Les missions du Délégué à la Protection des Données (DPO)

février, 2025

adequate technologies_DPO_Data Protection Officer_Délégué à la protection des données

Depuis le 25mai 2018, le RGPD (Règlement Général sur la Protection des Données), est actif ….et beaucoup de TPE/PME, d’Associations, d’Organisations, de Collectivités demeurent encore non conformes à ce jour !

Le/La Délégué(e) à la Protection des Données (DPO ou DPD) est le véritable pilote/chef d’orchestre du projet de la mise en conformité de cette réglementation dite RGPD.

Le profil des DPO en 2024

Plus la taille de l’organisation est importante, plus les profils juridiques sont représentés. À l’inverse, plus l’organisation est de petite taille, plus les DPO hors profils « informatique » et « juridique » sont nombreux.

  • 78 % exercent leur fonction comme DPO interne
  • 70 % exercent hors Île-de-France
  • 51 % de femmes et 49 % d’hommes
  • 60 % sont issus de formation supérieure (niveau master ou doctorat)
  • 69 % sont âgés de 40 ans et plus
  • 61 % ont une ancienneté dans la fonction de 3 à 5 ans

Source CNIL (01/07/2024)

Les missions principales du DPO

Informe et conseille l’organisme ainsi que les salariés/agents sur les obligations qui lui incombent en vertu du RGPD et d’autres dispositions de l’Union ou de l’EM concerné.

Contrôle le respect du RGPD, d’autres dispositions de l’UE ou de l’EM concerné et des règles internes du RT ou du ST (sensibilisation, formation du personnel, audits …).

Dispense des conseils en ce qui concerne l’analyse d’impact relative à la protection des données et vérifie son exécution.

Coopère avec l’autorité de contrôle et fait office de point de contact pour les personnes concernées sur toute question en lien avec les traitements. S’assure de la bonne tenue de la documentation relative aux traitements.

3 cas obligatoires pour désigner un DPO dans un organisme

Pour toute autorité publique ou tout organisme public (collectivités territoriales, État, établissements publics, etc…) quel que soit la nature du traitement.

Si les activités de base de l’organisme consistent en des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées.

Si les activités de base de l’organisme consistent en des traitements à grande échelle de données sensibles (article 9 du RGPD) ou de données relatives aux condamnations pénales et aux infractions (article 10 du RGPD).

Le G29 encourage la désignation volontaire dans les petites structures, association.

Les 3 types de DPO :

  • le DPO interne, qui est salarié d’un seul organisme ;
  • le DPO interne mutualisé, qui est salarié mutualisé pour plusieurs responsables de traitement ;
  • le DPO externe, qui est indépendant, ou salarié d’un organisme spécialisé (organismes publics de services numériques, cabinet de conseil, cabinet d’avocats…).

L’évolution du DPO face aux défis du RGPD en 2025

source Digital Marketing PME – extrait article du 30 décembre 2024

  • Le nombre de DPO a considérablement augmenté, passant de 21 000 en 2019 à 34 440 en 2024, soulignant l’importance croissante de cette fonction dans les organisations.
  • Les DPO doivent développer des compétences variées, incluant la sécurité informatique, la gestion de projet et la communication, pour s’adapter aux exigences du RGPD.
  • La gestion proactive des données est essentielle : les DPO doivent mettre en place des mesures de sécurité robustes et former continuellement le personnel.
  • Les DPO jouent un rôle stratégique dans la conformité, en anticipant les évolutions réglementaires et en intégrant la protection des données dans la culture d’entreprise.
  • Les défis à venir incluent l’adaptation aux nouvelles technologies comme l’intelligence artificielle et le big data, qui nécessitent une vigilance accrue.
  • Les DPO doivent renforcer les processus de conformité pour répondre aux attentes croissantes des consommateurs et des régulateurs, afin d’éviter des sanctions sévères.
  • Investir dans la formation des DPO est crucial pour transformer la conformité en un atout stratégique pour l’entreprise
  • (source

En conclusion

Vous n’arriverez pas à mettre l’ensemble de vos traitements en conformité à 100%.

Il faut donc se concentrer sur l’essentiel : éliminer vos risques majeurs.

Pour en savoir plus : consultez le site de la CNIL.

Infos abréviations :

LIL = Loi Informatique et Libertés

RGPD = règlement général sur la protection des données

GDPR = general data protection regulation

CIL = Correspondant Informatique et Libertés

DPD = délégué à la protection des données

DPO = data protection officer

RT = Responsable de traitement

ST = Sous-traitant

G29 = groupe des CNIL de l’Union européenne (groupe de travail de l’article 29 de la directive 95/46/CE)

EM = État membre (de l’Union européenne)

LD = lignes directrices (guidelines)