Protection des données personnelles : qui peut (et ne peut pas) être DPO ?

Protection des données personnelles : qui peut (et ne peut pas) être DPO ?

Ce qu’il faut retenir


Le DPO est un personnage clé dans la mise en oeuvre du RGPD et le suivi de la conformité. Bien qu’il n’existe pas de profil type du DPO, plusieurs critères doivent être respectés pour identifier et désigner le bon candidat.


Le DPO occupe une place stratégique dans la mise en oeuvre du RGPD et le pilotage de la conformité au sein des organismes. Ni décideur, ni responsable du traitement, il informe, conseille, contrôle et facilite le respect de la réglementation relative à la protection des données personnelles. 

Le RGPD entre dans sa huitième année d’application. On pourrait donc s’attendre à ce que tous les organismes (administrations, entreprises, associations….) qui y sont soumis maîtrisent pleinement les règles de désignation de leur DPO. Pourtant, si aucun profil type n’est imposé, plusieurs critères doivent être respectés pour identifier et désigner le bon candidat, certaines fonctions étant incompatibles avec l’exercice de cette mission.

Le présent article a pour objet de rappeler les règles relatives à la désignation des DPO et les critères à respecter pour éviter les situations d’incompatibilité qui peuvent mener à l’invalidité de la désignation et donc à la violation du RGPD.


1. Qui peut être désigné DPO ? Conditions et cadre juridique

Le délégué à la protection des données (ou Data protection officer - DPO) est au coeur de la mise en oeuvre et du suivi de la conformité au RGPD. Sa mission inclut des actions d’information, de conseil, de contrôle et de suivi de la conformité à la réglementation relative à la protection des données personnelles. Toutefois, plusieurs critères doivent être respectés pour identifier et désigner un DPO.

    1.1 Conditions et critères de désignation

Les conditions de la désignation du DPO, ses fonctions et ses missions sont décrites aux articles 37 à 39 du RGPD.

La désignation d’un DPO peut être obligatoire dans les cas prévus à l’article 37 du RGPD, ou volontaire.

Elle est obligatoire lorsque l’organisme est :

     - une autorité ou un organisme public (hors juridictions dans l’exercice de leurs fonctions juridictionnelles). Il s’agit par exemple des ministères, préfectures, collectivités territoriales, régions, départements, communes, mais également les établissements hospitaliers publics (et privés), les universités, et établissements scolaires publics (et privés) ;

     - ou lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un suivi régulier et systématique des personnes à grande échelle ou en un traitement à grande échelle de données sensibles. (1). Sont notamment concernés les services en ligne (sites de e-commerce, réseaux sociaux), les services de marketing en ligne ou téléphonique, ainsi que les établissements hospitaliers, ou les instituts de sondage. (2)

Les sous-traitants peuvent également avoir l’obligation de désigner un DPO, selon les mêmes critères que les responsables de traitement.

Les organismes ne répondant pas aux critères ci-dessus peuvent néanmoins décider de désigner un DPO de manière volontaire. Dans ce cas, toutes les dispositions applicables au DPO devront être respectées.

Par ailleurs, le DPO peut être interne à l’organisme (fonctionnaire ou salarié) et exécuter cette fonction à temps plein ou à temps partiel, en sus d’une autre fonction dans l’organisme. Il peut être mutualisé au sein d’un groupe ou entre plusieurs organismes, notamment pour les petites structures (mairies, entreprises, associations), sous réserve que chaque organisme ou établissement ait effectivement accès au DPO. Enfin, le DPO peut être externe à l’organisme (consultant, avocat).

Dans tous les cas, sa désignation doit être formalisée (contrat de travail, fiche de description de poste, contrat de prestation) et notifiée à la CNIL. Ses coordonnées doivent être accessibles pour les personnes concernées.

    1.2 Compétences et missions du DPO

Il n’existe pas de profil type du DPO. 

D’une manière générale, le DPO est désigné sur la base de ses qualifications professionnelles. Il doit disposer de connaissances spécialisées dans le domaine de la protection des données (couvrant le RGPD, le droit national et les lignes directrices européennes), d’une bonne connaissance du secteur d’activité de l’organisme et d’une compréhension opérationnelle des systèmes d’information, des flux de données et des mesures de sécurité déployées par l’organisme. 

Ses missions incluent :
     - le contrôle du respect du RGPD et des politiques internes à l’organisme, dont la réalisation d’audits de conformité et la rédaction et la tenue à jour de la documentation de conformité (registre des traitements, politiques internes, etc.) ;
     - le conseil et l’accompagnement pour les analyses d’impact relatives à la protection des données (AIPD) ;
     - l’information et le conseil au responsable du traitement, l’information et la formation des salariés ;
     - être le point de contact et coopérer avec la CNIL ;
     - être le point de contact des personnes concernées.

Le DPO est soumis au secret professionnel ou à une obligation de confidentialité. (art 38 §5 RGPD) Il n’est pas personnellement responsable des manquements de l’organisme au RGPD, le responsable du traitement ou le sous-traitant restant responsables de la conformité vis-à-vis des tiers (personnes concernées, CNIL).


2. Qui ne peut pas être DPO ? Indépendance et conflits d’intérêts

Il existe plusieurs critères selon lesquels les fonctions exercées par le salarié ou le consultant sont incompatibles avec la fonction de DPO. Ce point, souvent ignoré, peut avoir de graves conséquences en termes de manquement au RGPD, en exposant le responsable de traitement à des sanctions financières.

    2.1 Indépendance, conflits d’intérêts et fonctions généralement incompatibles

Ne peuvent être désignées DPO les personnes dont la position au sein de l’organisme ne garantit ni son indépendance, ni les moyens nécessaires à l’exercice de leurs missions. 

    - Indépendance : le DPO ne reçoit aucune instruction de ses supérieurs hiérarchiques pour l’exercice des missions et, à ce titre, ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement. (art 38 §3 RGPD)

L’indépendance fonctionnelle du DPO a ainsi été précisée par deux arrêts de la CJUE du 9 février 2023. Pour la Cour, le principe d’indépendance du DPO a pour objet de garantir la protection des personnes concernées en application du RGPD. Toutefois, cela ne signifie pas que le DPO ne puisse être révoqué, notamment s’il ne peut plus exercer sa mission de manière indépendante ou s’il ne dispose plus des compétences nécessaires pour l’assurer. (3)

    - Conflit d’intérêts : le RGPD écarte de la fonction de DPO toute personne dont la fonction dans l’organisme créerait une situation de conflit d’intérêts. (art 38 §6 RGPD)

Le conflit d’intérêt existe notamment lorsque la personne pressentie pour être DPO est par ailleurs en position de déterminer les finalités ou les moyens des traitements, ce qui la mettrait alors en situation de “juge et partie”. 

La CJUE a précisé la notion de conflit d’intérêts. Ainsi, un conflit d’intérêts peut exister quand un DPO “se voit confier d’autres missions ou tâches, qui conduiraient ce dernier à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable du traitement ou de son sous-traitant.” Il revient au juge national de vérifier le rôle joué par le DPO “sur la base d’une appréciation de l’ensemble des circonstances pertinentes, notamment de la structure organisationnelle du responsable du traitement ou de son sous-traitant” et “à la lumière de l’ensemble de la réglementation applicable, y compris des éventuelles règles internes de ces derniers”. (4)

    - DPO externes : cette exigence d’absence de conflit d’intérêts s’applique aussi aux DPO externes. Ainsi, les avocats désignés DPO externe par certains organismes ne peuvent représenter leur client devant les juridictions dans des litiges portant sur des questions de protection des données, une telle situation étant susceptible de caractériser un conflit d’intérêts.

    - Incompatibilités : les incompatibilités sont appréciées au cas par cas, en tenant compte de l’organisation interne de l’entreprise. Par exemple, lorsqu’une personne partage son temps entre la fonction de DPO et une autre fonction dans l’entreprise, il existe un risque de conflit d’intérêts dès lors que cette autre fonction est susceptible de compromettre son indépendance dans l’exercice de ses missions en qualité de DPO.

À titre indicatif, les fonctions généralement incompatibles, susceptibles de créer un conflit d’intérêts comprennent les fonctions de direction générale ou exécutive, les responsables des départements SI, RH, marketing, finance, médical, et toute fonction impliquant un pouvoir décisionnel sur les traitements de données (finalités et/ou moyens des traitements).

    2.2 Conséquences de la désignation d’un DPO exerçant des fonctions incompatibles

La désignation d’un DPO exerçant des fonctions incompatibles constitue un manquement autonome au règlement, indépendamment de toute violation matérielle de la réglementation sur la protection des données. 

Lorsqu’un DPO se trouve en situation de conflit d’intérêts, l’autorité de contrôle peut considérer que sa désignation est dépourvue d’effet juridique, assimilant la situation à une absence de DPO et par conséquent, à un manquement au RGPD.

L’incompatibilité entre la fonction exercée par cette personne dans l’organisme et celle de DPO expose l’organisme à des sanctions administratives pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (art. 83 §4 RGPD), ainsi qu’à des mesures correctrices telles que le remplacement du DPO. Toutefois, avant de prononcer une sanction financière, l’autorité de contrôle privilégie généralement un rappel à l’ordre à l’organisme, suivi le cas échéant d’une injonction de mise en conformité (désignation d’un nouveau DPO). 

On notera que la constatation par la CNIL d’une situation de conflit d’intérêts entre la mission du DPO et ses fonctions dans l’entreprise est souvent suivie d’un contrôle de conformité. 


* * * * * * * * * * *


(1) Les données sensibles sont définies à l’article 9 §1 du RGPD. Elles incluent les données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques, biométriques, les données de santé et les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

(2) Les notions telles que l’“activité de base”, le “suivi régulier et systématique” à “grande échelle” sont précisées dans le Guide pratique de la CNIL - Délégué à la protection des données et les Lignes directrices sur les Délégués à la protection des données (DPO) (en anglais)

(3) CJUE, 9 février 2023, affaire C-453/21, X-FAB Dresden GmbH & Co. KG ; et CJUE, 9 février 2023, affaire C-560/21, ZS c. KISA

(4) CJUE, 9 février 2023, affaire C-453/21, X-FAB Dresden GmbH & Co. KG


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2026


Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (8) adwords (3) ai (27) anssi (3) arcep (5) arcom (21) audiovisuel (4) audit (4) base de données (4) bitcoin (1) blockchain (8) cbpr (7) cgv (2) chine (1) cjue (1) cloud computing (3) cnil (22) commerce (6) communication (9) compliance (40) confidentialité (3) conformité (23) consommateurs (5) contrat (11) contrefaçon (10) cookies (6) copyright (5) cryptologie (1) csa (1) cybercriminalité (5) cybersquatting (3) data (1) data privacy framework (2) dma (4) données à caractère personnel (21) données personnelles (37) dpf (2) droit d'auteur (11) dsa (10) e-commerce (17) e-consommateurs (2) enfance (6) etats-unis (6) eu (24) europe (23) formation (4) fraude (3) gdpr (34) google (4) hébergeur (5) ia (19) ico (1) informatique (14) informatique et libertés (4) intelligence artificielle (18) internet (36) jeu vidéo (3) liberté d'expression (3) logiciel (13) loi informatique et libertés (5) loi sren (6) marque (3) métavers (3) méthode agile (2) monnaie électronique (1) moteur de recherche (7) nda (1) nft (4) nom de domaine (1) numérique (14) originalité (5) privacy shield (2) propriété intellectuelle (15) protection des données (15) publicité (6) référencement (4) réglementation (13) réseau (2) réseaux sociaux (11) responsabilité (10) responsable du traitement (14) rgpd (27) robotique (7) rpa (6) salariés (4) santé publique (1) sécurité (7) singapour (8) site web (5) us (3) vie privée (23)