Décryptage complet de l’article 37 du RGPD
Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque :
- le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
- les activités de base consistent en des traitements exigeant un suivi régulier et systématique à grande échelle des personnes concernées ;
- les activités de base consistent en un traitement à grande échelle de données sensibles (art. 9) ou relatives à des condamnations pénales (art. 10).
Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’il soit facilement joignable à partir de chaque lieu d’établissement.
Lorsqu’il s’agit d’une autorité publique ou d’un organisme public, un seul délégué peut être désigné pour plusieurs entités, compte tenu de leur structure organisationnelle et de leur taille.
En dehors des cas obligatoires, le responsable, le sous-traitant ou leurs associations représentatives peuvent désigner un DPO. Si le droit de l’Union ou d’un État membre l’exige, cette désignation devient obligatoire.
Le DPO peut agir pour ces associations ou autres organismes représentant des responsables ou des sous-traitants.
Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles, en particulier sa connaissance spécialisée du droit et des pratiques en matière de protection des données, ainsi que sa capacité à accomplir les missions prévues à l’article 39.
Le DPO peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.
Le responsable ou le sous-traitant publie les coordonnées du DPO et les communique à l’autorité de contrôle.
Test : découvrez si vous devez désigner un DPO pour votre organisation
🕵️♂️ Êtes-vous concerné par l’obligation de nommer un DPO ?
DPO RGPD : dans quels cas est-ce obligatoire ?
L’article 37 du RGPD impose, dans certaines situations, la désignation d’un délégué à la protection des données. Mais entre jargon juridique et interprétations floues, beaucoup d’organisations passent à côté de cette obligation au risque de s’exposer à des sanctions.
L’article 37 du RGPD liste trois cas précis où la désignation d’un DPO est obligatoire :
- Vous êtes un organisme public (hors juridictions).
- Vos activités principales impliquent un suivi régulier et systématique à grande échelle des personnes (ex : plateforme SaaS, systèmes de géolocalisation, scoring clients…).
- Vous traitez des données sensibles à grande échelle (santé, religion, orientation sexuelle, infractions…).
Quand faut-il le désigner ?
Dès qu’un de ces critères s’applique à votre structure, la désignation devient immédiate et obligatoire. Ce n’est pas une option à envisager plus tard.
✅ Désignez un DPO :
- Avant la mise en production d’un traitement sensible ou à grande échelle
- Lors de la mise en conformité RGPD
- Dès qu’un nouveau traitement entre dans le champ de l’article 37
- Avant d’entamer une analyse d’impact (PIA)
💡 À retenir : le DPO n’est pas un pompier qu’on appelle en cas de contrôle. Il est là dès la conception (privacy by design).
Deux erreurs fréquentes qui mettent votre conformité en danger
Deux situations très fréquentes remettent en cause la conformité RGPD :
❌ 1. Ne pas désigner de DPO alors que c’est obligatoire
Trop d’organismes publics ou d’entreprises privées pensent ne pas être concernés.
Mais si vous êtes une mairie, un hôpital, un établissement scolaire, ou si vous traitez des données sensibles à grande échelle, vous devez désigner un DPO.
🎯 En cas d’oubli :
- Mise en demeure
- Sanction administrative
- Dommages réputationnels
❌ 2. Nommer une personne en conflit d’intérêts
Autre erreur classique : désigner un DSI, un responsable sécurité ou un juriste interne comme DPO.
➡️ Mauvaise idée.
Le RGPD impose que le DPO soit indépendant. Il ne peut pas surveiller un traitement qu’il pilote.
Exemple :
- Le responsable IT choisit une solution RH,
- Puis l’évalue en tant que DPO.
❌ Conflit d’intérêts, désignation invalide.
💡 Conseil : si l’indépendance du DPO pose problème, pensez à l’externalisation.
🔗 En savoir plus : DPO RGPD : fonctions incompatibles
DPO interne ou externe ? Le bon choix pour votre entreprise
| Critère | DPO Interne | DPO Externe |
|---|---|---|
| 🎓 Compétences RGPD | Variables, dépend de la formation | Expertise actualisée, veille permanente |
| 🧭 Indépendance | Parfois difficile à garantir | Assurée par la nature externe de la mission |
| ⏱ Disponibilité | Limitée, souvent double casquette | Ajustable selon vos besoins réels |
| 💰 Coût | Salarié, charges, formation continue | Souvent moins cher à temps partagé |
| ⚠️ Risque de conflit d’intérêts | Élevé si c’est un cadre opérationnel | Faible |
🔍 À retenir : si vous êtes une PME, un DPO externe est souvent le choix le plus sûr et rentable.
FAQ – Les questions fréquentes
Une association ou une start-up peut-elle être obligée de nommer un DPO ?
👉 Oui, même une structure de moins de 5 salariés peut être concernée si elle traite des données sensibles à grande échelle (santé, handicap, opinions…).
C’est fréquent dans les ONG, les EdTech ou les services à la personne. L’erreur classique est de croire qu’un petit effectif protège de l’obligation RGPD : c’est faux.
Peut-on désigner un DPO uniquement pour une durée limitée ou pour un projet RGPD spécifique ?
👉 Oui, c’est possible, mais à condition de formaliser une durée d’intervention et un périmètre fonctionnel.
Cette approche « projet » est pertinente lors d’une analyse d’impact (AIPD), d’une mise en conformité ponctuelle, ou d’un audit interne. Mais attention : dès que le traitement devient permanent, le DPO doit l’être aussi.
Quelle stratégie adopter si je suis « à la frontière » de l’obligation DPO ?
👉 Adoptez une stratégie de conformité prudente : désignez volontairement un DPO externe.
Cela montre à la CNIL une bonne foi proactive, sécurise vos traitements et vous prépare aux évolutions futures (fusion, croissance, nouveaux services). C’est aussi un signal fort pour vos clients B2B souvent exigeants sur la gouvernance data.
Quels indicateurs de performance suivre pour mesurer l’efficacité de son DPO ?
👉 Voici 4 KPIs concrets à suivre :
- Nombre de traitements audités ou documentés par le DPO
- Taux d’implication du DPO dans les nouveaux projets (privacy by design)
- Temps de réponse aux demandes des personnes concernées
- Nombre de non-conformités détectées en interne avant contrôle CNIL
Un DPO efficace se mesure aussi à sa capacité à anticiper, pas juste à réagir.
