Article initialement publié le 24/07/2024 et mis à jour le 30/06/2025
Le délégué à la protection des données (DPD ou DPO en anglais) est le pilote de la mise en conformité aux normes de protection des données personnelles de son entité. Si sa désignation n’est obligatoire que dans trois cas, pour le reste elle est recommandée de manière générale par la CNIL.
Ces trois cas sont : les administrations et organismes publiques (hors juridictions) ; les organismes qui effectuent un suivi régulier et systématique de personnes à grande échelle dans le cadre de leurs activités principales ; les organismes qui traitent à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions dans le cadre de leurs activités principales.
Qui peut être DPO en pratique ? Si aucune restriction n’est énoncée explicitement par la lettre du RGPD (Règlement Général sur la Protection des Données), il existe en revanche un certain nombre de critères qui peuvent conduire à l’exclusion de certains profils du fait d’incompatibilités fonctionnelles avec d’autres rôles au sein d’une même entité.
Quelles sont les compétences nécessaires au conseil d’un DPO ?
Tout d’abord le DPO doit disposer des compétences nécessaires à l’exercice de ses missions prévues à l’article 39. En pratique, il doit donc être en mesure de :
- Conseiller le responsable de traitement (ainsi que ses personnels et ses sous-traitants) sur les obligations légales et réglementaires qui lui incombent, pour la réalisation des analyses d’impact sur la protection des données ;
- Contrôler la bonne application de ces obligations et de manière plus générale des autres normes et règles internes relatives à la protection des données ;
- S’établir en point de contact pour l’autorité de contrôle (la CNIL en France) et coopérer avec elle en cas de procédure.
Pour ce faire, le RGPD invite à désigner une personne disposant des compétences juridiques nécessaires à apprécier et diffuser les contraintes normatives applicables aux opérations de traitement de données personnelles menées par l’entité (article 37.5). Il est également recommandé que cette personne dispose d’un bagage technique suffisant pour évaluer les mesures mises en place vis-à-vis des obligations réglementaires applicables.
Selon une étude réalisée sur les profils des DPO en 2021, un constat ressortait sur la diversification des profils : 47 % sont issus d’autres domaines d’expertise que le droit et l’informatique (+ 12 points depuis 2019), il s’agit par exemple de profils administratifs et financiers ou en lien avec la qualité ou la conformité-audit. Cependant une majorité (53%) reste donc des profils liés à la pratique du droit ou de l’informatique, en raison de la double compétence attendue pour ce rôle.
Au demeurant, une personne qui dispose d’une appétence suffisante sur les sujets de la protection des données, peut faire compléter ses compétences à l’aide de formation propre à la fonction de DPO. Celles-ci lui permettent d’étudier en détail les obligations du RGPD et de Loi informatique et Liberté, tout en se confrontant à des exercices de mises en pratiques des missions de DPO.
La formation fait d’ailleurs partie des moyens qui doivent être mis à dispositions du DPO pour se maintenir à jour des évolutions importantes que connaissent actuellement les normes en la matière.
Le DPO comme facilitateur de la culture de protection des données
Au-delà de ses missions réglementaires, le DPO joue un rôle essentiel dans la diffusion d’une culture de protection des données au sein de l’organisation. Cette dimension, bien que moins formalisée dans les textes, s’avère déterminante pour l’efficacité globale de la conformité. Un DPO efficace ne se contente pas d’appliquer des règles, mais transforme la perception de la protection des données en la présentant comme un atout stratégique plutôt qu’une contrainte réglementaire. Pour y parvenir, de nombreux DPO mettent en place des programmes de sensibilisation adaptés aux différents métiers de l’entreprise, organisent des ateliers pratiques et développent des outils pédagogiques accessibles. Cette approche proactive permet d’anticiper les problématiques de conformité dès la conception des projets (privacy by design) et facilite l’intégration des bonnes pratiques dans les processus quotidiens. Les organisations qui réussissent cette transformation culturelle constatent une réduction significative des incidents liés aux données personnelles et une meilleure adhésion des équipes aux principes du RGPD.
Comment garantir l’efficacité et l’indépendance du DPO ?
Le responsable de traitement qui emploi le DPO doit veiller à la mise à disposition de toutes les ressources nécessaires à l’exercice des missions évoquées précédemment : en particulier, celui-ci doit pouvoir accéder sur demande aux traitements de données réalisés pour en constater la tenue.
Du reste, si le DPO partage ce rôle avec une d’autres fonctions au sein de l’entité qui l’emploi, celle-ci doit veiller à lui allouer le temps suffisant pour les exercices de ses missions de DPO.
Le DPO doit aussi bénéficier d’une indépendance pour les besoins de ses fonctions, et son employeur doit veiller, à ne lui adresser aucune instruction à ce titre. En outre, le DPO rend compte directement (au moins via son rapport annuel) « au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant ».
Il est important de noter que le DPO n’est jamais lui-même responsable en cas de sanction pour défaut de conformité, et que le responsable de traitement ne doit pas le sanctionner en raison de l’exercice de cette fonction. Toutefois, il demeure responsable d’un point de vue disciplinaire défaut de conseil, ou pénalement (comme toutes personnes) s’il se rend directement coupable des infractions prévues par la loi Informatique et Libertés, ou en tant que complice du responsable du traitement ou le sous-traitant qui commettrais des traitements de données infractionnels.
Enfin, le DPO doit aussi être accessible à toute personne ayant des questions relatives aux traitements de leurs Données à Caractère Personnel (DCP et leurs droits afférents), qu’il s’agisse de personnel de l’entité ou de tierces personnes concernées par des traitements de leurs données personnelles. À ce titre, le DPO exerce ces fonctions en observant un secret professionnel strict.
Le DPO doit ainsi être correctement intégré dans l’entreprise, dans les process et les projets, et avoir accès à toutes les ressources (humaine et matérielle) nécessaires à l’exercice de sa fonction de manière à ce qu’il ne souffre pas d’entrave organisationnelle lors de son exercice.
Comment prévenir les conflits d’intérêt dans la nomination du DPO ?
Reste enfin un dernier critère crucial : la prévention des conflits d’intérêt. Pour ce faire, le DPO ne doit pas être une personne qui, par ses autres fonctions ou rôle auprès de l’entité, intervient dans la détermination des finalités ou des moyens des traitements de données personnelles effectuées par l’entité.
Par principe sont donc exclus la majorité des postes de direction classiques (secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique), et pour les autres une appréciation au cas par cas doit être effectuée.
DPO et RSSI : un conflit d’intérêts ? La CNIL a tranché cette question qui s’est très vite immiscée dans les discussions liées à la désignation du DPO. En effet, le DPO comme le RSSI ont en commun de veiller à la protection des données (à caractère personnel). Dans son guide sur le DPO paru en 2022 la CNIL explique ainsi qu’« Un responsable de la sécurité des systèmes d’information peut être désigné DPO s’il ne dispose pas, en tant que RSSI, d’un pouvoir décisionnel dans la détermination des finalités et des moyens des traitements de données personnelles mis en œuvre par sa structure ».
L’évolution du rôle du DPO face aux nouveaux enjeux technologiques
Le rôle du DPO connaît une transformation significative à mesure que le paysage technologique évolue. Avec l’essor de l’intelligence artificielle, de l’Internet des objets (IoT) et du traitement massif des données, les défis auxquels font face les DPO se complexifient. L’utilisation croissante des algorithmes de décision automatisée requiert désormais du DPO qu’il comprenne non seulement les aspects juridiques de la conformité, mais également les implications éthiques de ces technologies. Une étude récente indique que 73% des DPO considèrent que l’IA représente leur principal défi pour les années à venir. Pour y faire face, de nombreux DPO développent des compétences complémentaires en matière d’éthique des données et s’entourent d’experts techniques capables d’évaluer les risques spécifiques liés à ces nouvelles technologies. Cette évolution souligne l’importance d’une formation continue et d’une veille technologique active pour tout professionnel exerçant cette fonction.
Spécialiste en protection des données et droit du numérique, j’accompagne les entités privées et publiques pour mettre en place des SMPD (Système de Management de la Protection des données) tant en qualité de DPO externe que de coach au DPO ou de livrable à la demande. J’opère dans des systèmes d’information sensibles (santé privé et public, bancaire) et plus classique pour des entreprises ayant conscience de l’enjeu de la protection des données.
TVH Consulting
Partenaire de référénce des éditeurs Microsoft, SAP et Talend, le groupe TVH Consulting est intégrateur expert de solutions ERP, Data, BI, CRM et Cybersécurité avec plus de 400 collaborateurs qui s’engagent sur 100% de réussite des projets IT.
Pour en savoir plus sur les contenus et outils de Business Intelligence, visitez le site :
Les sociétés du groupe TVH Consulting
