement (article 38)
Absence d'instructions autorisées
L'article 38, paragraphe 3, dispose que le DPO « ne reçoit aucune instruction en ce qui concerne l'exercice » de ses missions. Cette interdiction s'applique à tous les niveaux hiérarchiques. Le DPO relève directement du niveau le plus élevé de la direction, ce qui, dans la plupart des structures d'entreprise, signifie le conseil d'administration ou un organe de gouvernance équivalent.
Un DPO qui détermine qu'une activité de traitement est illicite ne peut pas recevoir l'ordre de l'approuver. Un DPO qui estime que l'organisation sous-déclare les violations de données ne peut pas être réduit au silence. Le DPO doit être libre de porter des préoccupations à l'attention de l'autorité de contrôle au titre de l'article 39, paragraphe 1, point d), sans autorisation interne préalable.
Protection contre le licenciement et les sanctions
L'article 38, paragraphe 3, interdit de licencier ou de sanctionner le DPO pour l'exercice de ses missions. Un DPO licencié, rétrogradé, dont la rémunération est réduite, ou qui fait l'objet d'autres mesures défavorables en raison de sa fonction de DPO dispose d'un recours direct au titre du RGPD, et l'autorité de contrôle peut enquêter et sanctionner le responsable du traitement ou le sous-traitant.
Cette protection s'applique tant aux DPO salariés qu'aux prestataires externes. Un responsable du traitement ne peut pas résilier le contrat de service du DPO en représailles à des préoccupations de conformité qu'il a soulevées. Des clauses contractuelles accordant au responsable du traitement un droit de résiliation sans motif peuvent porter atteinte à l'exigence d'indépendance si elles sont utilisées pour faire taire une activité licite du DPO.
Ressources et accès
L'article 38, paragraphe 2, impose au responsable du traitement et au sous-traitant de fournir les ressources nécessaires pour exercer les missions de l'article 39 et maintenir des connaissances spécialisées, ainsi qu'un accès aux données à caractère personnel et aux opérations de traitement. Les ressources incluent le temps, le financement de la formation et du perfectionnement professionnel, et le soutien administratif. Pour un DPO à temps partiel ou externe, cela comprend un accès véritable aux systèmes, à la documentation, et au personnel.
Un DPO incapable d'obtenir le registre des activités de traitement, d'assister aux réunions où des décisions de traitement sont prises, ou d'examiner des contrats d'approvisionnement impliquant des données à caractère personnel manque de l'accès nécessaire pour exercer la mission de contrôle de l'article 39, paragraphe 1, point b).
Conflit d'intérêts
L'article 38, paragraphe 6, autorise le DPO à exercer d'autres missions et fonctions, mais le responsable du traitement ou le sous-traitant doit veiller à ce que ces missions ne créent pas de conflit d'intérêts avec sa fonction de surveillance.
Les lignes directrices du WP29 (WP243 rev.01) ont identifié des fonctions généralement incompatibles avec la fonction de DPO : directeur général, directeur des opérations, directeur financier, directeur marketing, directeur des ressources humaines, directeur informatique, et responsable informatique ou sécurité. Dans les petites organisations où une même personne cumule plusieurs fonctions, la fonction de DPO doit demeurer cloisonnée des fonctions qui déterminent les objectifs de traitement.
Le critère est fonctionnel, et non nominal. Changer un intitulé de poste de « responsable informatique » en « DPO » sans modifier les responsabilités substantielles ne résout pas le conflit. Un conflit existe dès lors que la fonction implique de déterminer les finalités et les moyens du traitement des données à caractère personnel.
Les DPO externes font face à leurs propres risques : un cabinet d'avocats qui conseille un client sur la licéité d'une stratégie de traitement tout en exerçant simultanément la fonction de DPO peut se trouver en conflit lorsque sa fonction de DPO exige de déconseiller cette stratégie. Les organisations recourant à des services de DPO externes devraient vérifier que le prestataire dispose de mesures de gouvernance permettant de gérer ces conflits.
Conséquences du non-respect
Amendes au titre de l'article 83, paragraphe 4
Les violations des articles 37, 38 et 39 relèvent du palier inférieur d'amendes du RGPD au titre de l'article 83, paragraphe 4, qui couvre les obligations découlant des articles 8, 11, 25 à 39, 42 et 43. Le maximum est de 10 millions d'euros ou de 2 % du chiffre d'affaires annuel mondial total de l'entreprise pour l'exercice précédent, le montant le plus élevé étant retenu.
Manquements liés au DPO couramment sanctionnés : défaut de désignation d'un DPO requis ; désignation d'un DPO dépourvu de qualifications ou d'indépendance ; attribution d'une fonction créant un conflit au DPO ; défaut de fourniture de ressources ou d'accès suffisants ; et défaut de publication des coordonnées du DPO.
L'application en pratique
Des autorités de contrôle à travers l'UE ont enquêté et sanctionné des organisations pour des manquements liés au DPO. Les autorités allemandes de protection des données ont été particulièrement actives, l'exigence de DPO trouvant ses racines dans le droit fédéral allemand de la protection des données antérieur au RGPD. Plusieurs autorités de contrôle ont assimilé des DPO nominalement désignés, dépourvus de véritable autorité, de ressources adéquates, et de protection contre l'ingérence de la direction, à l'absence pure et simple de DPO.
Le défaut de publication des coordonnées du DPO figure parmi les manquements les plus simples à détecter pour une autorité de contrôle : il est visible sur la face même d'une politique de confidentialité. Les autorités de contrôle procédant à des campagnes d'examen des politiques de confidentialité de sites web signalent régulièrement l'absence de coordonnées du DPO.
Conséquences autres que les amendes
Le non-respect des exigences relatives au DPO compromet la responsabilité au titre de l'article 5, paragraphe 2. Un responsable du traitement dépourvu d'un DPO requis présente une lacune structurelle de responsabilité susceptible d'aggraver la sanction pour toute autre violation du RGPD constatée dans la même enquête.
Pour les entreprises B2B, les équipes d'approvisionnement menant des diligences raisonnables RGPD sur les fournisseurs et sous-traitants demandent de plus en plus des preuves de la désignation du DPO, de ses coordonnées, et du registre des activités de traitement. L'absence d'un DPO requis constitue un constat significatif dans les évaluations de risque fournisseur en entreprise.
Le UK GDPR et l'exigence de DPO
Le Royaume-Uni a conservé le RGPD en tant que droit interne par le biais de l'European Union (Withdrawal) Act 2018 et du Data Protection Act 2018. Le UK GDPR reprend le texte de l'UE avec des modifications mineures. Les articles 37, 38 et 39 du UK GDPR reproduisent presque mot pour mot les dispositions équivalentes de l'UE, et les trois déclencheurs obligatoires demeurent inchangés.
L'Information Commissioner's Office (ICO) est l'autorité de contrôle du UK GDPR. L'ICO suit étroitement l'approche du WP29 et applique le même cadre d'analyse de la « grande échelle » et des « activités principales » que les autorités de contrôle de l'UE. Les organisations soumises aux deux régimes peuvent désigner des DPO distincts ou un DPO unique couvrant les deux, à condition que ce DPO reste accessible aux deux autorités de contrôle, aux salariés, et aux personnes concernées.
Le régime d'amendes du UK GDPR est libellé en livres sterling : le palier inférieur atteint jusqu'à 8,7 millions de livres sterling ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Comment évaluer si votre organisation a besoin d'un DPO
Commencez par le premier déclencheur : l'organisation est-elle une autorité ou un organisme public au sens du droit national de l'État membre de l'UE concerné ? Dans l'affirmative, un DPO est obligatoire. Si l'organisation opère dans plusieurs États membres, vérifiez si l'un d'entre eux la qualifie d'organisme public.
Si l'organisation n'est pas une autorité publique, identifiez ses activités principales. Pour chaque activité principale, demandez-vous : cette activité exige-t-elle un suivi régulier et systématique des personnes ? Dans l'affirmative, ce suivi est-il effectué à grande échelle ? Si les deux réponses sont positives, le deuxième déclencheur s'applique.
Puis, pour chaque activité principale, demandez-vous : cette activité implique-t-elle le traitement de données sensibles au titre de l'article 9, paragraphe 1, ou de données relatives à des condamnations pénales au titre de l'article 10 ? Dans l'affirmative, ce traitement est-il effectué à grande échelle ? Si les deux réponses sont positives, le troisième déclencheur s'applique.
Documentez l'analyse. Même lorsqu'aucun DPO obligatoire n'est requis, une évaluation documentée démontre la responsabilité au titre de l'article 5, paragraphe 2, et protège l'organisation si une autorité de contrôle remet en question cette décision ultérieurement. Mettez à jour l'évaluation chaque fois que les activités de traitement changent significativement, y compris à la suite d'acquisitions, de nouvelles gammes de produits, ou de nouveaux arrangements de partage de données.
Pour savoir comment les obligations relatives au DPO s'intègrent dans le programme de mise en conformité RGPD plus large, la liste de contrôle de conformité RGPD fournit une présentation structurée des obligations des responsables du traitement et des sous-traitants. Les organisations situées hors de l'UE souhaitant évaluer si le RGPD s'applique peuvent commencer par le guide RGPD pour les petites entreprises. Pour une introduction complète au règlement, voir qu'est-ce que le RGPD.
Avertissement : Cet article fournit des informations juridiques générales sur les exigences relatives au délégué à la protection des données au titre du RGPD et ne constitue pas un conseil juridique. La conformité au RGPD dépend des faits, et l'application des articles 37 à 39 à une organisation particulière dépend de ses activités de traitement spécifiques, de son statut juridique, et du droit national de l'État membre concerné. Consultez un praticien qualifié en protection des données ou un conseiller juridique pour des conseils adaptés à votre situation.
Frequently Asked Questions
Les petites entreprises ont-elles besoin d'un DPO au titre du RGPD ?
Les petites entreprises ne sont pas automatiquement exemptées de l'exigence de DPO au titre de l'article 37. Le considérant 13 permet aux États membres d'adapter les règles pour les micro, petites et moyennes entreprises dans quelques contextes, mais l'article 37 ne prévoit aucune exemption pour les PME. Une petite entreprise qui remplit l'un des trois déclencheurs obligatoires de l'article 37, paragraphe 1, doit désigner un DPO. En pratique, la plupart des petites entreprises ne se livrent pas à un traitement à grande échelle en tant qu'activité principale et ne sont pas des autorités publiques, de sorte que les déclencheurs s'appliquent rarement. Mais l'obligation dépend de la nature et de l'échelle du traitement, et non de la taille des effectifs ou du chiffre d'affaires. Une jeune entreprise exploitant une application de données de santé comptant des centaines de milliers d'utilisateurs pourrait déclencher l'article 37, paragraphe 1, point c), même si elle emploie moins de 20 personnes.
Un DPO peut-il être un consultant ou un prestataire externe ?
Oui. L'article 37, paragraphe 6, dispose expressément que le DPO peut exercer sa fonction sur la base d'un contrat de service avec un prestataire externe. L'arrangement de DPO externe est courant pour les organisations qui ne peuvent justifier un recrutement interne à temps plein. Les articles 38 et 39 doivent être respectés indépendamment du mode d'engagement : le DPO externe doit disposer d'une véritable indépendance, ne pas être soumis à des instructions, avoir accès aux activités de traitement de l'organisation et à sa direction générale, et être protégé contre le licenciement ou les sanctions pour l'exercice de ses missions. Le contrat de service devrait refléter explicitement ces exigences.
Une entreprise américaine avec des clients dans l'UE doit-elle désigner un DPO RGPD ?
Une entreprise américaine soumise au RGPD au titre de l'article 3, paragraphe 2, doit évaluer si elle remplit les déclencheurs de l'article 37, paragraphe 1. Si ses activités principales exigent un suivi régulier et systématique à grande échelle de personnes concernées de l'UE, comme c'est courant pour les entreprises d'ad tech, les courtiers en données, et les grandes plateformes d'analyse, le deuxième déclencheur s'applique et un DPO doit être désigné. Si les activités de l'entreprise américaine tournées vers l'UE sont limitées et n'impliquent ni suivi systématique à grande échelle ni traitement à grande échelle de données sensibles, aucun DPO n'est requis, bien qu'un représentant dans l'UE distinct au titre de l'article 27 puisse tout de même être obligatoire. Les entreprises américaines devraient réaliser et documenter l'évaluation de l'article 37 dans le cadre de leur programme global de conformité RGPD.
Le propriétaire de l'entreprise ou le PDG peut-il exercer la fonction de DPO ?
Le PDG ne peut pas exercer la fonction de DPO en raison de l'interdiction de conflit d'intérêts prévue à l'article 38, paragraphe 6. Les lignes directrices du WP29 (WP243 rev.01) ont spécifiquement identifié la fonction de PDG comme incompatible avec celle de DPO, car le PDG détermine les finalités et les moyens du traitement des données de l'organisation, et la fonction de surveillance du DPO exige une indépendance vis-à-vis de ce pouvoir décisionnel. Le même raisonnement s'applique au directeur des opérations, au directeur informatique, au directeur marketing, au directeur financier, et au responsable des technologies de l'information. Un propriétaire d'entreprise qui est également PDG ne peut pas résoudre ce conflit en se désignant lui-même DPO, même dans une petite organisation. La solution pour les très petites organisations consiste généralement en un service de DPO externe.
Quelles sont les sanctions en cas de défaut de désignation d'un DPO requis ?
Le défaut de désignation d'un DPO requis constitue une violation passible d'amendes au titre de l'article 83, paragraphe 4, qui couvre les obligations énoncées aux articles 25 à 39 et impose des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Le défaut de publication des coordonnées du DPO au titre de l'article 37, paragraphe 7, est indépendamment sanctionnable. Les autorités de contrôle évaluent les amendes en fonction de la nature, de la gravité et de la durée de la violation, du caractère intentionnel ou négligent du manquement, et du degré de coopération. Le UK GDPR reprend cette structure, avec un maximum du palier inférieur fixé à 8,7 millions de livres sterling ou 2 % du chiffre d'affaires mondial.
Que fait concrètement un DPO au quotidien ?
Les activités quotidiennes d'un DPO découlent des cinq missions de l'article 39, paragraphe 1. Il conseille les équipes sur la nécessité d'une AIPD pour une nouvelle fonctionnalité de produit et examine l'analyse une fois rédigée. Il audite le registre des activités de traitement au titre de l'article 30. Il examine les contrats de sous-traitance et les clauses contractuelles types avant leur signature. Il enquête sur les demandes relatives aux droits des personnes concernées et veille à ce que les réponses soient apportées dans les délais. Il coordonne avec les équipes informatiques et sécurité à la suite d'une violation de données à caractère personnel pour déterminer si une notification à l'autorité de contrôle dans les 72 heures est requise au titre de l'article 33. Il conçoit et dispense des formations au personnel. Il fait office de point de contact unique pour l'autorité de contrôle et veille à ce que la correspondance réglementaire reçoive des réponses rapides et exactes.
Le RGPD exige-t-il un DPO pour les sous-traitants comme pour les responsables du traitement ?
Oui. L'article 37, paragraphe 1, s'applique tant aux responsables du traitement qu'aux sous-traitants. Un sous-traitant, tel qu'un fournisseur de services en nuage, une société d'externalisation de la paie, ou une plateforme de technologie marketing, doit désigner un DPO si ses activités principales en tant que sous-traitant remplissent les déclencheurs de suivi à grande échelle ou de traitement à grande échelle de données sensibles. L'évaluation du DPO du sous-traitant porte sur ses propres activités principales, et non sur celles des responsables du traitement qu'il sert. Un fournisseur d'infrastructure en nuage qui héberge des données pour le compte de milliers de responsables du traitement et surveille les schémas d'utilisation du réseau à grande échelle peut déclencher l'article 37, paragraphe 1, point b), indépendamment de ce que ses clients responsables du traitement font des données.
Un même DPO peut-il couvrir plusieurs entreprises ?
Oui, dans deux scénarios. L'article 37, paragraphe 2, permet à un groupe d'entreprises de désigner un DPO unique, à condition que celui-ci soit facilement accessible depuis chaque établissement. L'article 37, paragraphe 3, permet à plusieurs autorités ou organismes publics de désigner un DPO partagé, en tenant compte de leur structure organisationnelle et de leur taille. L'exigence d'accessibilité facile signifie que le DPO doit être joignable par les salariés, les personnes concernées, et les autorités de contrôle de chaque entité sans difficulté excessive. Les coordonnées du DPO partagé doivent être publiées par chaque entité au titre de l'article 37, paragraphe 7, et le DPO doit disposer d'une capacité suffisante pour couvrir les missions de DPO de toutes les entités.
Un DPO est-il identique à un responsable de la confidentialité ou de la conformité ?
Pas nécessairement. Un DPO au sens du RGPD est une fonction statutaire spécifique, assortie de missions définies à l'article 39, d'une garantie statutaire d'indépendance à l'article 38, et d'une protection contre le licenciement. De nombreuses organisations disposent de responsables de la confidentialité ou de la conformité dont les fonctions recoupent celles du DPO, mais ces fonctions ne sont pas équivalentes à un DPO statutaire, sauf si la personne a été formellement désignée et que ses coordonnées ont été publiées au titre de l'article 37, paragraphe 7. Une organisation s'appuyant sur un responsable de conformité interne sans désignation formelle n'a pas satisfait à son obligation au titre de l'article 37. Réciproquement, une désignation formelle seule est insuffisante : le DPO désigné doit disposer des qualifications, des ressources, de l'indépendance, et de l'accès exigés par les articles 37 et 38.
Quel est le rôle du DPO en cas de violation de données ?
L'article 39 ne mentionne pas la gestion des violations de données comme une mission autonome, mais le rôle du DPO découle des missions de contrôle et de coopération prévues à l'article 39, paragraphe 1, points b), d) et e). En pratique, le DPO évalue si un incident de sécurité constitue une violation de données à caractère personnel au sens de l'article 4, paragraphe 12, détermine s'il est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, conseille sur la nécessité d'une notification à l'autorité de contrôle dans les 72 heures au titre de l'article 33, conseille sur la nécessité d'une notification aux personnes concernées au titre de l'article 34, et fait office de point de contact avec l'autorité de contrôle tout au long de l'enquête. Le DPO devrait être associé dès qu'une violation potentielle est identifiée, et non après que la direction a déjà pris des décisions de notification.
Sources and References
- Règlement (UE) 2016/679 du Parlement européen et du Conseil (RGPD), article 37 : désignation du délégué à la protection des données(eur-lex.europa.eu)
- Règlement (UE) 2016/679, article 38 : fonction du délégué à la protection des données(eur-lex.europa.eu)
- Règlement (UE) 2016/679, article 39 : missions du délégué à la protection des données(eur-lex.europa.eu)
- Règlement (UE) 2016/679, considérant 97 (délégué à la protection des données)(eur-lex.europa.eu)
- Règlement (UE) 2016/679, considérant 91 (analyse d'impact relative à la protection des données et traitement à grande échelle)(eur-lex.europa.eu)
- Lignes directrices du WP29 sur les délégués à la protection des données (WP243 rev.01), adoptées par le CEPD(ec.europa.eu)
- Comité européen de la protection des données, archives des documents du groupe de travail Article 29(edpb.europa.eu)
- Règlement (UE) 2016/679, article 83 : conditions générales pour imposer des amendes administratives(eur-lex.europa.eu)
- Règlement (UE) 2016/679, article 35 : analyse d'impact relative à la protection des données(eur-lex.europa.eu)
- Data Protection Act 2018 (Royaume-Uni), partie 2 et annexe 6 intégrant le UK GDPR(legislation.gov.uk)
- Guide de l'ICO sur le UK GDPR, les délégués à la protection des données(ico.org.uk)
- Règlement (UE) 2016/679, article 9 : traitement de catégories particulières de données à caractère personnel(eur-lex.europa.eu)
- Règlement (UE) 2016/679, article 10 : traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions(eur-lex.europa.eu)