Délégué à la Protection des Données : missions et désignation

Le délégué à la protection des données (DPO) est le pivot de la conformité RGPD au sein des organismes. Les Art. 37 à 39 RGPD définissent les conditions de désignation, le statut et les missions de ce poste. Au 31 décembre 2024, la CNIL comptabilisait plus de 32 000 organismes ayant désigné un DPO en France. Pourtant, les manquements aux règles de désignation et d’indépendance du DPO restent fréquents, et les sanctions pour conflits d’intérêts se multiplient.

Points Clés

• La désignation d’un DPO est obligatoire dans trois cas : autorités publiques, suivi régulier et systématique à grande échelle, traitement à grande échelle de données sensibles (Art. 37(1) RGPD).
• Les missions du délégué à la protection des données sont fixées par l’Art. 39 RGPD : information/conseil, contrôle de la conformité, conseil en matière d’AIPD, coopération avec l’autorité de contrôle, point de contact.
• Le DPO bénéficie d’une protection fonctionnelle : il ne peut pas être relevé de ses fonctions ni pénalisé pour l’exercice de ses missions (Art. 38(3) RGPD).
• Les conflits d’intérêts sont sanctionnés : un DPO ne peut pas exercer une fonction qui le conduit à déterminer les finalités et les moyens du traitement (Art. 38(6) RGPD).
• L’externalisation du DPO est expressément autorisée par l’Art. 37(6) RGPD.

Quand la désignation est obligatoire : Art. 37(1) RGPD

L’Art. 37(1) RGPD impose la désignation d’un DPO dans trois cas :

a) Autorités ou organismes publics : toute autorité publique ou tout organisme public qui effectue un traitement, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle. En France, cela couvre les administrations centrales, les collectivités territoriales, les établissements publics et les organismes de droit public.

b) Suivi régulier et systématique à grande échelle : les organismes dont les activités de base consistent en des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées. Exemples : opérateurs de télécommunications, banques, assureurs, sociétés de marketing digital.

c) Traitement à grande échelle de données sensibles : les organismes dont les activités de base consistent en un traitement à grande échelle de catégories particulières de données (Art. 9 RGPD) ou de données relatives aux condamnations pénales (Art. 10 RGPD). Exemples : hôpitaux, laboratoires d’analyses médicales, organismes de sécurité sociale.

Le CEPD (Lignes directrices WP 243) a précisé que les « activités de base » désignent les opérations essentielles nécessaires pour atteindre les objectifs du responsable de traitement, par opposition aux fonctions de support (paie, informatique interne).

Désignation volontaire

En dehors des trois cas obligatoires, la désignation est vivement encouragée par la CNIL et le CEPD. De nombreuses organisations désignent volontairement un DPO pour structurer leur gouvernance des données et démontrer leur engagement en matière de conformité.

Missions du DPO : Art. 39 RGPD

L’Art. 39(1) RGPD définit cinq missions :

a) Information et conseil

Le DPO informe et conseille le responsable de traitement, le sous-traitant et les employés qui procèdent au traitement, au sujet de leurs obligations en vertu du RGPD et des autres dispositions applicables en matière de protection des données.

Concrètement : formation des équipes, avis sur les nouveaux projets, rédaction de politiques internes, veille réglementaire.

b) Contrôle de la conformité

Le DPO contrôle le respect du RGPD, des autres dispositions applicables et des politiques internes en matière de protection des données, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel et les audits.

Le DPO n’est pas personnellement responsable de la non-conformité. C’est le responsable de traitement qui porte cette responsabilité. Le rôle du DPO est de contrôler et de recommander, pas de décider.

c) Conseil en matière d’AIPD

Le DPO dispense des conseils en ce qui concerne l’analyse d’impact relative à la protection des données (Art. 35 RGPD) et en vérifie l’exécution.

d) Coopération avec l’autorité de contrôle

Le DPO coopère avec l’autorité de contrôle (la CNIL en France). Il est l’interlocuteur privilégié lors des contrôles, des demandes d’information et des procédures de sanction.

e) Point de contact

Le DPO fait office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable (Art. 36 RGPD), et il mène des consultations sur tout autre sujet.

Le DPO est également le point de contact pour les personnes concernées qui souhaitent exercer leurs droits (Art. 38(4) RGPD).

Statut et indépendance du DPO : Art. 38 RGPD

L’Art. 38 RGPD établit un cadre protecteur pour garantir l’indépendance du DPO :

Moyens suffisants (Art. 38(2)) : le responsable de traitement doit fournir au DPO les ressources nécessaires à l’exécution de ses missions : temps, budget, accès aux données et aux opérations de traitement, formation continue.

Absence d’instructions (Art. 38(3)) : le DPO ne reçoit aucune instruction en ce qui concerne l’exercice de ses missions. Il rend compte directement au niveau le plus élevé de la direction.

Protection contre la révocation (Art. 38(3)) : le DPO ne peut pas être relevé de ses fonctions ou pénalisé pour l’exercice de ses missions. En France, cette protection a été précisée par la Cour de cassation, qui a jugé qu’un licenciement motivé par l’exercice des missions de DPO est nul.

Absence de conflits d’intérêts (Art. 38(6)) : le DPO peut exercer d’autres missions et tâches, mais le responsable de traitement veille à ce que ces missions n’entraînent pas de conflit d’intérêts.

Conflits d’intérêts : jurisprudence et sanctions

Un conflit d’intérêts survient lorsque le DPO occupe une fonction qui le conduit à déterminer les finalités et les moyens du traitement. Les fonctions suivantes sont généralement incompatibles avec celle de DPO :

• Directeur général / CEO
• Directeur des ressources humaines
• Directeur informatique / DSI / CTO
• Directeur marketing
• Directeur financier / CFO

APD belge, 2020 : une entreprise a été sanctionnée de 50 000 euros pour avoir désigné comme DPO une personne exerçant simultanément les fonctions de responsable de la conformité, de l’audit interne et de la gestion des risques, créant un conflit d’intérêts systémique.

BfDI (Allemagne), 2022 : le LfDI Niedersachsen a prononcé une amende de 525 000 euros contre une entreprise pour conflit d’intérêts du DPO, qui exerçait simultanément des fonctions de direction opérationnelle.

CNIL, recommandation : la CNIL recommande que le DPO ne soit pas en position de déterminer les finalités ou les moyens des traitements de données de l’organisme. Un DPO qui est également DSI cumule les rôles de contrôleur et de contrôlé.

Externalisation du DPO

L’Art. 37(6) RGPD prévoit expressément que le DPO peut être un membre du personnel ou un prestataire externe sur la base d’un contrat de service.

Avantages de l’externalisation :

• Indépendance structurelle (pas de lien hiérarchique avec la direction opérationnelle)
• Expertise spécialisée et expérience multi-sectorielle
• Réduction du risque de conflit d’intérêts
• Mutualisation des coûts (un même DPO externe peut servir plusieurs organismes)

Obligations du DPO externe :

• Être désigné formellement auprès de la CNIL
• Disposer de moyens suffisants pour exercer ses missions
• Être accessible et disponible pour les personnes concernées et l’autorité de contrôle
• Respecter le secret professionnel et la confidentialité (Art. 38(5) RGPD)

Un groupe d’entreprises peut désigner un seul DPO (Art. 37(2) RGPD), à condition qu’il soit facilement joignable à partir de chaque établissement.

Sanctions liées au DPO

CNIL, Délibération n°SAN-2022-009 du 15 septembre 2022 : la CNIL a relevé comme circonstance aggravante l’absence de DPO désigné dans une entreprise soumise à l’obligation de l’Art. 37 RGPD.

APD belge, 2023 : amende de 75 000 euros contre un organisme public pour absence de désignation de DPO alors que l’Art. 37(1)(a) l’imposait.

ICO (Royaume-Uni), 2020 : l’absence de DPO a été retenue comme facteur aggravant dans la sanction de Marriott International (18,4 millions de livres), l’autorité relevant que la présence d’un DPO compétent aurait permis de détecter plus tôt les failles de sécurité.

Le manquement à l’obligation de désignation d’un DPO est sanctionnable au titre de l’Art. 83(4)(a) RGPD : amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

FAQ

Le DPO est-il personnellement responsable de la conformité ?

Non. L’Art. 24 RGPD est clair : c’est le responsable de traitement qui est responsable de la conformité. Le DPO a un rôle de conseil, de contrôle et d’alerte. Il ne peut pas être tenu responsable des décisions prises par la direction, même s’il a émis un avis défavorable. La responsabilité personnelle du DPO ne peut être engagée qu’en cas de faute distincte de ses missions (fraude, négligence caractérisée).

Un DPO peut-il refuser sa désignation ?

Oui, s’il est externe. Pour un salarié, la situation est plus nuancée. La désignation comme DPO ne peut pas être imposée sans l’accord de l’intéressé si elle modifie substantiellement ses conditions de travail. En revanche, si le poste de DPO figure dans la fiche de poste ou le contrat de travail, le salarié ne peut pas refuser sans motif légitime.

Comment le DPO est-il désigné auprès de la CNIL ?

La désignation s’effectue en ligne sur le site de la CNIL (désignation.cnil.fr). L’organisme communique les coordonnées du DPO, qui sont publiées sur le registre des DPO de la CNIL. Le DPO reçoit un récépissé confirmant sa désignation. En cas de changement de DPO, l’organisme doit mettre à jour la désignation dans les meilleurs délais.

Un DPO externe peut-il servir plusieurs organismes ?

Oui. L’Art. 37(6) RGPD le prévoit expressément. Le DPO externe doit cependant s’assurer qu’il dispose du temps et des ressources suffisants pour exercer ses missions auprès de chacun de ses clients. Le CEPD recommande que le DPO externe évalue sa charge de travail pour éviter de compromettre la qualité de ses interventions. La CNIL vérifie que le DPO dispose de moyens effectifs et n’est pas surchargé au point de ne pas pouvoir remplir ses missions.