DPO : Délégué à la Protection des Données

Le Délégué à la Protection des Données (DPO, Data Protection Officer) est la personne chargée de la protection des données à caractère personnel au sein d'un organisme public ou privé. Fonction créée par le RGPD (articles 37 et suivants), entrée en application le 25 mai 2018, le DPO constitue le pivot de la conformité RGPD. Au 31 décembre 2024, plus de 32 000 organismes avaient désigné un DPO en France.

Missions et périmètre

Le DPO est principalement chargé d'informer et conseiller le responsable de traitement ou le sous-traitant ainsi que leurs employés, de contrôler le respect du RGPD et du droit national, de conseiller sur la réalisation d'analyses d'impact et d'en vérifier l'exécution, de coopérer avec l'autorité de contrôle (CNIL) et d'être le point de contact de celle-ci, ainsi que des personnes concernées.

La désignation du DPO est obligatoire pour tous les organismes publics et pour les entreprises dont l'activité de base nécessite un traitement de données sensibles (telles que les données de santé) ou un suivi régulier de personnes à grande échelle. Pour les autres structures, la CNIL recommande fortement cette fonction.

Le DPO n'est pas personnellement responsable de la non-conformité : c'est le responsable de traitement qui porte cette responsabilité. Le rôle du DPO est de contrôler et de recommander, pas de décider. Le DPO veille à la conformité au sein de son organisation, conseille en matière de protection des données et sert de point de contact pour l'autorité de protection des données et les personnes concernées.

Lien avec NIS2

La directive NIS2, publiée le 27 décembre 2022, renforce la communauté de destins entre DPO et RSSI. NIS2 est aussi ambitieuse que le RGPD, visant une cybersécurité de masse, ce qui élargit l'éventail des organisations concernées et augmente le nombre de DPO pour lesquels les employeurs auront des contraintes légales de sécurité.

Avec NIS2, le risque cyber ne peut plus être considéré uniquement comme un problème technique géré par la DSI : il devient aussi un risque juridique. La protection des données passe par la cybersécurité, impliquant une collaboration plus étroite entre DPO et RSSI.

En pratique, un incident cyber peut déclencher deux obligations de notification parallèles : notification CNIL sous 72 heures pour la violation de données (RGPD) et notification ANSSI sous 24 heures pour l'alerte initiale (NIS2). Le DPO reste le point de contact pour la protection des données personnelles : il évalue l'impact sur les droits et libertés, pilote la notification CNIL et documente la violation. Pour les entités concernées, l'articulation RGPD-NIS2 nécessite une gouvernance transversale impliquant DPO, RSSI et direction.

Pour aller plus loin

• Guide du DPO – CNIL
• Articles 37-39 RGPD – EUR-Lex
• Directive NIS2 et rôle du DPO – ANSSI