Skip to content
Glossaire

DPO (Délégué à la Protection des Données)

Le DPO (Data Protection Officer) est la personne chargée de veiller à la conformité d'une organisation au RGPD. Il conseille la direction sur les traitements de données personnelles, réalise ou supervise les analyses d'impact (AIPD), et sert de point de contact avec la CNIL. Sa désignation est obligatoire pour les organismes publics et les entreprises traitant des données sensibles ou réalisant un suivi systématique à grande échelle.

11 min de lecture Thomas Ferreira

Rôle et missions du DPO

Le DPO est le garant de la conformité d’une organisation au Règlement Général sur la Protection des Données (RGPD). Ses missions sont définies par les articles 37 à 39 du RGPD et couvrent trois axes.

Informer et conseiller

Le DPO conseille la direction et les équipes opérationnelles sur leurs obligations en matière de protection des données personnelles. Quand l’entreprise lance un nouveau projet impliquant des données personnelles — un CRM, une application RH, un formulaire de collecte sur le site web, un outil d’emailing — le DPO intervient dès la conception pour vérifier la conformité. C’est le principe de privacy by design (article 25 du RGPD) : intégrer la protection des données dès la phase de conception, pas après coup.

En pratique, le DPO :

  • Vérifie que chaque traitement a une base légale valide (consentement, contrat, intérêt légitime, obligation légale)
  • S’assure que les mentions d’information sont claires et complètes
  • Conseille sur la durée de conservation des données
  • Forme les équipes aux bonnes pratiques (minimisation des données, gestion des accès)

Contrôler la conformité

Le DPO tient et met à jour le registre des traitements (article 30 du RGPD), qui recense l’ensemble des opérations de traitement de données personnelles de l’organisation. Ce registre est le document que la CNIL demande en premier lors d’un contrôle.

Le DPO réalise ou coordonne les analyses d’impact relatives à la protection des données (AIPD, article 35 du RGPD). Une AIPD est obligatoire quand un traitement est susceptible d’engendrer un risque élevé pour les droits des personnes : profilage, vidéosurveillance, traitement de données de santé à grande échelle, etc.

Le DPO audite régulièrement les pratiques internes : les données sont-elles bien sécurisées ? Les sous-traitants respectent-ils le RGPD ? Les durées de conservation sont-elles appliquées ? Les droits des personnes (accès, rectification, suppression, portabilité) sont-ils traités dans les délais ?

Point de contact avec la CNIL

Le DPO est l’interlocuteur officiel de la CNIL. En cas de contrôle, c’est lui qui coordonne les réponses. En cas de violation de données personnelles (fuite, vol, destruction accidentelle), c’est le DPO qui prépare et soumet la notification à la CNIL dans le délai de 72 heures imposé par l’article 33 du RGPD.

En 2024, la CNIL a prononcé 331 mises en demeure et 87 sanctions pour non-conformité au RGPD. Le montant cumulé des amendes a atteint 55,2 millions d’euros. Les manquements les plus fréquents concernent l’information des personnes, la sécurité des données et le défaut de coopération avec la CNIL — trois domaines où un DPO aurait permis d’éviter la sanction.

Quand la désignation d’un DPO est-elle obligatoire ?

L’article 37 du RGPD définit trois cas où la désignation d’un DPO est obligatoire.

Cas 1 : organismes publics

Toute autorité publique ou tout organisme public doit désigner un DPO, quelle que soit sa taille. Cela inclut les collectivités territoriales, les établissements publics, les ministères, les hôpitaux publics.

Cas 2 : suivi régulier et systématique à grande échelle

Les entreprises dont l’activité principale exige un suivi régulier et systématique de personnes à grande échelle doivent nommer un DPO. Concrètement, cela concerne :

  • Les plateformes de publicité en ligne (ciblage comportemental)
  • Les opérateurs télécoms (analyse d’usage)
  • Les sociétés de marketing qui profilent les comportements d’achat
  • Les entreprises de surveillance ou de géolocalisation

Cas 3 : traitement de données sensibles à grande échelle

Les entreprises qui traitent des catégories particulières de données (article 9 du RGPD) ou des données relatives aux condamnations pénales (article 10) à grande échelle doivent désigner un DPO :

  • Données de santé (hôpitaux privés, laboratoires, mutuelles, éditeurs de logiciels de santé)
  • Données biométriques (contrôle d’accès biométrique)
  • Données d’opinions politiques, religieuses, syndicales
  • Données génétiques

Et les PME qui ne sont pas dans ces cas ?

La majorité des PME de 50 à 200 salariés ne rentrent pas dans les trois cas cités. Pour autant, la CNIL recommande la désignation d’un DPO pour toute structure qui traite des données personnelles de manière significative. La recommandation de la CNIL est claire : même sans obligation légale, un DPO permet d’anticiper les risques et de structurer la conformité.

En pratique, une PME qui gère des données clients, des données RH de ses salariés, des fichiers de prospection commerciale, ou des données de santé au travail traite des données personnelles. L’absence de DPO ne l’exonère pas de ses obligations RGPD — elle rend simplement la conformité plus difficile à maintenir.

DPO interne ou externalisé : quel choix pour une PME ?

Le DPO interne

Un DPO interne est un salarié de l’entreprise qui assume la fonction de DPO, soit à temps plein, soit en cumul avec un autre poste. Le RGPD impose que le DPO ne soit pas en situation de conflit d’intérêts (article 38) : il ne peut pas être la personne qui décide des finalités et des moyens des traitements. En pratique, le directeur informatique, le DRH ou le directeur marketing ne peuvent pas être DPO, car ils définissent eux-mêmes des traitements de données.

Avantages :

  • Connaissance approfondie de l’entreprise, de ses métiers et de ses systèmes
  • Disponibilité immédiate pour les équipes
  • Intégration naturelle dans les projets internes

Inconvénients :

  • Compétences spécifiques requises en droit des données et en sécurité informatique
  • Risque de conflit d’intérêts si le DPO cumule avec un autre poste décisionnel
  • Coût : un DPO junior en France représente un salaire annuel de 35 000 à 45 000 € brut, un DPO confirmé entre 50 000 et 70 000 € brut selon l’AFCDP (Association Française des Correspondants à la Protection des Données à caractère personnel)

Pour une PME de 50 à 200 salariés, recruter un DPO à temps plein est rarement justifié. La charge de travail ne le nécessite pas, et le budget est plus utile ailleurs.

Le DPO externalisé

Le DPO externalisé est un prestataire — cabinet d’avocats, consultant indépendant, ou société spécialisée — qui assume la fonction de DPO pour le compte de l’entreprise. Il est désigné officiellement auprès de la CNIL, comme un DPO interne.

Avantages :

  • Expertise juridique et technique spécialisée
  • Indépendance garantie (aucun conflit d’intérêts)
  • Coût maîtrisé : entre 300 et 1 500 €/mois selon la complexité
  • Mise à jour continue des connaissances (le prestataire suit l’évolution de la jurisprudence et des recommandations CNIL)
  • Mutualisation : le DPO externalisé gère plusieurs clients et a une vision large des pratiques du marché

Inconvénients :

  • Moins de connaissance du contexte métier spécifique (compensé par un bon onboarding)
  • Disponibilité partagée entre plusieurs clients
  • Nécessité d’un relais interne pour le suivi opérationnel au quotidien

Comparatif des coûts

ModèleCoût annuel estiméAdapté pour
DPO interne temps plein45 000 - 70 000 € (salaire brut)ETI, secteurs réglementés (santé, finance)
DPO interne temps partiel10 000 - 25 000 € (part du temps alloué)PME avec un profil juridique ou IT en interne
DPO externalisé3 600 - 18 000 € (300-1 500 €/mois)PME de 50 à 200 salariés

Pour la majorité des PME, le DPO externalisé offre le meilleur rapport entre coût et expertise. C’est le modèle le plus courant sur le marché français pour les entreprises de cette taille.

DPO et cybersécurité : le lien direct

Le DPO n’est pas un technicien de sécurité informatique. Mais la protection des données et la cybersécurité sont imbriquées de manière concrète.

Le phishing : première cause de violation de données

Selon le rapport Verizon Data Breach Investigations Report 2024, 68 % des violations de données impliquent un facteur humain — et le phishing est le vecteur d’entrée le plus fréquent. Un employé qui clique sur un email de spear-phishing et saisit ses identifiants sur un faux site donne à l’attaquant un accès direct aux systèmes internes, aux boîtes email, aux fichiers partagés — et aux données personnelles qu’ils contiennent.

Une étude de l’ANSSI confirme que les emails malveillants restent le mode opératoire le plus répandu pour les compromissions initiales dans les organisations françaises.

La notification de violation : le circuit DPO-RSSI

Quand une violation de données personnelles survient — qu’elle résulte d’un ransomware, d’un phishing, d’une erreur humaine ou d’une faille technique — l’article 33 du RGPD impose une notification à la CNIL dans les 72 heures suivant la découverte. Si la violation présente un risque élevé pour les personnes concernées, l’article 34 impose en plus de les notifier individuellement.

Le circuit de gestion d’une violation dans une entreprise bien organisée :

  1. Détection — L’incident est détecté par l’équipe IT, le SOC, ou un employé qui signale un comportement anormal
  2. Qualification technique — Le RSSI (ou le responsable IT) évalue la nature et l’étendue de la compromission : quels systèmes sont touchés, quelles données sont exposées
  3. Qualification RGPD — Le DPO évalue si l’incident constitue une violation de données personnelles au sens du RGPD : des données personnelles ont-elles été compromises (accédées, volées, détruites, modifiées) ?
  4. Décision de notification — Le DPO détermine si la violation doit être notifiée à la CNIL (risque pour les droits des personnes) et/ou aux personnes concernées (risque élevé)
  5. Notification — Le DPO prépare et soumet la notification via le téléservice de la CNIL, dans le délai de 72 heures
  6. Documentation — Le DPO consigne l’incident dans le registre des violations (obligatoire, article 33§5 du RGPD)

Ce que le DPO recommande en matière de sécurité

Le RGPD (article 32) impose des mesures techniques et organisationnelles appropriées pour protéger les données personnelles. Le DPO conseille la direction sur le choix de ces mesures. Parmi les recommandations les plus fréquentes :

  • Sensibilisation des employés au phishing — Le DPO recommande la mise en place de simulations de phishing et de formations régulières. C’est la mesure la plus directement liée à la prévention des violations de données, car elle agit sur le premier vecteur d’attaque.
  • Authentification multifacteur (MFA) — Le DPO conseille l’activation du MFA sur les accès aux systèmes contenant des données personnelles (messagerie, CRM, RH, partages de fichiers).
  • Chiffrement des données — En transit (TLS) et au repos, pour les données sensibles.
  • Gestion des accès — Principe du moindre privilège : chaque employé n’accède qu’aux données nécessaires à sa fonction.
  • Politique de mots de passe — Conformément aux recommandations de la CNIL sur la robustesse des mots de passe.
  • Sauvegardes — Sauvegardes régulières, testées, et stockées hors ligne pour résister aux ransomwares.

Le DPO ne met pas en place ces mesures lui-même — c’est le rôle du RSSI ou de l’équipe IT. Mais il vérifie qu’elles sont en place, qu’elles sont adaptées au niveau de risque, et il alerte la direction si elles sont insuffisantes.

Guide pratique : mettre en place un DPO dans une PME

Étape 1 : évaluer vos besoins

Avant de choisir un DPO, faites un état des lieux rapide :

  • Quelles données personnelles traitez-vous ? — Données clients (noms, emails, adresses), données salariés (contrats, bulletins de paie, évaluations), données de prospection, données de navigation (cookies), données de santé au travail
  • Quel est le volume ? — Nombre de personnes concernées, nombre de traitements distincts
  • Quel est votre secteur ? — Les secteurs santé, finance, RH, e-commerce ou éducation ont des contraintes spécifiques
  • Avez-vous des sous-traitants qui traitent des données pour votre compte ? — Hébergeur cloud, prestataire de paie, outil CRM, plateforme marketing

Étape 2 : choisir le modèle

Pour une PME de 50 à 200 salariés avec des traitements standards (clients, RH, marketing) :

  • DPO externalisé dans la majorité des cas — budget maîtrisé, expertise garantie
  • DPO interne à temps partiel si vous disposez d’un profil juridique ou IT senior qui peut y consacrer 20 à 30 % de son temps, sans conflit d’intérêts

Étape 3 : désigner officiellement le DPO

La désignation se fait en ligne sur le site de la CNIL : designations.cnil.fr. Vous déclarez l’identité du DPO (interne ou externe), ses coordonnées de contact, et la date de prise de fonction. Le DPO est alors enregistré auprès de la CNIL et peut être contacté directement par l’autorité.

Étape 4 : les premières actions du DPO

Une fois désigné, le DPO lance un plan de mise en conformité :

  1. Cartographie des traitements — Recenser tous les traitements de données personnelles et créer le registre (article 30)
  2. Audit de conformité — Vérifier les bases légales, les mentions d’information, les durées de conservation, les contrats sous-traitants
  3. Analyse des risques — Identifier les traitements à risque qui nécessitent une AIPD
  4. Plan d’action — Prioriser les écarts de conformité : les plus risqués d’abord (sécurité insuffisante, absence de mentions légales, traitements sans base légale)
  5. Sensibilisation — Former les équipes aux réflexes RGPD et aux risques de social engineering qui mènent aux violations de données

Étape 5 : maintenir la conformité dans la durée

La conformité RGPD n’est pas un projet ponctuel. Le DPO assure un suivi continu :

  • Mise à jour du registre à chaque nouveau traitement
  • Revue annuelle des traitements existants
  • Veille sur les nouvelles recommandations de la CNIL et les évolutions de la jurisprudence
  • Gestion des demandes d’exercice de droits (accès, suppression, portabilité)
  • Suivi des violations de données et des notifications

La conformité RGPD commence par la protection technique. Testez la sécurité email de votre domaine avec notre vérificateur de sécurité email — une configuration SPF, DKIM, DMARC solide protège les données de vos clients et réduit votre exposition aux violations par phishing.

Pour aller plus loin sur la désignation et les missions du DPO, la CNIL publie un guide complet du DPO qui détaille les obligations, les compétences requises et les bonnes pratiques. L’AFCDP (Association Française des Correspondants à la Protection des Données à caractère personnel) propose également des ressources et un annuaire de DPO certifiés.

Questions fréquentes

C'est quoi un DPO ?

Le DPO (Délégué à la Protection des Données) est le référent RGPD d'une organisation. Il veille à ce que l'entreprise respecte la réglementation sur les données personnelles : il cartographie les traitements, conseille les équipes, gère les demandes d'exercice de droits des personnes concernées, et alerte en cas de non-conformité. Il est aussi l'interlocuteur de la CNIL en cas de contrôle ou de notification de violation de données.

Le DPO est-il obligatoire pour les PME ?

La désignation d'un DPO est obligatoire dans trois cas prévus par l'article 37 du RGPD : les organismes publics, les entreprises dont l'activité principale implique un suivi régulier et systématique de personnes à grande échelle, et les entreprises traitant des données sensibles à grande échelle (santé, biométrie, opinions politiques, etc.). La plupart des PME de 50 à 200 salariés ne sont pas juridiquement tenues de nommer un DPO, mais la CNIL recommande cette démarche pour toute entreprise traitant des données personnelles de manière significative.

Combien coûte un DPO externalisé ?

Sur le marché français, un DPO externalisé coûte entre 300 et 1 500 € par mois pour une PME, selon la complexité des traitements, le volume de données, le secteur d'activité et la fréquence d'intervention. Pour une PME de 50 à 100 salariés avec des traitements standards, comptez 300 à 600 €/mois. Pour une PME dans un secteur réglementé (santé, finance, RH) avec des traitements sensibles, le tarif monte à 800-1 500 €/mois.

Quelle est la différence entre DPO et RSSI ?

Le DPO se concentre sur la conformité au RGPD et la protection des données personnelles : il s'assure que les traitements sont licites et que les droits des personnes sont respectés. Le RSSI se concentre sur la sécurité du système d'information dans son ensemble : protection technique contre les cyberattaques, gestion des incidents, politique de sécurité. Les deux rôles sont complémentaires. Dans les PME, ils sont parfois assurés par la même personne, mais les compétences et les missions restent distinctes.

Quel est le lien entre DPO et cybersécurité ?

Le lien est direct : une cyberattaque par phishing qui compromet des données personnelles déclenche l'obligation de notification à la CNIL dans les 72 heures (article 33 du RGPD). C'est le DPO qui pilote cette procédure. En amont, le DPO recommande des mesures de sécurité adaptées, y compris la sensibilisation des employés au phishing, car la majorité des violations de données commencent par une erreur humaine.

Testez la sécurité email de votre entreprise

Notre outil gratuit analyse votre domaine et vous donne un score de protection contre le phishing en 30 secondes.

Tester mon domaine Voir tout le glossaire