Skip to Content

Chapitre 3.5 — Le DPO / délégué à la protection des données

⏱️ TL;DR — Le DPO (délégué à la protection des données, art. 37-39) est le chef d’orchestre de la conformité. Il est obligatoire dans trois cas : les organismes publics ; le suivi régulier et systématique à grande échelle des personnes ; le traitement à grande échelle de données sensibles (art. 9/10). Son rôle : conseiller, contrôler le respect du RGPD, et être le point de contact de la CNIL et des personnes. Deux garde-fous essentiels : il exerce ses missions en toute indépendance (pas d’instruction, pas de sanction pour son avis) et sans conflit d’intérêts (il ne peut pas contrôler ce qu’il décide par ailleurs). Il peut être interne ou externe, et mutualisé entre plusieurs organismes — très fréquent dans l’éducation. Un point à graver : le DPO n’est pas le responsable. Il conseille et alerte ; c’est le responsable qui décide et qui répond.

🎯 Objectifs

  • Savoir quand un DPO est obligatoire (les trois cas de l’art. 37).
  • Décrire ses missions : conseiller, contrôler, point de contact.
  • Comprendre son indépendance et l’exigence d’absence de conflit d’intérêts.
  • Ne pas confondre DPO et responsable : il conseille, il ne décide pas.
  • Connaître la mutualisation (DPO externe/partagé), courante dans l’éducation.

Quand un DPO est-il obligatoire ?

L’article 37 rend la désignation d’un DPO obligatoire dans trois situations :

En clair :

  1. Organisme ou autorité publique (hors juridictions dans l’exercice de leur fonction) : mairie, école publique, université, hôpital public…
  2. Suivi régulier et systématique à grande échelle des personnes : le suivi de comportement massif — profilage publicitaire, tracking à large échelle, réseaux sociaux.
  3. Traitement à grande échelle de données sensibles (art. 9) ou de données d’infractions (art. 10) : par exemple des données de santé en volume important.

Hors de ces cas, désigner un DPO reste facultatif — mais souvent une bonne pratique : c’est le meilleur moyen de piloter sa conformité et de tenir l’accountability (art. 5.2). La désignation se notifie à la CNIL et ses coordonnées sont publiées (dans les mentions, la politique de confidentialité).

⚠️ Piège — « On est une petite structure, le DPO est forcément facultatif. » Pas si vite : le critère n’est pas la taille de l’organisme mais la nature du traitement. Une petite EdTech qui suit finement le comportement d’apprentissage de dizaines de milliers d’élèves peut basculer dans le « suivi à grande échelle », et un petit cabinet qui traite beaucoup de données de santé aussi. Regarde le traitement, pas l’effectif.

Les missions du DPO (art. 39)

Le DPO n’exécute pas les traitements : il veille et conseille. Ses missions de l’article 39 :

MissionCe que ça veut dire
Informer et conseillerLe responsable, le sous-traitant et les équipes sur leurs obligations.
Contrôler le respect du RGPDVérifier, auditer, alerter — sans se substituer au décideur.
Conseiller sur les AIPDDonner un avis sur les analyses d’impact (art. 35) et leur suivi.
Coopérer avec la CNILFaciliter les échanges avec l’autorité de contrôle.
Être le point de contactDe la CNIL et des personnes concernées, pour toute question.

Le DPO agit avec une considération prioritaire pour les risques : il concentre son attention là où le danger pour les personnes est le plus fort.

Indépendance et absence de conflit d’intérêts

C’est ce qui fait la valeur du DPO — et une source fréquente de non-conformité quand c’est mal fait. L’article 38 pose deux garanties :

  • Indépendance : le DPO ne reçoit aucune instruction sur la façon d’exercer ses missions ; il rend compte au plus haut niveau de la direction ; il ne peut être ni sanctionné ni relevé de ses fonctions pour avoir exercé son rôle. On ne « punit » pas un DPO qui rend un avis gênant.
  • Absence de conflit d’intérêts : il peut avoir d’autres missions, à condition qu’elles ne le placent pas en position de contrôler ses propres décisions. Concrètement, le DPO ne peut pas être quelqu’un qui détermine les finalités et les moyens des traitements — DSI, directeur marketing, responsable RH au sommet, dirigeant. Il ne peut pas être juge et partie.

💡 Réflexe — Ne nomme jamais DPO la personne qui décide des traitements (le CTO qui choisit l’architecture, le responsable marketing qui pilote la prospection). Ce serait lui demander de se contrôler lui-même — un conflit d’intérêts que la CNIL sanctionne. Le bon profil : quelqu’un qui peut dire « non » au décideur sans risque, et rendre compte à la direction.

🧭 Sur FormaCampus — FormaCampus traite des données de mineurs, des aménagements de handicap (santé, données sensibles) et suit finement les parcours d’apprentissage : elle est clairement dans le viseur des cas 2 et 3 de l’art. 37 → DPO probablement obligatoire. Plutôt que de nommer son CTO (conflit d’intérêts assuré), elle a deux options saines : recruter un DPO interne rattaché à la direction, ou faire appel à un DPO externe mutualisé. La mutualisation est très répandue dans l’éducation : un réseau d’écoles, un groupement d’organismes de formation ou une collectivité peut désigner un DPO partagé pour tous ses membres — l’article 37 l’autorise expressément. FormaCampus publie ses coordonnées (dpo@formacampus.fr) dans ses mentions et la notifie à la CNIL.

🔒 Côté personne concernée — Pour un parent ou un stagiaire, le DPO est l’interlocuteur privilégié : c’est à lui qu’on peut écrire pour comprendre un traitement, exercer un droit ou signaler un problème, sans avoir à démêler l’organigramme. Ses coordonnées doivent être accessibles (mentions, politique de confidentialité). Attention toutefois : le DPO oriente et facilite, mais la décision (répondre à la demande, corriger, effacer) revient au responsable.

📚 Le texte — La désignation (les trois cas d’obligation) est à l’article 37, la position (indépendance, moyens, absence de conflit d’intérêts, mutualisation) à l’article 38, les missions à l’article 39. La possibilité d’un DPO externe (par contrat de service) et mutualisé figure à l’art. 37. Pour approfondir : lignes directrices du CEPD sur les DPO et fiches pratiques de la CNIL (cnil.fr).

Le DPO n’est pas le responsable

À retenir absolument, car c’est l’erreur qui revient sans cesse. Le DPO n’assume pas la responsabilité de la conformité à la place de l’organisme :

DPOResponsable de traitement
RôleConseille, contrôle, alerteDécide des finalités et des moyens
Décision finaleNon — il donne un avisOui — il tranche et assume
Responsabilité juridiqueNe porte pas la responsabilité du traitementRépond devant la CNIL et les personnes
PositionIndépendant, sans conflit d’intérêtsAu sommet de la chaîne d’obligations

Si le responsable passe outre l’avis du DPO, c’est le responsable qui en assume les conséquences. Le DPO conseille et documente son avis ; il ne se substitue jamais au décideur.

⚠️ Piège — « On a un DPO, donc on est conformes et couverts. » Non. Désigner un DPO ne transfère pas la responsabilité : celle-ci reste sur le responsable de traitement. Le DPO est un pilote de conformité, pas un paratonnerre juridique. Et un DPO qu’on n’écoute pas, sans moyens ni indépendance, est même un facteur aggravant en cas de contrôle.

✏️ Exercices

Exercice 1 — DPO obligatoire ? Pour chaque organisme, dis si le DPO est obligatoire et sur quel fondement : (a) une mairie ; (b) une startup qui fait du profilage publicitaire sur des millions d’utilisateurs ; (c) une plateforme de télémédecine traitant des données de santé à grande échelle ; (d) une boulangerie avec un fichier clients de fidélité classique.

✅ Solution

(a) Oui — organisme public (art. 37, cas 1). (b) Oui — suivi régulier et systématique à grande échelle (cas 2). (c) Oui — traitement à grande échelle de données sensibles/santé (cas 3). (d) Non obligatoire — ni public, ni suivi à grande échelle, ni données sensibles en volume ; un DPO reste facultatif (et peut être une bonne pratique). Le critère décisif : la nature du traitement, jamais la seule taille.

Exercice 2 — Le bon (ou le mauvais) DPO. La direction de FormaCampus veut nommer son directeur technique comme DPO « puisqu’il connaît les données ». Quel est le problème, et quelles alternatives proposes-tu ?

✅ Solution

Conflit d’intérêts (art. 38) : le directeur technique détermine les moyens des traitements (architecture, choix des outils). Le nommer DPO reviendrait à lui faire contrôler ses propres décisions — interdit, et sanctionné par la CNIL. Alternatives saines : un DPO interne rattaché directement à la direction et indépendant du technique, ou un DPO externe (prestataire), éventuellement mutualisé avec d’autres acteurs — solution fréquente et économique dans l’éducation.

🧠 Quiz de révision

1. Dans quels cas un DPO est-il obligatoire ?

Trois cas (art. 37) : (1) organisme public ; (2) suivi régulier et systématique à grande échelle des personnes ; (3) traitement à grande échelle de données sensibles (art. 9) ou d’infractions (art. 10). Hors de là, il est facultatif mais souvent recommandé.

2. Quelles sont les missions du DPO ?

Informer et conseiller, contrôler le respect du RGPD, conseiller sur les AIPD (art. 35), coopérer avec la CNIL et être le point de contact de la CNIL et des personnes concernées (art. 39). Il veille et alerte ; il n’exécute pas les traitements.

3. Pourquoi le DPO doit-il être indépendant et sans conflit d’intérêts ?

Pour pouvoir contrôler et alerter librement (art. 38) : il ne reçoit pas d’instruction sur ses missions, rend compte au plus haut niveau, ne peut être sanctionné pour son avis, et ne peut pas contrôler ses propres décisions. Il ne peut donc pas être celui qui détermine les finalités et les moyens (DSI, marketing, direction).

4. Le DPO peut-il être externe ou partagé ?

Oui. L’article 37 autorise un DPO externe (par contrat de service) et mutualisé entre plusieurs organismes — un DPO partagé, très courant dans l’éducation (réseau d’écoles, groupement d’OF, collectivité).

5. Le DPO est-il responsable de la conformité de l’organisme ?

Non. Le DPO conseille, contrôle et alerte ; c’est le responsable de traitement qui décide et qui répond devant la CNIL et les personnes. Désigner un DPO ne transfère pas la responsabilité : ce n’est pas un paratonnerre juridique.


Chapitre suivant : Partie 4 — Les bases légales — maintenant que tu sais qui est responsable, on attaque le sur quel fondement : les six bases légales de l’article 6, comment en choisir une par finalité, et le cas épineux de l’intérêt légitime.

Last updated on