RGPD
Depuis l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018, la fonction de Délégué à la Protection des Données (DPO, ou Data Protection Officer ) s'est imposée comme un pivot central de la conformité numérique. Pourtant, beaucoup de dirigeants de TPE, PME et sta
Temps de lecture :
7 min
Depuis l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018, la fonction de Délégué à la Protection des Données (DPO, ou Data Protection Officer) s'est imposée comme un pivot central de la conformité numérique. Pourtant, beaucoup de dirigeants de TPE, PME et startups ignorent encore s'ils sont réellement obligés de désigner un DPO, ce que cette personne fait concrètement, et ce que cela coûte.
En 2025, la CNIL a prononcé 83 sanctions pour un montant record de 486 millions d'euros d'amendes tous secteurs confondus. PME, associations, collectivités : aucune structure n'est à l'abri. Comprendre les enjeux liés au DPO, c'est protéger son entreprise avant qu'il ne soit trop tard.
Cet article vous donne une lecture claire, juridiquement fiable et concrète de ce que recouvre la fonction de DPO, qui est concerné, quelles sont ses missions légales, comment éviter les pièges courants et quel budget prévoir selon la taille de votre structure.
Le DPO est la figure centrale de la conformité en matière de protection des données personnelles au sein d'une organisation. Il est prévu et encadré par les articles 37, 38 et 39 du RGPD, ainsi que par la loi Informatique et Libertésdans sa version modifiée par l'ordonnance du 12 décembre 2018.
Sa mission première est de piloter la conformité de l'organisation au RGPD : il informe, conseille, contrôle, documente et fait le lien avec la CNIL. La CNIL elle-même le décrit comme le "chef d'orchestre" de la protection des données au sein de l'entité qui l'a désigné.
Contrairement à ce que l'on croit souvent, le DPO n'est pas un responsable informatique, ni un simple juriste. Il réunit des compétences croisées : droit des données personnelles, sécurité informatique, gestion des risques, communication interne. C'est un profil hybride, de plus en plus recherché, qui intervient à l'intersection du juridique, du technique et de l'organisationnel.
Oui. La fonction de DPO a succédé à celle de Correspondant Informatique et Libertés (CIL), qui existait sous l'ancien régime de la loi Informatique et Libertés de 1978. Le DPO dispose toutefois de pouvoirs et d'obligations nettement renforcés, notamment en matière d'indépendance, de ressources allouées et de traçabilité documentaire.
C'est souvent la première question que posent les dirigeants. La réponse est précise : l'article 37 du RGPD définit trois situations dans lesquelles la désignation d'un DPO est obligatoire.
L'obligation s'impose dans les cas suivants :
En dehors de ces trois cas, la désignation reste fortement recommandée par la CNIL pour toute entreprise manipulant un volume significatif de données personnelles, notamment dans les secteurs du e-commerce, des ressources humaines, de la finance et du marketing digital.
Dans la pratique, la réponse est souvent oui. Désigner un DPO, même à titre volontaire, envoie un signal fort à la CNIL, à vos clients et à vos partenaires commerciaux. C'est aussi un moyen de structurer votre démarche de mise en conformité et d'éviter les erreurs coûteuses qui font l'objet de sanctions croissantes.
À noter : début 2024, plus de 34 000 DPO étaient désignés en France auprès de la CNIL, contre 21 000 en 2019, soit une progression de 62 % en cinq ans. Cette dynamique traduit une prise de conscience réelle du tissu entrepreneurial.
Les missions du DPO sont définies à l'article 39 du RGPD. Elles sont larges, exigeantes et non délégables à une personne qui n'aurait pas les compétences requises.
1. Informer et conseiller l'organisme et ses employés sur leurs obligations en matière de protection des données. Cela inclut la sensibilisation des équipes, la rédaction de notes internes, la formation des collaborateurs aux bonnes pratiques.
2. Contrôler le respect du RGPD et du droit national, notamment la loi Informatique et Libertés. Le DPO veille à la bonne tenue du registre des traitements (obligatoire pour tout responsable de traitement, en application de l'article 30 du RGPD), à la légitimité des bases légales retenues, au respect des droits des personnes.
3. Conseiller sur les analyses d'impact (AIPD ou DPIA, pour Data Protection Impact Assessment) et en vérifier l'exécution. Lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, une AIPD est obligatoire avant la mise en oeuvre du traitement (article 35 du RGPD).
4. Être le point de contact des personnes concernées, c'est-à-dire répondre aux demandes d'exercice des droits : droit d'accès, droit de rectification, droit à l'effacement ("droit à l'oubli"), droit à la portabilité, droit d'opposition.
5. Coopérer avec la CNIL et servir d'interlocuteur privilégié en cas de contrôle, de plainte ou de procédure de sanction. En cas de violation de données personnelles, le DPO coordonne la notification à la CNIL, qui doit intervenir dans un délai de 72 heures (article 33 du RGPD).
La question de l'indépendance du DPO est centrale. L'article 38 du RGPD garantit que le DPO ne peut pas recevoir d'instructions de la direction concernant l'exercice de ses missions. Il ne peut pas non plus être sanctionné ou révoqué en raison de l'exercice de ses fonctions.
Surtout, le DPO ne peut pas être "juge et partie" : il ne peut pas exercer simultanément des fonctions qui conduisent à déterminer les finalités et les moyens d'un traitement de données. En pratique, cela signifie qu'un directeur des systèmes d'information (DSI), un directeur marketing ou un directeur des ressources humaines ne peut généralement pas cumuler ces fonctions avec celle de DPO.
Exemple concret : Une PME e-commerce désigne son responsable informatique comme DPO pour économiser des coûts. Ce responsable gère également les bases de données clients et décide des outils CRM utilisés. Ce cumul de fonctions crée un conflit d'intérêts explicitement interdit par le RGPD et expose l'entreprise à une sanction de la CNIL en cas de contrôle.
C'est un point souvent mal compris. Le DPO ne porte pas personnellement la responsabilité juridique des manquements au RGPD. Cette responsabilité incombe au responsable de traitement, c'est-à-dire à l'entreprise elle-même et à sa direction.
En revanche, le DPO engage sa responsabilité contractuelle s'il n'exerce pas ses missions conformément à son mandat. Un DPO externe engage également sa responsabilité professionnelle au titre du contrat de prestation de services qui le lie à l'entreprise.
Les risques sont sérieux et documentés :
En 2024, la CNIL a mené plus de 340 contrôles et plusieurs dizaines de sanctions ont dépassé le million d'euros. Les PME ne sont plus épargnées.
Pour aller plus loin
Le DPO informe et conseille l'organisation, contrôle le respect du RGPD, conseille sur les analyses d'impact, coopère avec la CNIL et en est le point de contact. Pivot de la conformité numérique, il joue un rôle central depuis l'entrée en vigueur du RGPD.
La désignation est obligatoire pour les organismes publics et les entreprises dont l'activité implique un suivi régulier et systématique des personnes à grande échelle, ou le traitement de données sensibles. Aucune structure, PME, association ou collectivité, n'est par principe à l'abri.
Le coût dépend du choix entre DPO interne et externe, du volume des traitements et du niveau d'accompagnement. Le DPO externe permet de mutualiser l'expertise sans supporter un poste à temps plein, ce qui est souvent adapté aux TPE, PME et startups.
En 2025, la CNIL a prononcé 83 sanctions pour un montant record de 486 millions d'euros, tous secteurs confondus. Ce bilan montre qu'aucune structure n'est à l'abri et souligne l'enjeu de la conformité, à laquelle le DPO contribue.
Oui. PME, associations et collectivités sont concernées par les sanctions de la CNIL. Aucune structure n'est à l'abri, ce qui rend la compréhension des enjeux liés au DPO essentielle pour protéger son entreprise avant qu'il ne soit trop tard.
Oui. Une entreprise peut désigner un DPO externe, ce qui permet de bénéficier d'une expertise mutualisée sans le coût d'un poste à temps plein. Cette option est souvent adaptée aux TPE, PME et startups soumises aux obligations du RGPD.
Le DPO assure ses missions en toute indépendance et veille à la conformité de l'organisation. Sa responsabilité s'exerce dans son rôle de conseil et de contrôle, la responsabilité du traitement restant au responsable de traitement. Sa fonction reste un pivot de la conformité.
Un avocat aide à déterminer l'obligation de désigner un DPO, à arbitrer entre interne et externe, et à sécuriser la conformité. Un avocat peut aussi exercer la fonction de DPO, combinant suivi opérationnel et expertise juridique.
Vous avez encore des questions ?
Notre équipe est à disposition !
Une question ?

Ressources
Aller plus loin