RGPD
La désignation d’un délégué à la protection des données (DPO) est l’un des piliers de la conformité au Règlement général sur la protection des données (RGPD) . Pour de nombreuses entreprises numériques, sites e-commerce, plateformes digitales, mutuelles, organismes de santé ou collectivités publique
Temps de lecture :
16 min
La désignation d’un délégué à la protection des données (DPO) est l’un des piliers de la conformité au Règlement général sur la protection des données (RGPD). Pour de nombreuses entreprises numériques, sites e-commerce, plateformes digitales, mutuelles, organismes de santé ou collectivités publiques, cette obligation est loin d’être un simple formalisme. Elle conditionne la capacité de l’organisation à démontrer sa conformité, à anticiper les risques et à dialoguer efficacement avec la CNIL.
Les enjeux sont considérables. En cas de non-désignation alors qu’elle est exigée par l’article 37 du RGPD, ou en cas de manquement aux missions du DPO, la CNIL peut prononcer des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.
Cet article fait le point sur les critères qui rendent la désignation du DPO obligatoire, sur les sanctions encourues en cas de manquement, et sur les bonnes pratiques que tout dirigeant doit connaître pour sécuriser son activité.
Le délégué à la protection des données (en anglais Data Protection Officer ou DPO) est la personne chargée, au sein d’un organisme ou en externe, de veiller à la conformité des traitements de données personnelles avec le RGPD et la loi française.
Le législateur européen a institué cette fonction pour renforcer la gouvernance des données dans les organisations qui traitent un volume important d’informations personnelles ou des informations particulièrement sensibles. Le DPO joue un rôle de vigie indépendante, de conseil interne et de point de contact privilégié avec l’autorité de contrôle, à savoir la CNIL en France.
L’article 39 du RGPD énumère les missions du délégué. Il doit notamment :
L’article 38 du RGPD précise par ailleurs que le DPO doit être associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données. Cette obligation a été rappelée avec force par la formation restreinte de la CNIL dans plusieurs décisions récentes, comme nous le verrons.
Le RGPD ouvre trois options au responsable de traitement :
Quelle que soit la formule, le DPO doit disposer des qualifications professionnelles requises, d’une connaissance spécialisée du droit et des pratiques en matière de protection des données, et bénéficier des ressources suffisantespour mener ses missions.
L’article 37 du RGPD impose la désignation d’un DPO dans trois cas limitativement énumérés. Dès qu’une seule de ces situations est remplie, la désignation devient obligatoire, sans qu’il soit possible d’y déroger pour des raisons de taille de l’organisation ou de coût.
Le premier critère vise toutes les autorités publiques et les organismes publics, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle.
Sont notamment concernés :
L’article 103 de la loi Informatique et Libertés du 6 janvier 1978, dans sa rédaction issue de l’ordonnance n° 2018-1125 du 12 décembre 2018, précise que ces entités doivent désigner un délégué, et qu’un seul DPO peut être désigné pour plusieurs autorités compétentes en fonction de leur structure organisationnelle et de leur taille. Cela autorise notamment la mutualisation entre petites communes ou syndicats intercommunaux.
Le deuxième critère concerne les responsables de traitement et sous-traitants dont les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées.
Sont typiquement visés :
Le troisième critère vise les organismes dont les activités de base consistent à traiter, à grande échelle :
Sont typiquement concernés les hôpitaux, cliniques, laboratoires d’analyses médicales, mutuelles santé, organismes de protection sociale, certains services RH d’entreprises traitant massivement des données de santé, ainsi que les plateformes de recrutement centralisant des extraits de casier judiciaire.
Les notions retenues par l’article 37 du RGPD sont volontairement souples pour s’adapter à la diversité des situations. Leur appréciation pratique repose sur les lignes directrices du Comité européen de la protection des données (CEPD), anciennement Groupe de l’article 29 (G29), et sur la doctrine de la CNIL.
Le RGPD ne fixe pas de seuil chiffré. L’appréciation repose sur un faisceau d’indices :
Un cabinet médical individuel ou un avocat exerçant seul ne traitent en principe pas de données de santé ou de condamnations pénales à grande échelle. À l’inverse, un réseau de cliniques privées ou une mutuelle santé nationalese trouvent clairement dans le champ de l’obligation.
Le suivi régulier et systématique désigne toute forme de surveillance, traçage ou profilage des personnes, qu’elle soit ou non automatisée. Sont notamment visés :
Les activités de base sont celles qui sont essentielles à l’atteinte des objectifs du responsable de traitement, par opposition aux activités purement accessoires comme la paie ou la gestion administrative classique. Ainsi, pour un hôpital, le traitement de données de santé constitue une activité de base, même si la prise en charge médicale est juridiquement distincte du traitement informatique. Pour une PME industrielle dont le métier n’implique pas la gestion massive de données personnelles, la simple tenue de fichiers clients standards ne relève pas, en principe, d’une activité de base au sens du RGPD.
L’article 20 de la loi du 6 janvier 1978, dans sa rédaction issue de la loi n° 2024-449 du 21 mai 2024, organise la palette des mesures correctrices et sanctions pouvant être prononcées par la CNIL.
Avant ou en complément d’une sanction pécuniaire, le président de la CNIL ou la formation restreinte peuvent prononcer :
Ces mesures peuvent être rendues publiques, ce qui emporte des conséquences réputationnelles significatives pour les entreprises concernées.
L’article 20 de la loi Informatique et Libertés et l’article 83 du RGPD instaurent une double échelle d’amendes administratives :
La formation restreinte tient compte, pour déterminer le montant, des critères posés à l’article 83 du RGPD : nature, gravité et durée du manquement, caractère délibéré ou non, mesures prises pour atténuer le dommage, degré de coopération avec la CNIL, catégories de données concernées et antécédents de l’organisme.
L’article 22-1 de la loi du 6 janvier 1978, dans sa rédaction issue de la loi du 21 mai 2024, organise une procédure simplifiée réservée aux affaires sans difficulté particulière. Le président de la formation restreinte, ou un membre désigné, peut statuer seul et prononcer :
Les décisions rendues selon cette procédure ne sont pas rendues publiques, ce qui limite l’impact réputationnel tout en garantissant une réponse rapide aux manquements de moindre gravité.
Nature de la sanction
Les décisions récentes de la formation restreinte de la CNIL montrent que les manquements aux obligations relatives au DPO sont systématiquement intégrés au calcul des amendes prononcées.
Dans sa délibération SAN-2025-008 du 18 septembre 2025, la formation restreinte de la CNIL a sanctionné la société SAMARITAINE SAS d’une amende administrative de 100 000 euros rendue publique, pour plusieurs manquements au RGPD.
L’affaire concernait l’installation, en août 2023, de cinq caméras dissimulées dans de faux détecteurs de fumée dans les réserves du magasin parisien. Outre les manquements aux principes de loyauté et de minimisation des données, la CNIL a expressément retenu un manquement à l’article 38-1 du RGPD, c’est-à-dire à l’obligation d’associer la déléguée à la protection des données aux questions relatives à la protection des données.
Selon la décision, la déléguée n’a été informée du dispositif que le 2 octobre 2023, soit après son installation et son démontage. La formation restreinte a relevé que la consultation en amont aurait permis à la DPO de rappeler les conditions strictes de déploiement d’un tel dispositif, et que la société aurait sans doute évité l’installation litigieuse. Cette décision est instructive à un double titre. D’abord, elle montre que désigner un DPO ne suffit pas : encore faut-il l’associer effectivement à toutes les questions sensibles. Ensuite, elle confirme que la CNIL retient désormais systématiquement ce manquement dans son raisonnement, y compris pour des dispositifs de vidéosurveillance des salariés, sujet brûlant pour de nombreuses entreprises.
Plusieurs leçons pratiques se dégagent pour les dirigeants :
De nombreuses TPE/PME ne remplissent pas les critères de l’article 37 du RGPD. Cela ne les exonère pas de leurs autres obligations, et la CNIL recommande fortement la désignation d’une personne référente, même à titre facultatif.
Lorsque la désignation d’un DPO n’est pas obligatoire, il est vivement conseillé de :
Ce référent n’a pas le statut juridique protecteur d’un DPO formellement désigné. Cependant, il sécurise considérablement la chaîne de responsabilité interne et facilite les éventuels contrôles de la CNIL.
Même sans DPO obligatoire, le principe d’accountability posé par l’article 5-2 du RGPD demeure pleinement applicable. Le responsable de traitement doit pouvoir démontrer sa conformité à tout moment. Cela suppose notamment :
La conformité RGPD se croise fréquemment avec d’autres obligations issues du Code du travail (mise en place d’un dispositif de vidéosurveillance, consultation du CSE), du Code de la consommation (information précontractuelle, droit de rétractation, cookies publicitaires) ou du Code de commerce (conservation des pièces comptables). Cette transversalité justifie souvent l’intervention d’un conseil juridique pluridisciplinaire, capable de croiser les contraintes pour proposer une mise en conformité globale.
Spécialisé en droit du numérique, en droit commercial et en droit de la distribution, le cabinet Mirabile Avocatintervient régulièrement auprès des TPE, PME, startups et plateformes digitales sur l’ensemble des problématiques liées au RGPD et à la désignation du DPO.
L’accompagnement proposé couvre plusieurs axes :
L’objectif est de transformer la conformité en outil de gouvernance et en levier de confiance pour les clients, partenaires et investisseurs.
La désignation d’un DPO n’est pas un choix discrétionnaire. Elle s’impose dès lors qu’un organisme entre dans l’un des trois cas posés par l’article 37 du RGPD. Le non-respect de cette obligation, comme le non-respect des missions du DPO une fois désigné, expose à des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Les décisions récentes de la CNIL, dont la délibération SAN-2025-008 du 18 septembre 2025, montrent que l’obligation d’association effective du DPO est désormais un point d’attention central de l’autorité de contrôle.
Pour les dirigeants, l’enjeu est triple. Il s’agit de vérifier l’applicabilité de l’obligation au regard de l’activité et des données traitées, de structurer la fonction DPO lorsqu’elle est requise, et d’instaurer des processus internesgarantissant l’association du délégué à toutes les décisions ayant une incidence sur les données personnelles. À défaut, l’organisation s’expose non seulement à des sanctions pécuniaires lourdes, mais aussi à un risque réputationneldifficile à contenir une fois la décision rendue publique.
Le présent article a une vocation informative et pédagogique. Il ne saurait constituer un avis juridique personnalisé ni se substituer à la consultation d’un avocat. Chaque situation appelle une analyse spécifique au regard de l’activité, des données traitées et de l’organisation de l’entreprise. Pour toute question relative à votre conformité RGPD ou à la désignation d’un DPO, il est recommandé de consulter un avocat spécialisé.
Pour aller plus loin
L'article 37 du RGPD rend la désignation d'un DPO obligatoire pour les autorités publiques, les organismes dont l'activité de base implique un suivi régulier et systématique des personnes à grande échelle, et ceux traitant à grande échelle des données sensibles.
L'article 37 du RGPD définit les cas dans lesquels la désignation d'un DPO est obligatoire. Il vise notamment les autorités publiques et les organismes réalisant un suivi à grande échelle des personnes ou traitant des données sensibles à grande échelle.
Sont notamment concernés les entreprises numériques, sites e-commerce, plateformes digitales, mutuelles, organismes de santé et collectivités publiques, dès lors qu'ils remplissent les critères de l'article 37 du RGPD. Pour eux, cette obligation n'est pas un simple formalisme.
En cas de non-désignation alors qu'elle est exigée, ou de manquement aux missions du DPO, la CNIL peut prononcer des amendes administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé.
Ce critère vise les traitements impliquant une observation continue ou récurrente des personnes à grande échelle, comme le profilage ou le suivi de comportement. Lorsqu'il caractérise l'activité de base d'un organisme, la désignation d'un DPO devient obligatoire.
Oui, lorsqu'il est réalisé à grande échelle. Les organismes traitant à grande échelle des données sensibles, comme des données de santé, sont tenus de désigner un DPO en application de l'article 37 du RGPD.
Le DPO conditionne la capacité de l'organisation à démontrer sa conformité, à anticiper les risques et à dialoguer efficacement avec la CNIL. Sa désignation, lorsqu'elle est obligatoire, est un enjeu considérable pour la sécurité juridique de l'organisme.
Un avocat aide à déterminer si la désignation d'un DPO est obligatoire au regard de l'article 37 du RGPD, à sécuriser cette désignation et à éviter les sanctions de la CNIL. Cet accompagnement clarifie une obligation aux enjeux importants.
Vous avez encore des questions ?
Notre équipe est à disposition !
Une question ?

Ressources
Aller plus loin