+33 1 87 66 90 27
Prendre RDV
+33 6 51 88 00 67
Prendre RDV
Prendre RDV
Icône téléphone
RGPD

DPO RGPD : missions, responsabilités et coût réel pour une entreprise

  • 11 minutes de lecture

Sommaire

Prendre RDV
 

Call Me

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018, la fonction de Délégué à la Protection des Données (DPO, ou Data Protection Officer) s’est imposée comme un pivot central de la conformité numérique. Pourtant, beaucoup de dirigeants de TPE, PME et startups ignorent encore s’ils sont réellement obligés de désigner un DPO, ce que cette personne fait concrètement, et ce que cela coûte.

En 2025, la CNIL a prononcé 83 sanctions pour un montant record de 486 millions d’euros d’amendes tous secteurs confondus. PME, associations, collectivités : aucune structure n’est à l’abri. Comprendre les enjeux liés au DPO, c’est protéger son entreprise avant qu’il ne soit trop tard.

Cet article vous donne une lecture claire, juridiquement fiable et concrète de ce que recouvre la fonction de DPO, qui est concerné, quelles sont ses missions légales, comment éviter les pièges courants et quel budget prévoir selon la taille de votre structure.

Qu’est-ce qu’un DPO et quelle est sa place dans le RGPD ?

Le DPO est la figure centrale de la conformité en matière de protection des données personnelles au sein d’une organisation. Il est prévu et encadré par les articles 37, 38 et 39 du RGPD, ainsi que par la loi Informatique et Libertésdans sa version modifiée par l’ordonnance du 12 décembre 2018.

Sa mission première est de piloter la conformité de l’organisation au RGPD : il informe, conseille, contrôle, documente et fait le lien avec la CNIL. La CNIL elle-même le décrit comme le « chef d’orchestre » de la protection des données au sein de l’entité qui l’a désigné.

Contrairement à ce que l’on croit souvent, le DPO n’est pas un responsable informatique, ni un simple juriste. Il réunit des compétences croisées : droit des données personnelles, sécurité informatique, gestion des risques, communication interne. C’est un profil hybride, de plus en plus recherché, qui intervient à l’intersection du juridique, du technique et de l’organisationnel.

Le DPO remplace-t-il le Correspondant Informatique et Libertés (CIL) ?

Oui. La fonction de DPO a succédé à celle de Correspondant Informatique et Libertés (CIL), qui existait sous l’ancien régime de la loi Informatique et Libertés de 1978. Le DPO dispose toutefois de pouvoirs et d’obligations nettement renforcés, notamment en matière d’indépendance, de ressources allouées et de traçabilité documentaire.

Qui est obligé de désigner un DPO ?

C’est souvent la première question que posent les dirigeants. La réponse est précise : l’article 37 du RGPD définit trois situations dans lesquelles la désignation d’un DPO est obligatoire.

Quels types d’organismes sont concernés par l’obligation de désigner un DPO ?

L’obligation s’impose dans les cas suivants :

  • Les autorités et organismes publics (à l’exception des juridictions dans l’exercice de leurs fonctions),
  • Les organismes dont l’activité de base consiste à réaliser un suivi régulier et systématique des personnes à grande échelle (par exemple : profilage marketing, plateformes de e-commerce traitant des millions d’utilisateurs, opérateurs de télécommunications),
  • Les organismes dont l’activité de base consiste à traiter à grande échelle des données sensibles (données de santé, données biométriques, données relatives à des condamnations pénales, données révélant l’origine ethnique ou les opinions politiques, etc.).

En dehors de ces trois cas, la désignation reste fortement recommandée par la CNIL pour toute entreprise manipulant un volume significatif de données personnelles, notamment dans les secteurs du e-commerce, des ressources humaines, de la finance et du marketing digital.

Mon entreprise n’est pas dans un cas d’obligation : faut-il quand même désigner un DPO ?

Dans la pratique, la réponse est souvent oui. Désigner un DPO, même à titre volontaire, envoie un signal fort à la CNIL, à vos clients et à vos partenaires commerciaux. C’est aussi un moyen de structurer votre démarche de mise en conformité et d’éviter les erreurs coûteuses qui font l’objet de sanctions croissantes.

À noter : début 2024, plus de 34 000 DPO étaient désignés en France auprès de la CNIL, contre 21 000 en 2019, soit une progression de 62 % en cinq ans. Cette dynamique traduit une prise de conscience réelle du tissu entrepreneurial.

Quelles sont les missions légales du DPO ?

Les missions du DPO sont définies à l’article 39 du RGPD. Elles sont larges, exigeantes et non délégables à une personne qui n’aurait pas les compétences requises.

Quelles sont les cinq grandes missions du DPO prévues par le RGPD ?

1. Informer et conseiller l’organisme et ses employés sur leurs obligations en matière de protection des données. Cela inclut la sensibilisation des équipes, la rédaction de notes internes, la formation des collaborateurs aux bonnes pratiques.

2. Contrôler le respect du RGPD et du droit national, notamment la loi Informatique et Libertés. Le DPO veille à la bonne tenue du registre des traitements (obligatoire pour tout responsable de traitement, en application de l’article 30 du RGPD), à la légitimité des bases légales retenues, au respect des droits des personnes.

3. Conseiller sur les analyses d’impact (AIPD ou DPIA, pour Data Protection Impact Assessment) et en vérifier l’exécution. Lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, une AIPD est obligatoire avant la mise en oeuvre du traitement (article 35 du RGPD).

4. Être le point de contact des personnes concernées, c’est-à-dire répondre aux demandes d’exercice des droits : droit d’accès, droit de rectification, droit à l’effacement (« droit à l’oubli »), droit à la portabilité, droit d’opposition.

5. Coopérer avec la CNIL et servir d’interlocuteur privilégié en cas de contrôle, de plainte ou de procédure de sanction. En cas de violation de données personnelles, le DPO coordonne la notification à la CNIL, qui doit intervenir dans un délai de 72 heures (article 33 du RGPD).

Qu’est-ce que le DPO ne peut pas faire ?

La question de l’indépendance du DPO est centrale. L’article 38 du RGPD garantit que le DPO ne peut pas recevoir d’instructions de la direction concernant l’exercice de ses missions. Il ne peut pas non plus être sanctionné ou révoqué en raison de l’exercice de ses fonctions.

Surtout, le DPO ne peut pas être « juge et partie » : il ne peut pas exercer simultanément des fonctions qui conduisent à déterminer les finalités et les moyens d’un traitement de données. En pratique, cela signifie qu’un directeur des systèmes d’information (DSI), un directeur marketing ou un directeur des ressources humaines ne peut généralement pas cumuler ces fonctions avec celle de DPO.

Exemple concret : Une PME e-commerce désigne son responsable informatique comme DPO pour économiser des coûts. Ce responsable gère également les bases de données clients et décide des outils CRM utilisés. Ce cumul de fonctions crée un conflit d’intérêts explicitement interdit par le RGPD et expose l’entreprise à une sanction de la CNIL en cas de contrôle.

Quelles sont les responsabilités du DPO en cas de manquement ?

C’est un point souvent mal compris. Le DPO ne porte pas personnellement la responsabilité juridique des manquements au RGPD. Cette responsabilité incombe au responsable de traitement, c’est-à-dire à l’entreprise elle-même et à sa direction.

En revanche, le DPO engage sa responsabilité contractuelle s’il n’exerce pas ses missions conformément à son mandat. Un DPO externe engage également sa responsabilité professionnelle au titre du contrat de prestation de services qui le lie à l’entreprise.

Que risque une entreprise qui ne désigne pas de DPO alors qu’elle y est obligée ?

Les risques sont sérieux et documentés :

  • Une amende administrative pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial(selon le montant le plus élevé),
  • Une mise en demeure ou une injonction de désignation assortie d’un délai contraignant,
  • Une surveillance renforcée de la CNIL, avec un risque accru de contrôle étendu portant sur d’autres aspects de la conformité,
  • Une atteinte à la réputation de l’entreprise auprès de ses clients, partenaires et prestataires.

En 2024, la CNIL a mené plus de 340 contrôles et plusieurs dizaines de sanctions ont dépassé le million d’euros. Les PME ne sont plus épargnées.

Tableau récapitulatif : DPO obligatoire ou recommandé selon le profil de l’entreprise

Obligation de DPO selon le profil d’entreprise

Obligation de DPO selon le profil d’entreprise

Sélectionnez un profil pour découvrir les obligations et recommandations en matière de désignation d’un délégué à la protection des données.

Choisir un profil

DPO interne ou DPO externe : quelle option choisir pour votre entreprise ?

Le RGPD autorise deux modalités de désignation : le DPO peut être un salarié de l'organisation (DPO interne) ou un prestataire externe désigné sur la base d'un contrat de services (DPO externe ou externalisé). Dans les deux cas, il doit être formellement désigné auprès de la CNIL via le téléservice dédié (article 37.7 du RGPD).

Quels sont les avantages du DPO externe par rapport au DPO interne ?

Le DPO interne présente l'avantage d'une connaissance approfondie de l'organisation, de sa culture et de ses systèmes. Mais il implique un recrutement exigeant, un coût salarial élevé et les risques de conflits d'intérêts décrits plus haut.

Le DPO externe présente plusieurs atouts pratiques pour les TPE/PME :

  • Aucune charge salariale fixe : la facturation est basée sur les besoins réels,
  • Indépendance totale garantie vis-à-vis de la direction,
  • Expertise actualisée en continu sur l'évolution du RGPD, des lignes directrices du Comité européen de la protection des données (CEPD) et des décisions de la CNIL,
  • Flexibilité : forfait mensuel, mission ponctuelle, accompagnement renforcé en cas d'incident.

Quel est le coût réel d'un DPO pour une entreprise ?

C'est la question qui revient le plus souvent, et pour cause : le budget varie considérablement selon la taille de l'entreprise, la complexité des traitements et le mode de désignation retenu.

Combien coûte un DPO interne ?

Le salaire médian d'un DPO en France se situe entre 50 000 et 70 000 euros brut annuels selon les sources (Glassdoor, Journal du Net). Un profil senior peut dépasser 85 000 euros brut. En intégrant les charges patronales (environ 45 %), les frais de formation continue obligatoires (article 38.2 du RGPD) et l'accès à un logiciel de conformité RGPD, le coût annuel chargé complet d'un DPO interne se situe généralement entre 70 000 et 120 000 euros par an.

Pour une PME de 50 à 200 salariés, le volume de travail RGPD récurrent (hors mise en conformité initiale) représente rarement plus de 2 à 5 jours par mois. Un poste à temps plein est donc difficilement justifiable économiquement pour ce type de structure.

Combien coûte un DPO externe ou externalisé ?

Si cela est fait par une structure autre qu'un cabinet d'avocats, les tarifs du marché peuvent être les suivants pour un DPO externalisé :

  • TPE (moins de 15 salariés) : à partir de 150 à 300 euros HT par mois,
  • PME (15 à 50 salariés) : entre 400 et 800 euros HT par mois,
  • PME de taille moyenne (50 à 200 salariés) : entre 500 et 1 500 euros HT par mois, soit 6 000 à 18 000 euros par an,
  • Mission initiale de mise en conformité complète (audit, cartographie, rédaction des documents) : entre 5 000 et 20 000 euros selon la complexité, pouvant atteindre 50 000 euros pour des structures importantes.

Les tarifs varient beaucoup selon la typologie de votre secteur et de votre typologie de données.

Pour un audit ponctuel ou une mission de conseil, les tarifs journaliers d'un DPO externe expérimenté oscillent entre 800 et 1 200 euros HT par jour.

À retenir : l'économie réalisée par rapport à un recrutement interne est significative : elle peut représenter 50 000 à 100 000 euros par an pour une PME de taille moyenne. Surtout, le DPO externe facturable n'engage pas de charges sociales, ne génère pas de coûts de formation interne et reste substituable sans procédure de licenciement.

DPO interne vs DPO externe

DPO Interne ou DPO Externe : comparaison

DPO Interne ou DPO Externe : comparaison point par point

Sélectionnez un critère pour comparer les deux options et identifier la solution la mieux adaptée à votre structure.

Choisir un critère de comparaison

Quels sont les documents obligatoires que le DPO doit produire et maintenir ?

La conformité au RGPD repose sur une logique de preuve (principe d'accountability, article 5.2 du RGPD). En cas de contrôle, l'absence de documentation est souvent plus pénalisante que l'absence de mesures elles-mêmes.

Le DPO est responsable de la production et de la mise à jour des documents suivants :

  • Le registre des traitements (article 30 du RGPD) : recense tous les traitements de données personnelles mis en oeuvre par l'organisme, leurs bases légales, les catégories de données traitées, les durées de conservation et les destinataires.
  • Les analyses d'impact sur la protection des données (AIPD) pour les traitements à risque élevé.
  • La politique de confidentialité accessible aux utilisateurs (site web, application mobile).
  • Les mentions légales et mentions d'information conformes aux articles 13 et 14 du RGPD.
  • Les contrats de sous-traitance incluant les clauses obligatoires de l'article 28 du RGPD avec les prestataires traitant des données pour le compte de l'entreprise (hébergeurs, CRM, outils d'emailing, etc.).
  • La procédure de gestion des violations de données permettant de respecter le délai de notification de 72 heures à la CNIL.
  • La procédure de gestion des droits des personnes (délai de réponse d'un mois, article 12 du RGPD).

Exemple concret : Un éditeur de logiciel SaaS confie le traitement des données de ses clients à trois prestataires cloud. Sans clause de sous-traitance conforme à l'article 28 du RGPD dans ses contrats, il engage sa responsabilité en cas de fuite de données, même si la faille provient du prestataire. C'est le DPO qui doit auditer ces contrats et exiger les clauses manquantes.

Comment le DPO gère-t-il une violation de données personnelles ?

La violation de données personnelles est l'un des scénarios les plus redoutés et les plus fréquents : cyberattaque, erreur humaine (envoi de données au mauvais destinataire), perte de matériel contenant des données non chiffrées.

En cas de violation, le DPO joue un rôle opérationnel central :

  1. Il reçoit l'alerte de l'équipe technique ou du RSSI,
  2. Il évalue la gravité de la violation et la probabilité de risque pour les personnes concernées,
  3. Si le risque est avéré, il notifie la CNIL dans les 72 heures (article 33 du RGPD),
  4. Si le risque est élevé, il informe directement les personnes concernées (article 34 du RGPD),
  5. Il documente la violation dans un registre interne, même en l'absence d'obligation de notification.

La mauvaise gestion d'une violation de données est l'une des causes les plus fréquentes de sanctions aggravées par la CNIL. L'absence de notification dans les délais peut transformer une sanction mineure en procédure lourde.

Quel est le rôle du DPO face à l'intelligence artificielle et aux nouvelles technologies ?

En 2025, le métier de DPO connaît une profonde mutation. Avec l'entrée en vigueur progressive de l'AI Act européen, les organisations qui déploient des systèmes d'intelligence artificielle traitant des données personnelles doivent désormais évaluer les risques croisés entre le RGPD et les nouvelles obligations du règlement sur l'IA.

Le DPO est l'interlocuteur naturel pour cette articulation. Il travaille en étroite collaboration avec le RSSI (Responsable de la Sécurité des Systèmes d'Information) sur les questions de cybersécurité, intègre les exigences de "privacy by design"(protection des données dès la conception, article 25 du RGPD) dans les projets numériques, et veille à ce que les outils d'IA utilisés par l'entreprise respectent les droits des personnes.

Comment le cabinet Mirabile Avocat accompagne-t-il les entreprises sur les enjeux DPO et RGPD ?

Le cabinet Mirabile Avocat intervient aux côtés des dirigeants de TPE, PME, startups et acteurs du numérique à chaque étape de leur démarche de conformité.

Analyse et diagnostic initial

Avant toute décision, le cabinet réalise un audit juridique de vos traitements de données : identification des traitements existants, évaluation des risques, vérification des bases légales, analyse des contrats de sous-traitance. Cet état des lieux permet de déterminer si la désignation d'un DPO est obligatoire, et de prioriser les actions à mener.

Rédaction et sécurisation des documents contractuels

Le cabinet rédige l'ensemble des documents imposés par le RGPD : registre des traitements, politique de confidentialité, mentions légales, clauses de sous-traitance conformes à l'article 28, procédures internes de gestion des droits et des violations. Ces documents constituent votre bouclier documentaire en cas de contrôle de la CNIL.

Accompagnement en cas de contrôle ou de litige

Si votre entreprise fait l'objet d'un contrôle de la CNIL, d'une plainte d'un salarié ou d'un client, ou d'une procédure de sanction, le cabinet Mirabile Avocat assure votre défense et vous accompagne dans toutes les étapes de la procédure contradictoire.

Mission de DPO externe

Le cabinet peut également exercer la fonction de DPO externe pour le compte de votre organisation, en tant que prestataire juridique spécialisé. Cette mission comprend la désignation formelle auprès de la CNIL, le pilotage de la conformité, la gestion des droits des personnes et la veille réglementaire continue.

Ce qu'il faut retenir

Le DPO n'est pas un luxe réservé aux grandes entreprises. C'est un acteur stratégique de la conformité numérique, dont le rôle s'élargit chaque année face à la multiplication des risques cyber et réglementaires.

Désigner un DPO compétent et indépendant, c'est :

  • Réduire drastiquement le risque de sanction de la CNIL,
  • Renforcer la confiance de vos clients et partenaires,
  • Structurer durablement votre organisation autour de la protection des données,
  • Anticiper les obligations futures liées à l'AI Act et à l'évolution du droit numérique européen.

Pour les TPE et PME, le DPO externe représente la solution la plus adaptée : elle concilie expertise, indépendance et maîtrise des coûts, avec un tarif mensuel souvent inférieur à celui d'une amende de la CNIL pour un simple manquement documentaire.

Cet article a été rédigé à des fins d'information générale. Il ne constitue pas un conseil juridique personnalisé. Pour toute question relative à votre situation spécifique, prenez contact avec le cabinet Mirabile Avocat.

Textes de référence : Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), articles 37, 38, 39 ; Loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ; Lignes directrices du Comité européen de la protection des données (CEPD) sur les DPO ; Guide du DPO publié par la CNIL.

Articles associés

Contact

On s'écrit ? Parlez-moi de vos projets.

Links

Contact

© 2025 Romain Mirabile Avocat. Tous droits réservés.

Conception du site Web par Atlantis Marketing