Quand un DPO est-il obligatoire ? Critères RGPD et sanctions CNIL

La désignation d’un délégué à la protection des données (DPO) est l’un des piliers de la conformité au Règlement général sur la protection des données (RGPD). Pour de nombreuses entreprises numériques, sites e-commerce, plateformes digitales, mutuelles, organismes de santé ou collectivités publiques, cette obligation est loin d’être un simple formalisme. Elle conditionne la capacité de l’organisation à démontrer sa conformité, à anticiper les risques et à dialoguer efficacement avec la CNIL.

Les enjeux sont considérables. En cas de non-désignation alors qu’elle est exigée par l’article 37 du RGPD, ou en cas de manquement aux missions du DPO, la CNIL peut prononcer des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.

Cet article fait le point sur les critères qui rendent la désignation du DPO obligatoire, sur les sanctions encourues en cas de manquement, et sur les bonnes pratiques que tout dirigeant doit connaître pour sécuriser son activité.

Qu’est-ce qu’un DPO et pourquoi le RGPD l’a-t-il créé ?

Le délégué à la protection des données (en anglais Data Protection Officer ou DPO) est la personne chargée, au sein d’un organisme ou en externe, de veiller à la conformité des traitements de données personnelles avec le RGPD et la loi française.

Le législateur européen a institué cette fonction pour renforcer la gouvernance des données dans les organisations qui traitent un volume important d’informations personnelles ou des informations particulièrement sensibles. Le DPO joue un rôle de vigie indépendante, de conseil interne et de point de contact privilégié avec l’autorité de contrôle, à savoir la CNIL en France.

Quelles missions précises confie le RGPD au DPO ?

L’article 39 du RGPD énumère les missions du délégué. Il doit notamment :

• Informer et conseiller le responsable de traitement, le sous-traitant et les salariés sur leurs obligations en matière de protection des données ;
• Contrôler le respect du RGPD, de la loi Informatique et Libertés du 6 janvier 1978 et des politiques internes ;
• Dispenser des conseils sur l’analyse d’impact relative à la protection des données (AIPD) et vérifier sa bonne exécution ;
• Coopérer avec la CNIL et faire office de point de contact pour l’autorité ;
• Tenir compte du risque associé aux traitements, en intégrant la nature, la portée et les finalités du traitement.

L’article 38 du RGPD précise par ailleurs que le DPO doit être associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données. Cette obligation a été rappelée avec force par la formation restreinte de la CNIL dans plusieurs décisions récentes, comme nous le verrons.

Le DPO peut-il être interne, externe ou mutualisé ?

Le RGPD ouvre trois options au responsable de traitement :

• Un DPO interne, salarié de l’organisation, sous réserve d’absence de conflit d’intérêts ;
• Un DPO externe, prestataire indépendant (avocat, consultant spécialisé, cabinet de conseil), lié par un contrat de services ;
• Un DPO mutualisé entre plusieurs entités d’un même groupe ou plusieurs organismes publics, à condition qu’il reste facilement joignable depuis chaque site.

Quelle que soit la formule, le DPO doit disposer des qualifications professionnelles requises, d’une connaissance spécialisée du droit et des pratiques en matière de protection des données, et bénéficier des ressources suffisantespour mener ses missions.

Quand la désignation d’un DPO est-elle obligatoire selon l’article 37 du RGPD ?

L’article 37 du RGPD impose la désignation d’un DPO dans trois cas limitativement énumérés. Dès qu’une seule de ces situations est remplie, la désignation devient obligatoire, sans qu’il soit possible d’y déroger pour des raisons de taille de l’organisation ou de coût.

Votre organisme est-il une autorité ou un organisme public ?

Le premier critère vise toutes les autorités publiques et les organismes publics, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle.

Sont notamment concernés :

• Les administrations d’État et les services déconcentrés ;
• Les collectivités territoriales (communes, départements, régions, EPCI) ;
• Les établissements publics (hôpitaux, universités, écoles, agences, offices) ;
• Les personnes morales de droit privé chargées d’une mission de service public, dans la mesure où elles traitent des données dans ce cadre.

L’article 103 de la loi Informatique et Libertés du 6 janvier 1978, dans sa rédaction issue de l’ordonnance n° 2018-1125 du 12 décembre 2018, précise que ces entités doivent désigner un délégué, et qu’un seul DPO peut être désigné pour plusieurs autorités compétentes en fonction de leur structure organisationnelle et de leur taille. Cela autorise notamment la mutualisation entre petites communes ou syndicats intercommunaux.

Vos activités impliquent-elles un suivi régulier et systématique à grande échelle ?

Le deuxième critère concerne les responsables de traitement et sous-traitants dont les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées.

Sont typiquement visés :

• Les banques et établissements de crédit ;
• Les compagnies d’assurance et mutuelles à fort volume d’assurés ;
• Les opérateurs télécoms et fournisseurs d’accès internet ;
• Les grandes plateformes e-commerce et marketplaces ;
• Les réseaux sociaux et plateformes de partage de contenus ;
• Les éditeurs de logiciels SaaS traitant de grands volumes de comptes utilisateurs ;
• Les régies publicitaires pratiquant le profilage ou la publicité comportementale.

Traitez-vous à grande échelle des données sensibles ou pénales ?

Le troisième critère vise les organismes dont les activités de base consistent à traiter, à grande échelle :

• Des données sensibles au sens de l’article 9 du RGPD : données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les données génétiques, biométriques aux fins d’identifier une personne, les données de santé, concernant la vie sexuelle ou l’orientation sexuelle ;
• Ou des données relatives à des condamnations pénales et infractions au sens de l’article 10 du RGPD.

Sont typiquement concernés les hôpitaux, cliniques, laboratoires d’analyses médicales, mutuelles santé, organismes de protection sociale, certains services RH d’entreprises traitant massivement des données de santé, ainsi que les plateformes de recrutement centralisant des extraits de casier judiciaire.

Que signifient les notions clés du RGPD à propos du DPO ?

Les notions retenues par l’article 37 du RGPD sont volontairement souples pour s’adapter à la diversité des situations. Leur appréciation pratique repose sur les lignes directrices du Comité européen de la protection des données (CEPD), anciennement Groupe de l’article 29 (G29), et sur la doctrine de la CNIL.

Comment apprécier le critère du « grande échelle » ?

Le RGPD ne fixe pas de seuil chiffré. L’appréciation repose sur un faisceau d’indices :

• Le nombre de personnes concernées, en valeur absolue ou en proportion de la population pertinente ;
• Le volume de données traitées ou la diversité des catégories de données ;
• La durée ou la permanence du traitement ;
• L’étendue géographique du traitement ;
• La sensibilité des données en cause.

Un cabinet médical individuel ou un avocat exerçant seul ne traitent en principe pas de données de santé ou de condamnations pénales à grande échelle. À l’inverse, un réseau de cliniques privées ou une mutuelle santé nationalese trouvent clairement dans le champ de l’obligation.

Qu’entend-on par « suivi régulier et systématique » ?

Le suivi régulier et systématique désigne toute forme de surveillance, traçage ou profilage des personnes, qu’elle soit ou non automatisée. Sont notamment visés :

• Le profilage publicitaire et la publicité ciblée ;
• L’analyse comportementale sur un site internet ou une application ;
• Le scoring de clientèle dans le secteur bancaire ou assurantiel ;
• La géolocalisation continue des utilisateurs ou des salariés ;
• La vidéosurveillance déployée sur un grand réseau de magasins.

Quelles sont les « activités de base » d’une organisation ?

Les activités de base sont celles qui sont essentielles à l’atteinte des objectifs du responsable de traitement, par opposition aux activités purement accessoires comme la paie ou la gestion administrative classique. Ainsi, pour un hôpital, le traitement de données de santé constitue une activité de base, même si la prise en charge médicale est juridiquement distincte du traitement informatique. Pour une PME industrielle dont le métier n’implique pas la gestion massive de données personnelles, la simple tenue de fichiers clients standards ne relève pas, en principe, d’une activité de base au sens du RGPD.

Quelles sont les sanctions CNIL en cas de manquement aux obligations relatives au DPO ?

L’article 20 de la loi du 6 janvier 1978, dans sa rédaction issue de la loi n° 2024-449 du 21 mai 2024, organise la palette des mesures correctrices et sanctions pouvant être prononcées par la CNIL.

Quelles sont les mesures correctrices que peut prononcer la CNIL ?

Avant ou en complément d’une sanction pécuniaire, le président de la CNIL ou la formation restreinte peuvent prononcer :

• Un avertissement lorsque le traitement envisagé est susceptible de violer le RGPD ;
• Un rappel à l’ordre ;
• Une mise en demeure de se mettre en conformité, dans un délai pouvant être ramené à 24 heures en cas d’urgence ;
• Une injonction de mise en conformité, qui peut être assortie d’une astreinte allant jusqu’à 100 000 euros par jour de retard ;
• La limitation temporaire ou définitive d’un traitement ou son interdiction ;
• Le retrait d’une certification ;
• La suspension des flux vers un pays tiers ;
• La suspension partielle ou totale de l’approbation de règles d’entreprise contraignantes (BCR).

Ces mesures peuvent être rendues publiques, ce qui emporte des conséquences réputationnelles significatives pour les entreprises concernées.

Quelle est l’échelle des amendes administratives applicables ?

L’article 20 de la loi Informatique et Libertés et l’article 83 du RGPD instaurent une double échelle d’amendes administratives :

• Pour les manquements visés à l’article 83, paragraphe 4 du RGPD, qui incluent notamment les manquements aux obligations du responsable de traitement et du sous-traitant (articles 8, 11, 25 à 39, 42 et 43), donc l’absence de désignation d’un DPO ou le non-respect des missions du DPO : amende pouvant atteindre 10 millions d’euros ou, pour une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ;
• Pour les manquements les plus graves visés aux paragraphes 5 et 6 de l’article 83 (principes fondamentaux du traitement, droits des personnes concernées, transferts internationaux, non-respect d’une injonction de la CNIL) : amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

La formation restreinte tient compte, pour déterminer le montant, des critères posés à l’article 83 du RGPD : nature, gravité et durée du manquement, caractère délibéré ou non, mesures prises pour atténuer le dommage, degré de coopération avec la CNIL, catégories de données concernées et antécédents de l’organisme.

Qu’est-ce que la procédure simplifiée de sanction de la CNIL ?

L’article 22-1 de la loi du 6 janvier 1978, dans sa rédaction issue de la loi du 21 mai 2024, organise une procédure simplifiée réservée aux affaires sans difficulté particulière. Le président de la formation restreinte, ou un membre désigné, peut statuer seul et prononcer :

• Un rappel à l’ordre ;
• Une injonction de mise en conformité, assortie le cas échéant d’une astreinte plafonnée à 100 euros par jour de retard ;
• Une amende administrative plafonnée à 20 000 euros.

Les décisions rendues selon cette procédure ne sont pas rendues publiques, ce qui limite l’impact réputationnel tout en garantissant une réponse rapide aux manquements de moindre gravité.

Quels exemples concrets de sanctions illustrent les risques pour les entreprises ?

Les décisions récentes de la formation restreinte de la CNIL montrent que les manquements aux obligations relatives au DPO sont systématiquement intégrés au calcul des amendes prononcées.

Quels enseignements tirer de la délibération SAN-2025-008 du 18 septembre 2025 ?

Dans sa délibération SAN-2025-008 du 18 septembre 2025, la formation restreinte de la CNIL a sanctionné la société SAMARITAINE SAS d’une amende administrative de 100 000 euros rendue publique, pour plusieurs manquements au RGPD.

L’affaire concernait l’installation, en août 2023, de cinq caméras dissimulées dans de faux détecteurs de fumée dans les réserves du magasin parisien. Outre les manquements aux principes de loyauté et de minimisation des données, la CNIL a expressément retenu un manquement à l’article 38-1 du RGPD, c’est-à-dire à l’obligation d’associer la déléguée à la protection des données aux questions relatives à la protection des données.

Selon la décision, la déléguée n’a été informée du dispositif que le 2 octobre 2023, soit après son installation et son démontage. La formation restreinte a relevé que la consultation en amont aurait permis à la DPO de rappeler les conditions strictes de déploiement d’un tel dispositif, et que la société aurait sans doute évité l’installation litigieuse. Cette décision est instructive à un double titre. D’abord, elle montre que désigner un DPO ne suffit pas : encore faut-il l’associer effectivement à toutes les questions sensibles. Ensuite, elle confirme que la CNIL retient désormais systématiquement ce manquement dans son raisonnement, y compris pour des dispositifs de vidéosurveillance des salariés, sujet brûlant pour de nombreuses entreprises.

Quels enseignements pour les TPE/PME et e-commerçants ?

Plusieurs leçons pratiques se dégagent pour les dirigeants :

• L’existence d’un DPO ne fait pas obstacle à une sanction si l’organisme ne l’implique pas réellement dans ses projets ;
• Les décisions d’urgence prises pendant les périodes de congés ne dispensent pas de consulter la DPO, ne serait-ce que par courriel asynchrone ;
• L’absence de documentation d’un traitement (registre, AIPD, échanges avec la DPO) constitue une circonstance aggravante retenue par la CNIL ;
• La publicité des sanctions sur les sites de la CNIL et de Légifrance produit un effet réputationnel souvent supérieur au montant de l’amende elle-même.

Quelles bonnes pratiques pour sécuriser la conformité RGPD même sans DPO obligatoire ?

De nombreuses TPE/PME ne remplissent pas les critères de l’article 37 du RGPD. Cela ne les exonère pas de leurs autres obligations, et la CNIL recommande fortement la désignation d’une personne référente, même à titre facultatif.

Faut-il désigner un référent RGPD à défaut de DPO ?

Lorsque la désignation d’un DPO n’est pas obligatoire, il est vivement conseillé de :

• Désigner un référent RGPD interne, clairement identifié dans l’organigramme ;
• Lui confier la tenue du registre des activités de traitement prévu par l’article 30 du RGPD ;
• Lui permettre de piloter les AIPD lorsqu’elles sont requises ;
• Lui donner les moyens de traiter les demandes d’exercice des droits (accès, rectification, effacement, opposition, portabilité, limitation).

Ce référent n’a pas le statut juridique protecteur d’un DPO formellement désigné. Cependant, il sécurise considérablement la chaîne de responsabilité interne et facilite les éventuels contrôles de la CNIL.

Quelles obligations subsistent en l’absence de DPO ?

Même sans DPO obligatoire, le principe d’accountability posé par l’article 5-2 du RGPD demeure pleinement applicable. Le responsable de traitement doit pouvoir démontrer sa conformité à tout moment. Cela suppose notamment :

• La tenue d’un registre des traitements ;
• La conduite d’analyses d’impact lorsque le traitement est susceptible d’engendrer un risque élevé ;
• La notification à la CNIL des violations de données dans un délai de 72 heures, conformément à l’article 33 du RGPD ;
• La mise en place de mesures de sécurité techniques et organisationnelles appropriées ;
• Le respect des durées de conservation définies en amont ;
• L’information loyale et transparente des personnes concernées.

Quelle articulation avec les autres branches du droit ?

La conformité RGPD se croise fréquemment avec d’autres obligations issues du Code du travail (mise en place d’un dispositif de vidéosurveillance, consultation du CSE), du Code de la consommation (information précontractuelle, droit de rétractation, cookies publicitaires) ou du Code de commerce (conservation des pièces comptables). Cette transversalité justifie souvent l’intervention d’un conseil juridique pluridisciplinaire, capable de croiser les contraintes pour proposer une mise en conformité globale.

Comment le cabinet Mirabile Avocat accompagne-t-il les dirigeants dans la conformité RGPD ?

Spécialisé en droit du numérique, en droit commercial et en droit de la distribution, le cabinet Mirabile Avocatintervient régulièrement auprès des TPE, PME, startups et plateformes digitales sur l’ensemble des problématiques liées au RGPD et à la désignation du DPO.

L’accompagnement proposé couvre plusieurs axes :

• Diagnostic de la situation : analyse de l’activité, des traitements de données mis en œuvre et des seuils déclenchant ou non l’obligation de désigner un DPO ;
• Conseil stratégique sur le choix entre DPO interne, DPO externe ou DPO mutualisé, et rédaction des contrats de mission lorsque le DPO est externalisé ;
• Mise en conformité opérationnelle : rédaction du registre des traitements, des politiques de confidentialité, des mentions d’information, et conduite des analyses d’impact sur les traitements à risque ;
• Sécurisation contractuelle des relations avec les sous-traitants au sens de l’article 28 du RGPD ;
• Assistance en cas de contrôle de la CNIL, depuis la préparation des entretiens jusqu’à la rédaction des observations en réponse à un rapport de sanction ;
• Défense devant la formation restreinte de la CNIL et, le cas échéant, recours devant le Conseil d’État dans le délai de deux mois prévu par les textes ;
• Formation des équipes dirigeantes et opérationnelles, notamment dans les contextes sensibles (e-commerce, marketing digital, vidéosurveillance, IA et profilage).

L’objectif est de transformer la conformité en outil de gouvernance et en levier de confiance pour les clients, partenaires et investisseurs.

Quelles conclusions un dirigeant doit-il retenir ?

La désignation d’un DPO n’est pas un choix discrétionnaire. Elle s’impose dès lors qu’un organisme entre dans l’un des trois cas posés par l’article 37 du RGPD. Le non-respect de cette obligation, comme le non-respect des missions du DPO une fois désigné, expose à des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Les décisions récentes de la CNIL, dont la délibération SAN-2025-008 du 18 septembre 2025, montrent que l’obligation d’association effective du DPO est désormais un point d’attention central de l’autorité de contrôle.

Pour les dirigeants, l’enjeu est triple. Il s’agit de vérifier l’applicabilité de l’obligation au regard de l’activité et des données traitées, de structurer la fonction DPO lorsqu’elle est requise, et d’instaurer des processus internesgarantissant l’association du délégué à toutes les décisions ayant une incidence sur les données personnelles. À défaut, l’organisation s’expose non seulement à des sanctions pécuniaires lourdes, mais aussi à un risque réputationneldifficile à contenir une fois la décision rendue publique.

Avertissement

Le présent article a une vocation informative et pédagogique. Il ne saurait constituer un avis juridique personnalisé ni se substituer à la consultation d’un avocat. Chaque situation appelle une analyse spécifique au regard de l’activité, des données traitées et de l’organisation de l’entreprise. Pour toute question relative à votre conformité RGPD ou à la désignation d’un DPO, il est recommandé de consulter un avocat spécialisé.