La confusion entre le DPO (Délégué à la protection des données) et le Compliance Officer est l’une des erreurs les plus fréquentes dans les organisations françaises. Ces deux fonctions partagent un objectif commun — assurer la conformité réglementaire — mais elles obéissent à des régimes juridiques radicalement différents. Seul le DPO est régi par le RGPD (Art. 37 à 39), avec des missions spécifiques, une indépendance garantie et une protection contre les sanctions liées à l’exercice de ses fonctions. Les confondre peut entraîner des manquements à la réglementation.
Points Clés
- Le DPO est la seule fonction réglementée par le RGPD (Art. 37-39). Le Compliance Officer n’a pas de statut spécifique en droit de la protection des données.
- Le DPO bénéficie d’une indépendance fonctionnelle garantie par l’Art. 38(3) RGPD : il ne peut recevoir aucune instruction dans l’exercice de ses missions.
- La désignation d’un DPO est obligatoire dans trois cas définis par l’Art. 37(1) RGPD : autorité publique, suivi régulier à grande échelle, traitement de données sensibles à grande échelle.
- Le Compliance Officer pilote opérationnellement la conformité ; le DPO conseille, informe et contrôle mais ne met pas en oeuvre.
- Cumuler les deux fonctions est possible mais crée des risques de conflit d’intérêts que la CNIL surveille.
Le DPO : un statut encadré par le RGPD
Désignation obligatoire : Art. 37(1) RGPD
L’Art. 37(1) RGPD impose la désignation d’un DPO dans trois cas :
- L’organisme est une autorité ou un organisme public (à l’exception des juridictions dans l’exercice de leur fonction juridictionnelle).
- Les activités de base exigent un suivi régulier et systématique des personnes à grande échelle — typiquement les entreprises de marketing digital, les plateformes en ligne, les sociétés de scoring.
- Les activités de base consistent en un traitement à grande échelle de données sensibles (Art. 9 RGPD) ou de données relatives aux condamnations pénales (Art. 10 RGPD) — notamment les établissements de santé, les organismes de recherche biomédicale.
En dehors de ces cas, la désignation reste facultative. Mais attention : ne pas désigner de DPO ne dispense pas de conformité. Le responsable de traitement reste tenu d’assurer le respect du RGPD, ce qui implique de nommer au minimum un référent interne compétent.
Missions du DPO : Art. 39 RGPD
L’Art. 39 RGPD définit les missions du DPO de manière limitative :
- Informer et conseiller le responsable de traitement, le sous-traitant et les employés sur leurs obligations (Art. 39(1)(a)).
- Contrôler le respect du RGPD et des politiques internes de protection des données (Art. 39(1)(b)).
- Dispenser des conseils en matière d’analyse d’impact (AIPD) et en vérifier l’exécution (Art. 39(1)©).
- Coopérer avec la CNIL et servir de point de contact (Art. 39(1)(d) et (e)).
Point fondamental : le DPO ne met pas en oeuvre la conformité. Il la contrôle. La mise en conformité incombe au responsable de traitement (Art. 24 RGPD). C’est une distinction que beaucoup d’organisations ignorent, au risque de compromettre l’indépendance du DPO.
Indépendance et protection : Art. 38 RGPD
L’Art. 38(3) RGPD garantit que le DPO « ne reçoit aucune instruction en ce qui concerne l’exercice de ses missions ». Il ne peut être ni relevé de ses fonctions ni pénalisé pour l’exercice de ses missions. Cette indépendance est essentielle : un DPO qui reçoit des instructions de la direction sur le contenu de ses avis ne remplit plus sa fonction au sens du RGPD.
La CNIL a précisé dans ses recommandations que le DPO doit disposer de ressources suffisantes, d’un accès direct à la direction et d’une absence de conflits d’intérêts. Le DPO ne peut pas occuper un poste qui l’amène à déterminer les finalités et les moyens des traitements (par exemple, directeur informatique, directeur marketing, DRH).
Le Compliance Officer : une fonction opérationnelle
Le Compliance Officer — ou responsable conformité — est une fonction organisationnelle qui n’a aucun statut spécifique dans le RGPD. Il peut être chargé de la conformité RGPD, mais aussi de la loi Sapin II (anticorruption), du règlement eIDAS, de la LCB-FT (lutte contre le blanchiment), de la conformité sectorielle.
Son rôle est opérationnel : il pilote les projets de mise en conformité, coordonne les équipes, rédige les procédures, supervise la mise en place des mesures techniques et organisationnelles. Il rend compte à la direction et agit sur ses instructions.
Contrairement au DPO, le Compliance Officer :
- N’a pas d’indépendance garantie par la loi.
- Agit sur instruction de la direction.
- Met en oeuvre la conformité au lieu de la contrôler.
- N’est pas protégé contre le licenciement lié à l’exercice de ses fonctions.
Tableau comparatif : DPO vs Compliance Officer
| Critère | DPO | Compliance Officer |
|---|---|---|
| Base légale | Art. 37-39 RGPD | Aucune base spécifique RGPD |
| Désignation | Obligatoire dans 3 cas (Art. 37(1)) | Libre, à la discrétion de l’organisme |
| Indépendance | Garantie par Art. 38(3) | Aucune garantie légale |
| Missions | Informer, conseiller, contrôler | Piloter, mettre en oeuvre, coordonner |
| Instructions | Ne peut en recevoir (Art. 38(3)) | Agit sur instruction de la direction |
| Protection | Ne peut être sanctionné (Art. 38(3)) | Régime salarial classique |
| Point de contact CNIL | Oui (Art. 39(1)(d)) | Non, sauf délégation |
| Conflit d’intérêts | Interdit (Art. 38(6)) | Pas de restriction spécifique |
Peut-on cumuler les deux fonctions ?
Le cumul des fonctions de DPO et de Compliance Officer est juridiquement possible mais déconseillé par la CNIL et le CEPD. Le risque principal est le conflit d’intérêts : un Compliance Officer qui pilote la mise en conformité ne peut pas, en tant que DPO, contrôler objectivement la conformité qu’il a lui-même mise en oeuvre.
Le CEPD a précisé dans ses Lignes directrices sur les DPO (WP 243 rév. 01) que le DPO ne doit pas occuper un poste qui le conduit à déterminer les finalités et les moyens des traitements. Or, un Compliance Officer qui décide des mesures de conformité à mettre en place détermine de facto une partie des moyens du traitement.
CNIL, Délibération n°2019-154 du 23 septembre 2019 : la CNIL a mis en demeure un organisme pour avoir désigné comme DPO une personne exerçant également des fonctions de direction informatique, créant un conflit d’intérêts structurel.
En pratique, les grandes organisations séparent les deux fonctions. Les PME, avec des moyens limités, peuvent cumuler sous réserve de mettre en place des garanties : reporting séparé, supervision par un tiers, audit externe régulier.
Recommandations pratiques
- Clarifiez les rôles par écrit : le périmètre du DPO et celui du Compliance Officer doivent être formalisés dans des fiches de poste distinctes.
- Garantissez l’indépendance du DPO : accès direct au dirigeant, budget propre, absence d’instructions sur ses avis.
- Désignez le DPO auprès de la CNIL : cette formalité est obligatoire (Art. 37(7) RGPD) et se fait via le portail de la CNIL.
- Formez les deux profils : le DPO doit maîtriser le RGPD en profondeur ; le Compliance Officer doit comprendre les obligations pratiques du guide complet DPO.
- Auditez l’absence de conflit d’intérêts : vérifiez régulièrement que le DPO ne détermine pas les finalités et les moyens des traitements.
FAQ
Un DPO est-il responsable en cas de non-conformité RGPD ?
Non. Le DPO conseille et contrôle, mais la responsabilité de la conformité incombe au responsable de traitement (Art. 24 RGPD). Le DPO ne peut être sanctionné pour un manquement de l’organisme, sauf s’il a commis une faute personnelle dans l’exercice de ses fonctions (par exemple, une dissimulation délibérée de manquements à la CNIL).
Peut-on externaliser la fonction de DPO ?
Oui. L’Art. 37(6) RGPD autorise la désignation d’un DPO externe, sur la base d’un contrat de service. Le DPO externe bénéficie des mêmes garanties d’indépendance que le DPO interne. La CNIL recommande de vérifier les compétences du prestataire et de formaliser le périmètre d’intervention dans un contrat détaillé.
Quelle formation est requise pour un DPO ?
L’Art. 37(5) RGPD exige que le DPO dispose de « connaissances spécialisées du droit et des pratiques en matière de protection des données ». La CNIL ne prescrit aucun diplôme obligatoire mais a mis en place un référentiel de certification (délibération n°2018-318) permettant de valider les compétences des DPO par un organisme agréé.
Un DPO peut-il être mutualisé entre plusieurs organismes ?
Oui. L’Art. 37(2) RGPD prévoit qu’un groupe d’entreprises peut désigner un seul DPO, à condition qu’il soit « facilement joignable à partir de chaque lieu d’établissement ». De même, l’Art. 37(3) permet aux autorités et organismes publics de mutualiser un DPO. Cette mutualisation est fréquente dans les petites communes et les groupements d’intérêt public.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
