Le Délégué à la Protection des Données (DPO) est le garant de votre conformité RGPD.
Mais que faire lorsqu’il faut le remplacer ? Démission, conflit d’intérêts, manque d’expertise, volonté d’externaliser la fonction : changer de DPO est une décision stratégique… et délicate.
⚠️ Un changement mal géré peut exposer votre entreprise à un contrôle de la CNIL, voire à des sanctions.
Dans cet article, nous vous guidons pas à pas sur :
- Pourquoi changer de DPO ?
- Quelles sont les étapes officielles auprès de la CNIL ?
- Comment réussir cette transition sans rupture de conformité ?
Pourquoi envisager un DPO externalisé pour votre entreprise ?
Pourquoi changer de DPO ?
Plusieurs situations concrètes peuvent mener une entreprise à envisager le remplacement de son DPO :
- Démission du DPO : Comme tout poste, un DPO peut choisir de quitter ses fonctions.
- Conflit d’intérêts : Le DPO doit être indépendant. S’il cumule des fonctions incompatibles (ex : directeur IT ou RH), un remplacement s’impose.
- Manque d’expertise : Le RGPD évolue, les enjeux se complexifient. Si votre DPO interne n’a pas les compétences suffisantes, cela met en péril votre conformité.
- Passer à l’externalisation : Une PME ou une ETI peut préférer confier cette mission à un cabinet spécialisé pour bénéficier d’une expertise pointue à moindre coût.
❌ Attention : L’absence de DPO valide ou un mauvais remplacement peuvent entraîner une sanction de la CNIL en cas de contrôle.
Changer de DPO : toutes les étapes officielles auprès de la CNIL
Voici les étapes clés pour changer de DPO sans fausse note.
1. Démission du DPO actuel
Le DPO actuel doit notifier sa démission à l’entreprise par écrit. Un modèle simple peut suffire :
Modèle de lettre de démission du DPO :
[Nom et prénom du DPO]
[Adresse]
[Date]
À l’attention de [Nom de l’entreprise]
Objet : Démission de mes fonctions de Délégué à la Protection des Données
Madame, Monsieur,
Je vous informe de ma décision de mettre fin à mes fonctions de Délégué à la Protection des Données (DPO), conformément à l’article 37 du RGPD, à compter du [date].
Je reste à votre disposition pour assurer la transition dans les meilleures conditions.
Veuillez agréer, Madame, Monsieur, l'expression de mes salutations distinguées.
[Signature]
2. Informer la CNIL
Concrètement, je procède en deux temps :
- Déclaration de la nomination du DPO via le formulaire officiel sur le site de la CNIL. Cela formalise immédiatement la prise de fonction.
- Envoi dans la foulée d’un email au service des DPO de la CNIL pour préciser qu’il s’agit d’un remplacement, en mentionnant l’ancien DPO et le contexte (continuité de la conformité, maintien du lien, etc.).
Vous recevrez dans les jours qui suivent une confirmation de la part du service DPO de la CNIL.
À chaque fois, je reçois une réponse rapide et claire de leur part, confirmant la bonne prise en compte de l’information. Cela garantit que tout est à jour et que la communication reste fluide avec l’autorité. Je conseille de tout archiver dans le dossier RGPD de l’entreprise pour la bonne traçabilité.
⚠️ Important : La désignation du DPO est obligatoire pour certains organismes. L’absence de mise à jour peut être sanctionnée.
3. Assurez la continuité RGPD
- Documentez le transfert de missions (audit, registres, procédures en cours).
- Planifiez un audit de conformité pour valider que la transition n’a pas créé de vide juridique.
Remplacer un DPO interne par un DPO externe : pourquoi et comment ?
Externaliser son DPO, c’est confier la fonction à un expert externe. Pourquoi de plus en plus d’entreprises font ce choix ?
✅ Avantages du DPO externalisé pour une PME :
- Expertise pointue et toujours à jour
- Indépendance garantie (pas de conflit d’intérêts)
- Flexibilité et économies (pas de salarié à plein temps)
Vous vous assurez ainsi une continuité RGPD solide et un accompagnement personnalisé dans le temps.
📋 Check-list pratique pour changer de DPO en toute conformité
- 📄 Obtenir la lettre de démission du DPO actuel
- 🔗 Mettre à jour la désignation auprès de la CNIL via le formulaire et un email au service des DPO
- 🔍 Assurer la transition documentaire et opérationnelle
- 🧑💼 Nommer un DPO externe si besoin (solution recommandée pour PME/ETI)
- 🛡️ Planifier un audit de conformité RGPD après le changement
Conclusion : anticipez votre conformité, sécurisez votre DPO
Le changement de DPO n’est pas qu’une formalité : c’est une étape stratégique pour garantir la conformité de votre entreprise face au RGPD. Que ce soit pour remplacer un DPO interne ou envisager une externalisation, l’accompagnement d’un expert vous assure une transition fluide, sans risque.
💡 Renseignez-vous sur le coût de notre mission DPO externalisée :
DPO Externe
Questions fréquentes
Combien de temps dispose une entreprise pour notifier à la CNIL le changement de DPO ?
Le RGPD ne fixe pas de délai précis, mais il est fortement recommandé de notifier le changement de DPO à la CNIL sans délai pour garantir une continuité de la conformité. Le DPO étant le principal point de contact. Un retard pourrait exposer l’entreprise à un risque en cas de contrôle ou d’incident de sécurité.
Quelles compétences sont attendues d’un DPO externalisé ?
Un DPO externalisé doit justifier de :
- Connaissances approfondies en droit des données personnelles (RGPD, ePrivacy).
- Compétences en gestion des risques, cybersécurité, et gouvernance IT.
- Maîtrise des procédures CNIL, audits de conformité et études d’impact (PIA).
Choisir un cabinet spécialisé en protection des données garantit une expertise à jour face à l’évolution du cadre réglementaire.
Comment auditer la conformité RGPD après un changement de DPO ?
Après un changement de DPO, il est recommandé de réaliser :
- Une cartographie des traitements de données.
- Une revue des registres RGPD et procédures internes (gestion des droits, sécurité).
- Un audit des sous-traitants pour vérifier leur conformité.
Un audit de conformité RGPD post-transition assure qu’aucune faille ne s’est glissée dans la gestion des obligations légales.
