DPO (Délégué à la Protection des Données)
Rôle obligatoire au sens du RGPD, chargé de contrôler la conformité de l'organisation au droit européen de la protection des données et d'être le contact de l'autorité de contrôle.
Le Délégué à la Protection des Données (DPO) est un rôle créé par le Règlement général sur la protection des données (RGPD / GDPR) et défini aux articles 37 à 39. Le DPO contrôle la conformité de l’organisation au droit de la protection des données, conseille le responsable de traitement et les sous-traitants, sensibilise et forme les équipes, et sert de point de contact formel des autorités de contrôle — CNIL en France, Garante en Italie, ICO au Royaume-Uni, etc.
L’article 37 rend la désignation d’un DPO obligatoire dans trois cas :
- Autorités ou organismes publics (sauf les juridictions agissant dans leur fonction juridictionnelle).
- Responsables ou sous-traitants dont les activités de base consistent en des opérations exigeant un suivi régulier et systématique à grande échelle des personnes concernées — ad-tech, analytique comportementale, grands réseaux sociaux.
- Responsables ou sous-traitants dont les activités de base consistent en un traitement à grande échelle de catégories particulières de données (article 9 : santé, biométrie, génétique, opinions politiques, religion, appartenance syndicale, orientation sexuelle) ou de données relatives à des condamnations pénales et infractions (article 10).
Hors de ces cas obligatoires, beaucoup d’organisations désignent un DPO volontairement — et plusieurs régulateurs nationaux (notamment le régime allemand) imposent des seuils additionnels, typiquement liés à l’effectif.
Caractéristiques du rôle :
- Indépendance. L’article 38 exige un rattachement au plus haut niveau de la direction, l’absence de sanction liée à l’exercice de la mission, et l’absence d’instructions sur la manière de l’exercer.
- Expertise. L’article 37(5) demande des « connaissances spécialisées du droit et des pratiques en matière de protection des données » proportionnées aux traitements.
- Pas de conflit d’intérêts. Le DPO ne peut pas être la personne qui décide des finalités et moyens du traitement — ce qui exclut en pratique le PDG, le DSI, le directeur marketing, et (dans la plupart des interprétations CNIL) le RSSI du cumul avec le rôle de DPO.
- Interne ou externe. Le DPO peut être un salarié ou un prestataire, y compris un DPO mutualisé entre plusieurs entités d’un groupe.
Pour un acheteur sécurité, le point pratique : DPO et RSSI sont deux rôles distincts aux besoins de preuve qui se recouvrent. Les « mesures techniques et organisationnelles appropriées » de l’article 32 — sensibilisation, formation, comportement démontrable — se situent à l’intersection. DPO et RSSI bénéficient tous deux d’un système qui produit la preuve comportementale que la CNIL acceptera réellement lors d’un contrôle.
Termes liés
- RSSI (Responsable de la Sécurité des Systèmes d'Information)Dirigeant responsable de la stratégie de sécurité de l'information, de la posture de risque et de l'exposition réglementaire — équivalent du CISO anglo-saxon.
- RGPD article 32Article du RGPD qui impose aux responsables et sous-traitants des mesures techniques et organisationnelles appropriées — lu de plus en plus comme incluant les contrôles comportementaux.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.
- CNIL (Commission nationale de l'informatique et des libertés)Autorité française indépendante de protection des données — fait appliquer le RGPD, déclenche le délai de 72 h de notification et publie des doctrines opposables.