DPO : faut-il désigner un délégué à la protection des données ?
Le Délégué à la Protection des Données, ou DPO, veille au respect du RGPD au sein d'une organisation. Sa désignation est obligatoire dans des cas précis fixés par le règlement, et recommandée dans bien d'autres situations, même en l'absence d'obligation légale stricte. La CNIL tient un registre public des DPO désignés, que toute organisation soumise à l'obligation doit lui notifier.
Quand la désignation d'un DPO est-elle obligatoire ?
- L'organisme est une autorité ou un organisme public.
- L'activité de base de l'organisation implique un suivi régulier et systématique des personnes à grande échelle.
- L'activité de base de l'organisation porte sur le traitement à grande échelle de données sensibles (santé, origine raciale, opinions politiques…) ou de données relatives à des condamnations pénales.
Le rôle du DPO
| Mission | Description |
|---|---|
| Conseil | Informer et conseiller l'organisation sur ses obligations RGPD |
| Contrôle | Vérifier le respect du règlement et des politiques internes |
| Point de contact | Être l'interlocuteur de la CNIL et des personnes concernées |
| Analyse d'impact | Conseiller sur la réalisation des analyses d'impact relatives à la protection des données (AIPD) |
DPO interne ou externe ?
Une PME peut désigner un salarié en interne, à condition qu'il ait les compétences nécessaires et ne soit pas en situation de conflit d'intérêts : un DPO ne peut pas être en même temps le responsable informatique qui décide seul des traitements, par exemple, ce qui exclut de fait cette option dans beaucoup de petites structures où l'IT et la conformité reposent sur la même personne. Le recours à un DPO externe mutualisé règle ce problème, mais représente un coût récurrent à mettre en balance avec le volume réel de traitements à risque : pour une entreprise aux traitements simples, cette dépense peut être disproportionnée par rapport au risque effectif.
Et si la désignation n'est pas obligatoire ?
Même sans obligation légale, désigner un référent RGPD en interne, formé aux bases du règlement, permet de structurer la conformité et d'éviter que le sujet ne soit traité par personne. C'est souvent une première étape avant, le cas échéant, la désignation d'un DPO à part entière.
Diagnostic RGPD·Voir un aperçu du diagnostic
Déterminer si l'organisation entre réellement dans un cas de désignation obligatoire évite deux écueils symétriques : se priver d'un DPO alors que le règlement l'impose, ou en désigner un par prudence excessive alors qu'un simple référent interne suffirait largement.
Diagnostic associé
Prêt à évaluer votre organisation ?
Essayer gratuitement