FCN Data
retour à la liste
2 min de lecture

DPO et RGPD : obligation, coût, périmètre et risques en 2026

DPO et RGPD : obligation, coût, périmètre et risques en 2026

C'est quoi le DPO au sens du RGPD ?

Le DPO est le Délégué à la protection des données ("Data Protection Officer") désigné auprès de la CNIL pour votre entreprise, association ou établissement public.

Le DPO est une personne physique ou morale, nommée par la Direction pour être conforme au RGPD.

Le DPO a pour fonction de veiller à la conformité de votre organisme dans le temps et d'intervenir en cas de contrôle, procédure d'accès ou cas de violation de données.

Traditionnellement, le DPO est également en charge du travail opérationnel de mise en conformité au RGPD (audit des données, rédaction de clause, mise en place de procédures, etc).

DPO : missions essentielles au sens du RGPD

Le Délégué à la Protection des Données (DPD en français ou DPO en anglais) devra a minima remplir les missions suivantes : 

  1. Informer et conseiller la Direction ou le sous-traitant, sur leurs obligations RGPD
  2. Veiller au respect du RGPD dans l'organisme
  3. Coopérer avec l’autorité de contrôle, pour toute question ou contrôle.
  4. Répondre aux demandes d'exercice de droit
  5. Apporter un support juridique au service I.T en cas de violation de données 

DPO et mise en conformité RGPD

Le DPO de votre organisme va traditionnellement réaliser la mise en place opérationnelle du RGPD et son suivi dans le temps étant donné que peu de métiers disposent des compétences en interne.

Les tâches opérationnelles du DPO sont à 95% juridiques environ (et non informatique, comme on pourrait le croire). Les jobs de DPO et RSI sont complémentaires.

En effet, le travail de conformité regroupe notamment l'écriture et correction de clauses RGPD, la réalisation d'un registre, la recommandation sur les projets impliquant des données personnelles, la rédaction de procédures d'exercice des droits, la formalisation d'un droit à l'image, etc.

Il est donc recommandé d'avoir un profil de Juriste I.T pour votre organisme (avec un BAC+5 en droit du numérique de préférence pour vous éviter l'incertitude juridique).

Etapes DPO externe FCN Data-schéma

Le DPO est-il obligatoire pour votre organisme ?

La règle : désigner un DPO est recommandé pour tous les organismes. En cas de non désignation, l'organisme doit garder une preuve justifiant pourquoi la Direction a décidé de ne pas désigner de DPO. L'écrit devra être conservé signé et daté. 

Exception : le DPO est obligatoire lorsque vous traitez des données sensibles.

En pratique : il est difficile de justifier de l'absence de désignation d'un DPO pour le plupart des entreprises, car dans le cadre de votre activité, vous traitez nécessairement des données sur les salariés, prospects, clients et prestataires.

DPO : sanctions pour non désignation 

Ne pas se conformer à l’obligation de nommer un DPD vous expose à diverses sanctions CNIL allant d’une mise en demeure, à la sanction pécuniaire pouvant aller jusqu'à 4 % du chiffre d’affaires pour les entreprises ou 20 millions d'euros pour les associations et établissements publics.

Un salarié peut-il être DPO au sens du RGPD ?

Un salarié peut être DPO mais sous condition. Le salarié DPO sera communément appelé "DPO interne".

Conditions de désignation du DPO salarié

Le salarié doit pouvoir :

  • disposer du temps nécessaire à sa fonction de DPO
  • disposer des compétences attendues par la fonction de DPO
  • ne pas être en situation de conflit d'intérêt

Salarié DPO et conflit d'intérêt

L'absence de conflit d'intérêt est primordiale.

Un salarié ne peut pas être DPO RGPD lorsque les fonctions prévoient ou supposent :

  • la détermination des moyens du traitement (c'est à dire comment sont gérées les informations)
  • et/ou ses finalités (c'est à dire à quoi elles servent) dans un département spécifique, type RH ou informatique, ou bien de manière générale à l'entreprise ou l'association
Salariés exclus de la fonction de DPO interne :

La CNIL prévoit une liste de fonction incompatibles avec la désignation d'un DPO salarié :

  • Président
  • Directeur Général
  • Secrétaire général
  • Directeur opérationnel
  • Directeur financier
  • Responsable marketing
  • Responsable des Ressources Humaines
  • Responsable du Service Informatique (RSI ou DSI)

Si votre salarié est désigné DPO et occupe l'un des postes ci-dessus, votre organisme sera dans l'illégalité.

Salariés exclus de la fonction de DPO interne : les cas particulier

La Directrice ou Directeur Juridique par exemple, peuvent être DPO salarié sauf si leur fonction leur permet de représenter l’organisme devant les tribunaux dans les dossiers impliquant des données personnelles (source).

D'autres métiers comme Responsable Qualité, peuvent être exclus si leur fiche de poste ou pratiques opérationnelle permet de décider "comment les informations usagers sont traités" et/ou "dans quel but". La règle s'applique également si la donnée usager est traitée dans un logiciel métier.

DPO RGPD salarie - condition designation

DPO et RGPD : quelle charge de travail ?

La charge du DPO RGPD varie... selon la typologie de l'organisme, le nombre de salariés et le souhait de la Direction de se tourner vers des pratiques à risque.

Trois scénarios :

1 - Votre organisme collecte des données sensibles

Plus vous collectez de données sensibles, plus le travail de conformité et d'analyse sera important.

2 - Votre organisme dépasse les 50 salariés

À cet taille, le volume de traitement de données réalisé par les salariés et la multitude des prestataires augmente fortement car l'entreprise ou l'association est structurée.

3 - La mise en place de pratiques dites à risque

Si vous souhaitez mettre en place une IA pour le commerce, de la géolocalisation, ou de la vidéosurveillance par exemple, vous collecterez probablement plus d'informations à risque qu'un simple mail/nom/prénom.

De plus, vous multipliez la circulation d'information vers des sous-traitants comme le prestataire de vidéo, de géolocalisation ou l'IA qui s'entraine avec vos données.

Ces pratiques sont légalement possibles mais doivent être encadrées par le DPO avec la mise en place de différents documents de conformité au RGPD.

DPO externe : définition

Le DPO externe est un prestataire RGPD désigné auprès de la CNIL, qui a pour rôle d'assurer les missions de DPO et de réaliser le travail opérationnel de mise en conformité RGPD.

Le recours à un DPO externe permet aux organisations de garantir leur conformité RGPD sans supporter le coût d’un poste interne.

Indépendant, il évite tout conflit d’intérêts, apporte une expertise immédiatement opérationnelle, s’adapte aux besoins réels et réduit les risques d’erreurs pouvant entraîner des sanctions.

Lequel est moins cher : DPO externe ou DPO interne ?

Le DPO externe est moins cher que le DPO interne. C'est une solution flexible, économique et particulièrement adaptée aux structures qui ne souhaite pas recruter un DPO à 50 000 euros annuel chargé.

Et si l'on désigne un DPO interne qui se forme sur le tas ?

Le RGPD est un univers à lui seul car le vocabulaire employé et les exigences sont technico-juridiques.

Il est donc nécessaire pour le DPO interne de décrypter les 99 pages de la réglementation.

Le DPO interne devra tout rédiger de 0 ou presque (cf. modèles CNIL).

Une conformité partant d'une page blanche, pour un profil non juriste, peut prendre jusqu'à 70h par mois.

70h x coût chargé d'un salarié = votre prix minimum

En comparaison, un DPO externe est bien plus accessible. En effet, une offre DPO externe démarre à 190 € HT / mois (voir même moins dans certains cas).

Chez FCN Data par exemple, nous adaptons l'offre DPO externalisée au besoin de conformité, ce qui permet d'obtenir de meilleur prix.

DPO externe et RGPD : quelle responsabilité pour le prestataire ?

Le DPO externalisé est tenu par un devoir d'expertise

Le DPO externe, en qualité d'Expert dispose d'un savoir que vos salariés n'ont pas. Il va donc vous partager des recommandations ou avis juridiques dont vous ne pouvez pas avoir connaissance.

En outre, si votre DPO RGPD vous partage, en qualité d'Expert, une information qui est fausse et que vous ne pouviez pas connaître, le prestataire est Responsable.

Exemple : certaines violations de données doivent être déclarées dans les 72h après connaissance de la violation. Si votre DPO externe vous dit que ce délai est de 15 jours, c'est de sa responsabilité (car vous ne pouviez pas savoir que ce qu'il disait est faux).

Par contre, si votre DPO externe vous dit que c'est 72h et qu'en pratique, vous attendez 15 jours avant de déclarer à la CNIL, alors c'est de votre responsabilité.

En effet, le Client est le décisionnaire final sur comment sont gérées les données chez lui, peu importe les recommandations du DPO.

Le DPO externe est tenu par un contrat

Comme un prestataire RH ou DSI externalisé, votre DPO externe est tenu par un contrat. Il est donc évident que ce dernier doit respecter ses engagements. Le cas contraire,votre prestataire peut être sanctionné selon les termes dudit contrat.

C'est pourquoi, il est très important de demander à votre prestataire de lister les livrables attendus ou à défaut, le quota d'heures alloués au projet pour que vous puissiez vérifier le travail réalisé et éviter les frais cachés (en savoir plus sur les coûts cachés et pièges à éviter dans un devis).

Responsabilité du salarié en cas de DPO interne ?

Le choix d'un DPO interne à temps plein est pertinent au sein des grands groupes particulièrement, qui disposent d'une équipe de Juristes en interne et d'un réseau de Référents RGPD.

Dans ce scénario, les DPO internes sont principalement des professionnels du droit et demandent un budget pour s'équiper d'outils RGPD afin d'organiser au mieux, leur travaux de conformité.

DPO et RGPD : quels intérêts pour les TPE/PME ?

Désigner un DPO RGPD devient nécessaire pour :

  • répondre à des appels d'offres d'organismes réglementés (ex : établissements publics)
  • répondre à des demandes clients (grands comptes généralement)
  • limiter la note devant les prud'hommes (car la non conformité peut être utilisé contre vous)
  • sécuriser vos actifs numériques (ex : prestataire SI ou de logiciel/application web)
  • économiser ses coûts en cybersécurité
  • ne plus penser au RGPD comme risque éventuel (financier ou sanction personnelle de la Direction)
  • récupérer une vision claire des informations circulant dans l'entreprise
  • donner un cadre sécurisant à ses salariés
  • se protéger juridiquement de mauvaises pratiques informatiques d'un salarié

Comment trouver un DPO ?

Déjà, vous pouvez faire appel à FCN Data bien évidemment !

Trouver un DPO externe

  • recherche sur Google ou équivalent (il suffit de taper les mots "devis RGPD" pour trouver facilement une liste de prestataires proposant de service de DPO externe)
  • comparer les modes d'accompagnement
  • comparer les missions DPO et le travail opérationnel réalisé

FCN Data propose des services de DPO externe, contactez-nous pour en savoir plus ou demandez un devis en ligne.

Trouver un DPO interne

Si vous souhaitez nommer un DPO salarié de votre entreprise ou association, nous vous recommandons de choisir un profil ayant l'habitude de gérer des processus qualité.

Les profils de Qualiticien(ne) ou Juriste en droit social sont pertinents.

Attention néanmoins à leur apporter la formation nécessaire et les outils pour qu'ils puissent s'occuper de la gestion du RGPD en toute sérénité.

Chez FCN Data, nous proposons un accompagnement (formations et ateliers pratiques) finançable OPCO pour permettre à votre salarié DPO d'avancer en toute tranquillité dans sa démarche de conformité (avec en bonus, notre outil RGPD pour gagner du temps). Contactez-nous.

Comment désigner un DPO ?

Pour tout entité juridique établie en France, la formalité pour nommer un DPO est gratuite et doit être faite en ligne auprès de la CNIL via un formulaire dédié. Blockproof peut également vous accompagner sur ce point là.

Pour info, si le siège social de votre entreprise est établie dans un autre pays membre de l’UE, vous devrez vous adresser à l’autorité de contrôle de ce pays membre selon les formalités qu’elle aura déterminée en la matière.

DPO RGPD : quelles informations à renseigner auprès de la CNIL ?

Concernant les formalités auprès de la Commission nationale de l'informatique et des libertés, plusieurs informations devront être renseignées :  

  • Sur l’organisme : le numéro SIREN si vous disposez d’un tel numéro, l'adresse postale, le secteur d’activité, les coordonnées du responsable légal.
  • Sur le Délégué à la Protection des Données : 
    - l’identité précise de la personne physique désignée, son nom, prénom, numéro de téléphone, adresse postale et courriel. Attention ces informations sont privées et seront conservées par la CNIL mais ne seront pas publiques.
    - les coordonnées publiques du DPO : au minimum 2 moyens de contact différents (par exemple : un formulaire en ligne, une adresse e-mail dédiée, une adresse postale ou un numéro de téléphone dédié).

DPO et certification

Depuis la loi du 20 juin 2018, la CNIL a la capacité de certifier des personnes. De sorte qu’elle a adopté deux référentiels de certification, permettant d’agréer des organismes chargés de délivrer des certifications de compétences du DPO. Une liste des organes certificateurs est disponible sur le site de Légifrance.

La certification a été crée pour les non Juristes principalement

Les profils de Juristes BAC+5 en droit du numérique sont l'élite du milieu, mais la demande de DPO augmentant, il est désormais possible pour des non Juristes de valider des compétences minimales grâce à la certification DPO.

Attention néanmoins, car certains organismes (autres que la CNIL) ont développé leurs propres référentiels de "certification" ; ces certifications ne seront donc pas valides au regard du référentiel de la CNIL.

DPO RGPD : quelle formation est nécessaire pour être en sécurité ?

Pour votre sécurité juridique, optez pour un DPO disposant d'un Master 2 en Droit du numérique ou Droit des nouvelles technologies.

Exceptionnellement, vous pouvez (dans les cas complexes tels que les établissements dans le secteur médico-social et sanitaire) missionner un Délégué à la Protection des Données disposant d'un Master 2 en Droit de la Santé.

Pour mémo, le travail de conformité est d'environ 95% de travaux juridiques et 5% d'informatique. C'est un travail éminemment juridique.

Nommer un informaticien externalisé en qualité de DPD n'est pas la meilleure idée par exemple.

Un profil de juriste BAC+5 est donc le profil plus pertinent. Le profil d'avocat est aussi intéressant si ce dernier a suivi un cursus spécialisé en protection des données personnelles ou en droit du numérique durant ses études de droit.

N'hésitez pas à lui poser la question sur les différents droits que l'avocat a pu étudier à l'université.

DPO, RGPD et Responsable de Traitement

Le Responsable de Traitement est “la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement”.

Généralement, le Responsable de Traitement, est incarné par la Direction Générale. C'est la personne physique ou l'organisme qui définit "à quoi servent" les informations utilisées et les moyens mis en œuvre dans le cadre de ses activités. Le Délégué à la protection des données recommande et le Responsable de Traitement veille à l’application effective des recommandations. La Direction ne peut pas être DPO pour cause de conflit d’intérêts.

article author
Yolène F.