icon fleche gauche
Le 
28
 
9
 
2025

Désigner un DPO : ce qu’il faut savoir

Le Legal Spot

Désigner un DPO : quand est-ce obligatoire et quelles sont les conditions de désignation ?

La désignation d’un délégué à la protection des données, également appelé DPO ou data protection officer, n’est pas toujours obligatoire pour les entreprises. Le RGPD précise les cas dans lesquels le DPO est obligatoire et prévoit des sanctions en cas de manquement (amende administrative d’un maximum de 10 millions d’euros ou 2 % du chiffre d’affaires). Retour sur les cas dans lesquels il faut nommer un DPO et sur les conditions de cette désignation. 

Quel est le rôle du DPO ?

Le DPO est la personne chargée de conseiller et d’accompagner l’organisme qui l’a désigné. Il occupe donc une position centrale dans la mise en conformité au RGPD de votre organisme. 

En particulier, il a pour mission : 

  • D’informer et conseiller l’organisme qui l’a désigné sur ses obligations en matière de protection de données personnelles. Il formule donc avant tout des recommandations. 
  • De contrôler le respect du RGPD en interne par cet organisme (et par ses éventuels sous-traitants). Cela étant, le DPO n’a pas à dénoncer d'éventuels manquements à l’autorité de contrôle (la CNIL). Il peut ainsi sensibiliser et former le personnel et les personnes qui réalisent des traitements de données en interne. 
  • De coopérer avec la CNIL, notamment lors d’un contrôle, et d’être le point de contact avec les personnes concernées par les traitements de données mis en œuvre par l’organisme en cas de demande relative à leurs données personnelles. 

Le DPO doit pouvoir agir en toute indépendance et exercer ses fonctions sans conflits d’intérêts en cas de cumul de sa qualité de DPO et d’un autre poste. À ce titre, il ne doit pas recevoir d’instructions dans le cadre de l’exercice de ses missions de DPO. De même, il ne peut être sanctionné ou relevé de ses fonctions pour l’exercice de ses missions. 

Qui peut être DPO ? 

Le DPO peut être : 

  • interne : un salarié ;
  • externe à votre entreprise (prestataire, avocat, etc.).

 Un DPO unique peut être désigné pour toutes les entités d’un groupe d’entreprises ou pour plusieurs organismes publics. 

Il doit être désigné sur la base de ses compétences en matière de protection des données et doit exercer ses fonctions de DPO sans conflit d’intérêt.

Exemple

Un dirigeant, un DSI ou un RSSI ne peut être DPO de leur entreprise.

Le délégué à la protection des données est également soumis à une obligation de confidentialité. 

Formellement, la désignation d’un DPO doit être notifiée via le téléservice de gestion des DPO de la CNIL.

Enfin, le RGPD exige que le DPO soit en mesure d’exercer ses missions. Il doit ainsi être associé à toutes les questions relatives à la protection des données et faire rapport au plus haut niveau de direction, y compris s’il s’agit d’un DPO externe. 

Dans quels cas la désignation d’un DPO est-elle obligatoire ? 

Toutes les entreprises et les organismes ne sont pas tenus de désigner un DPO. Le RGPD retient ainsi trois cas dans lesquels la désignation d’un DPO est obligatoire : 

1/ L’entité concernée est une autorité ou un organisme public 

La désignation d’un DPO est obligatoire quelle que soit la taille de l’organisme ou le volume de données traitées. 

Sont notamment concernés les administrations, les collectivités territoriales (dont les communes), les hôpitaux publics, voire certaines entreprises délégataires de service public. 

2/ Les activités de base de l’entité concernée consistent à réaliser des traitements de données personnelles qui nécessitent « un suivi régulier et systématique à grande échelle » des personnes concernées. 

Les activités de base s’entendent des activités essentielles de votre entreprise : 

  • fourniture d’une solution logicielle ;
  • production ;
  • vente ;
  • prestation de service ;
  • etc. 

Le suivi régulier et systématique des personnes concernées vise notamment les activités suivantes : 

  • Certaines activités de marketing fondées sur des données : reciblage par courrier électronique, programmes de fidélité, publicité comportementale, etc.
  • Profilage ou notation : pour octroyer des crédits, prévenir la fraude ou lutter contre le blanchiment.
  • Géolocalisation : notamment par des applications mobiles.
  • Fourniture d’accès à internet ou exploitation d’un réseau de télécommunication. 

La désignation d’un DPO est obligatoire lorsqu’un tel suivi est réalisé « à grande échelle » :

  • lorsqu’un nombre élevé de personnes sont concernées ;
  • lorsque le volume de données est important ;
  • lorsque la durée du traitement de données est longue. 

3/ Les activités de base de l’entité concernée consistent à traiter des données sensibles à large échelle. 

Sont concernés les organismes qui traitent les catégories de données suivantes, considérées comme sensibles ou particulières, parmi lesquelles les données : 

  • de santé ;
  • biométriques ou génétiques ;
  • relatives à l’appartenance syndicale, aux opinions politiques, aux convictions religieuses ou à la vie sexuelle ;
  • relatives aux condamnations et infractions pénales. 

Là encore, ces données doivent être traitées dans le cadre des activités de base de l’organisme et à large échelle (volume de données, nombre de personnes concernées, etc.). 

En pratique, il s’agira notamment : 

  • d’organismes du secteur médical : laboratoires d’analyses ou de recherche, assurances santé, plateformes de téléconsultation, etc. 
  • des associations ou des structures du secteur social.

La désignation facultative d’un délégué à la protection des données 

En dehors des trois cas dans lesquels la désignation d’un DPO est obligatoire, il est possible de désigner un DPO volontairement. 

En effet, les entreprises et autres organismes qui ne doivent pas obligatoirement désigner un DPO sont malgré tout tenus de respecter pleinement le RGPD. 

Nommer un DPO peut ainsi leur permettre de piloter plus efficacement leur mise en conformité. Il peut aussi s’agir d’un gage de confiance envers les clients, notamment en cas de demandes relatives à la protection des données. 

Enfin, la désignation d’un DPO peut aussi être une preuve de sérieux, en particulier lorsqu’une entreprise réalise des traitements de données personnelles pour le compte de ses clients. C’est par exemple le cas des éditeurs de solutions logicielles en mode SaaS lorsque celles-ci sont utilisées pour traiter des données personnelles (CRM, logiciels RH, etc.). 

Bon à savoir

Les éditeurs SaaS peuvent être sous-traitants au sens du RGPD : ils traitent des données pour le compte et sur les instructions du responsable de traitement, c’est-à-dire leur client.

La désignation d’un DPO : assurer la gouvernance de votre conformité RGPD

Le DPO est le pilote des bonnes pratiques de conformité RGPD. Sa désignation, qu’elle soit obligatoire ou facultative, permet ainsi d’assurer une gouvernance claire et efficace. De la même façon, elle permet de limiter les risques liés aux traitements des données.

Legal Spot Avocats vous accompagne dans le respect de vos obligations en matière de protection des données et peut être désigné en tant que délégué à la protection des données externes. Contactez-nous. 

No items found.

Vous avez aimé cet article ? vous aimerez peut-être aussi

Plus d'articles très prochainement
logo Legal spot, cabinet d'avocats Lille
Expertises
CABINET
OFFRES
RESSOURCES
CONTACTEZ-NOUS
Icon Linkedin

33 Bd du Général Leclerc, 59000 Roubaix

Mentions légalesPolitique de confidentialité
Copyright 2022 - Legal Spot
Création de site internet pour architectes