RGPD

DPO RGPD : missions, responsabilités et coût réel pour une entreprise

Depuis l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018, la fonction de Délégué à la Protection des Données (DPO, ou Data Protection Officer ) s'est imposée comme un pivot central de la conformité numérique. Pourtant, beaucoup de dirigeants de TPE, PME et sta

Sommaire
Organiser un échange

Temps de lecture :

7 min

Depuis l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018, la fonction de Délégué à la Protection des Données (DPO, ou Data Protection Officer) s'est imposée comme un pivot central de la conformité numérique. Pourtant, beaucoup de dirigeants de TPE, PME et startups ignorent encore s'ils sont réellement obligés de désigner un DPO, ce que cette personne fait concrètement, et ce que cela coûte.

En 2025, la CNIL a prononcé 83 sanctions pour un montant record de 486 millions d'euros d'amendes tous secteurs confondus. PME, associations, collectivités : aucune structure n'est à l'abri. Comprendre les enjeux liés au DPO, c'est protéger son entreprise avant qu'il ne soit trop tard.

Cet article vous donne une lecture claire, juridiquement fiable et concrète de ce que recouvre la fonction de DPO, qui est concerné, quelles sont ses missions légales, comment éviter les pièges courants et quel budget prévoir selon la taille de votre structure.

Qu'est-ce qu'un DPO et quelle est sa place dans le RGPD ?

Le DPO est la figure centrale de la conformité en matière de protection des données personnelles au sein d'une organisation. Il est prévu et encadré par les articles 37, 38 et 39 du RGPD, ainsi que par la loi Informatique et Libertésdans sa version modifiée par l'ordonnance du 12 décembre 2018.

Sa mission première est de piloter la conformité de l'organisation au RGPD : il informe, conseille, contrôle, documente et fait le lien avec la CNIL. La CNIL elle-même le décrit comme le "chef d'orchestre" de la protection des données au sein de l'entité qui l'a désigné.

Contrairement à ce que l'on croit souvent, le DPO n'est pas un responsable informatique, ni un simple juriste. Il réunit des compétences croisées : droit des données personnelles, sécurité informatique, gestion des risques, communication interne. C'est un profil hybride, de plus en plus recherché, qui intervient à l'intersection du juridique, du technique et de l'organisationnel.

Le DPO remplace-t-il le Correspondant Informatique et Libertés (CIL) ?

Oui. La fonction de DPO a succédé à celle de Correspondant Informatique et Libertés (CIL), qui existait sous l'ancien régime de la loi Informatique et Libertés de 1978. Le DPO dispose toutefois de pouvoirs et d'obligations nettement renforcés, notamment en matière d'indépendance, de ressources allouées et de traçabilité documentaire.

Qui est obligé de désigner un DPO ?

C'est souvent la première question que posent les dirigeants. La réponse est précise : l'article 37 du RGPD définit trois situations dans lesquelles la désignation d'un DPO est obligatoire.

Quels types d'organismes sont concernés par l'obligation de désigner un DPO ?

L'obligation s'impose dans les cas suivants :

  • Les autorités et organismes publics (à l'exception des juridictions dans l'exercice de leurs fonctions),
  • Les organismes dont l'activité de base consiste à réaliser un suivi régulier et systématique des personnes à grande échelle (par exemple : profilage marketing, plateformes de e-commerce traitant des millions d'utilisateurs, opérateurs de télécommunications),
  • Les organismes dont l'activité de base consiste à traiter à grande échelle des données sensibles (données de santé, données biométriques, données relatives à des condamnations pénales, données révélant l'origine ethnique ou les opinions politiques, etc.).

En dehors de ces trois cas, la désignation reste fortement recommandée par la CNIL pour toute entreprise manipulant un volume significatif de données personnelles, notamment dans les secteurs du e-commerce, des ressources humaines, de la finance et du marketing digital.

Mon entreprise n'est pas dans un cas d'obligation : faut-il quand même désigner un DPO ?

Dans la pratique, la réponse est souvent oui. Désigner un DPO, même à titre volontaire, envoie un signal fort à la CNIL, à vos clients et à vos partenaires commerciaux. C'est aussi un moyen de structurer votre démarche de mise en conformité et d'éviter les erreurs coûteuses qui font l'objet de sanctions croissantes.

À noter : début 2024, plus de 34 000 DPO étaient désignés en France auprès de la CNIL, contre 21 000 en 2019, soit une progression de 62 % en cinq ans. Cette dynamique traduit une prise de conscience réelle du tissu entrepreneurial.

Quelles sont les missions légales du DPO ?

Les missions du DPO sont définies à l'article 39 du RGPD. Elles sont larges, exigeantes et non délégables à une personne qui n'aurait pas les compétences requises.

Quelles sont les cinq grandes missions du DPO prévues par le RGPD ?

1. Informer et conseiller l'organisme et ses employés sur leurs obligations en matière de protection des données. Cela inclut la sensibilisation des équipes, la rédaction de notes internes, la formation des collaborateurs aux bonnes pratiques.

2. Contrôler le respect du RGPD et du droit national, notamment la loi Informatique et Libertés. Le DPO veille à la bonne tenue du registre des traitements (obligatoire pour tout responsable de traitement, en application de l'article 30 du RGPD), à la légitimité des bases légales retenues, au respect des droits des personnes.

3. Conseiller sur les analyses d'impact (AIPD ou DPIA, pour Data Protection Impact Assessment) et en vérifier l'exécution. Lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, une AIPD est obligatoire avant la mise en oeuvre du traitement (article 35 du RGPD).

4. Être le point de contact des personnes concernées, c'est-à-dire répondre aux demandes d'exercice des droits : droit d'accès, droit de rectification, droit à l'effacement ("droit à l'oubli"), droit à la portabilité, droit d'opposition.

5. Coopérer avec la CNIL et servir d'interlocuteur privilégié en cas de contrôle, de plainte ou de procédure de sanction. En cas de violation de données personnelles, le DPO coordonne la notification à la CNIL, qui doit intervenir dans un délai de 72 heures (article 33 du RGPD).

Qu'est-ce que le DPO ne peut pas faire ?

La question de l'indépendance du DPO est centrale. L'article 38 du RGPD garantit que le DPO ne peut pas recevoir d'instructions de la direction concernant l'exercice de ses missions. Il ne peut pas non plus être sanctionné ou révoqué en raison de l'exercice de ses fonctions.

Surtout, le DPO ne peut pas être "juge et partie" : il ne peut pas exercer simultanément des fonctions qui conduisent à déterminer les finalités et les moyens d'un traitement de données. En pratique, cela signifie qu'un directeur des systèmes d'information (DSI), un directeur marketing ou un directeur des ressources humaines ne peut généralement pas cumuler ces fonctions avec celle de DPO.

Exemple concret : Une PME e-commerce désigne son responsable informatique comme DPO pour économiser des coûts. Ce responsable gère également les bases de données clients et décide des outils CRM utilisés. Ce cumul de fonctions crée un conflit d'intérêts explicitement interdit par le RGPD et expose l'entreprise à une sanction de la CNIL en cas de contrôle.

Quelles sont les responsabilités du DPO en cas de manquement ?

C'est un point souvent mal compris. Le DPO ne porte pas personnellement la responsabilité juridique des manquements au RGPD. Cette responsabilité incombe au responsable de traitement, c'est-à-dire à l'entreprise elle-même et à sa direction.

En revanche, le DPO engage sa responsabilité contractuelle s'il n'exerce pas ses missions conformément à son mandat. Un DPO externe engage également sa responsabilité professionnelle au titre du contrat de prestation de services qui le lie à l'entreprise.

Que risque une entreprise qui ne désigne pas de DPO alors qu'elle y est obligée ?

Les risques sont sérieux et documentés :

  • Une amende administrative pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial(selon le montant le plus élevé),
  • Une mise en demeure ou une injonction de désignation assortie d'un délai contraignant,
  • Une surveillance renforcée de la CNIL, avec un risque accru de contrôle étendu portant sur d'autres aspects de la conformité,
  • Une atteinte à la réputation de l'entreprise auprès de ses clients, partenaires et prestataires.

En 2024, la CNIL a mené plus de 340 contrôles et plusieurs dizaines de sanctions ont dépassé le million d'euros. Les PME ne sont plus épargnées.

Pour aller plus loin

Quelles sont les missions du DPO ?

Le DPO informe et conseille l'organisation, contrôle le respect du RGPD, conseille sur les analyses d'impact, coopère avec la CNIL et en est le point de contact. Pivot de la conformité numérique, il joue un rôle central depuis l'entrée en vigueur du RGPD.

Une entreprise est-elle obligée de désigner un DPO ?

La désignation est obligatoire pour les organismes publics et les entreprises dont l'activité implique un suivi régulier et systématique des personnes à grande échelle, ou le traitement de données sensibles. Aucune structure, PME, association ou collectivité, n'est par principe à l'abri.

Quel est le coût réel d'un DPO ?

Le coût dépend du choix entre DPO interne et externe, du volume des traitements et du niveau d'accompagnement. Le DPO externe permet de mutualiser l'expertise sans supporter un poste à temps plein, ce qui est souvent adapté aux TPE, PME et startups.

Quel a été le bilan des sanctions CNIL en 2025 ?

En 2025, la CNIL a prononcé 83 sanctions pour un montant record de 486 millions d'euros, tous secteurs confondus. Ce bilan montre qu'aucune structure n'est à l'abri et souligne l'enjeu de la conformité, à laquelle le DPO contribue.

Les PME sont-elles concernées par les sanctions CNIL ?

Oui. PME, associations et collectivités sont concernées par les sanctions de la CNIL. Aucune structure n'est à l'abri, ce qui rend la compréhension des enjeux liés au DPO essentielle pour protéger son entreprise avant qu'il ne soit trop tard.

Le DPO peut-il être externe ?

Oui. Une entreprise peut désigner un DPO externe, ce qui permet de bénéficier d'une expertise mutualisée sans le coût d'un poste à temps plein. Cette option est souvent adaptée aux TPE, PME et startups soumises aux obligations du RGPD.

Quelles responsabilités pèsent sur le DPO ?

Le DPO assure ses missions en toute indépendance et veille à la conformité de l'organisation. Sa responsabilité s'exerce dans son rôle de conseil et de contrôle, la responsabilité du traitement restant au responsable de traitement. Sa fonction reste un pivot de la conformité.

Un avocat est-il utile concernant la fonction de DPO ?

Un avocat aide à déterminer l'obligation de désigner un DPO, à arbitrer entre interne et externe, et à sécuriser la conformité. Un avocat peut aussi exercer la fonction de DPO, combinant suivi opérationnel et expertise juridique.

Vous avez encore des questions ?

Notre équipe est à disposition !

Une question ?

Vos informations restent strictement confidentielles.
Merci ! Nous revenons vers vous rapidement. Si vous souhaitez accélérer les choses, organisez un temps avec moi directement ici :
Organiser 15 minutes d'échange
Oops! Something went wrong while submitting the form.
Homme en costume bleu foncé avec cravate et pochette blanche, bras croisés, regardant vers l'avant.

Ressources

Aller plus loin

00
article(s) affiché(s) sur
00

5 min

Avocat DORA - Cybersécurité
Le règlement européen sur la résilience opérationnelle numérique du secteur financier, aussi dit « règlement DORA » (Digital Operational Resilience Act) , est une initiative de l’Union européenne visant à renforcer la résilience numérique des acteurs du secteur financier.

7 min

Blockchain et RGPD : défis et enjeux en 2025
Le 8 avril 2025, le Comité Européen de la Protection des Données (CEPD) a publié des lignes directrices cruciales sur l'usage de la blockchain en relation avec le Règlement Général sur la Protection des Données (RGPD). Ce texte, régulièrement mis à jour et ouvert à consultation jusqu'au 9 juin 2025,

9 min

Doxing, revenge porn et harcèlement numérique : la justice face aux nouveaux crimes digitaux
Le doxing, le revenge porn et le harcèlement en ligne représentent aujourd'hui des violations graves de la vie privée et de la dignité des personnes.

13 min

Cyberattaques en entreprise : responsabilités juridiques des dirigeants et stratégies de défense légale
Les cyberattaques ciblant les entreprises engagent la responsabilité des mandataires sociaux et imposent des stratégies adaptées.

16 min

Les obligations essentielles d'assistance et de formation du franchiseur : risques juridiques et bonnes pratiques
Au cœur de la franchise, se trouvent les obligations d'assistance et de formation du franchiseur, piliers de la réussite de tout le réseau.

6 min

DSA : en quoi l'enquête de la Commission européenne contre Temu impacte-t-elle la sécurité des produits en ligne ?
Le Digital Services Act (DSA) représente une avancée majeure dans la régulation des plateformes numériques, offrant un cadre législatif pour garantir la sécurité des produits et la protection des consommateurs au sein de l'Union européenne. La récente ouverture d'une enquête par la Commission europé
Prendre rendez-vous
📞  Organiser un 1er échange