Aller au contenu principal
Guide RGPD

Responsabilités du délégué à la protection des données selon le RGPD : le guide opérationnel complet

Mis à jour le 2026-06-23
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui aide les DPD à gérer l'ensemble des sept responsabilités prévues à l'article 39 du RGPD au sein d'organisations multi-entités.

Vous venez d'être désigné DPD, ou vous êtes en train d'en recruter un. Dans les deux cas, le RGPD définit des responsabilités précises pour le délégué à la protection des données, assorties d'un risque réel de sanction. Ce guide décompose chaque obligation, montre à quoi ressemble concrètement une mise en œuvre exemplaire et vous offre une check-list téléchargeable pour tout suivre.

Télécharger la check-list gratuite des responsabilités du DPD

La confiance de plus de 150 équipes de protection des données qui gèrent la conformité dans plusieurs juridictions

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Les 7 responsabilités essentielles

Les 7 responsabilités essentielles d'un délégué à la protection des données selon le RGPD

L'article 39 définit les missions du DPD en quelques paragraphes concis. La réalité opérationnelle qui se cache derrière chacune est tout sauf concise, surtout lorsque vous gérez la conformité au sein de plusieurs entités et juridictions.

Article 39(1)(a)

Informer et conseiller l'organisation

Le DPD doit former de manière proactive le responsable du traitement, le sous-traitant et chaque collaborateur qui traite des données à caractère personnel. Il ne s'agit pas d'une présentation d'accueil ponctuelle : cela suppose un accompagnement continu et adapté à chaque fonction. Les équipes marketing ont besoin de conseils différents de ceux des RH. Au sein d'organisations multi-entités, cela implique des formations localisées par juridiction, par unité d'affaires, et mises à jour en continu au fil de l'évolution de la réglementation.

47 % de risque de violation en moins

Organisations dotées de programmes de formation à la protection des données structurés et récurrents, données de référence sectorielles

Article 39(1)(b)

Contrôler le respect du RGPD et des politiques internes

Audit et contrôle actifs, et non simple détention passive des politiques. Le DPD doit vérifier que l'organisation fait réellement ce que ses politiques promettent. Cela englobe l'exactitude du registre des traitements, les taux de réalisation des AIPD, la validité des mécanismes de consentement et la conformité des fournisseurs. Pour un groupe de 15 entités, cela signifie suivre des centaines d'activités de traitement, chacune avec sa propre base légale, sa durée de conservation et sa cartographie des flux de données.

100 % de recertification du registre des traitements

Un assureur suisse a obtenu une recertification entièrement automatisée dans toutes ses entités grâce à Priverion

Article 39(1)(c) + Article 35

Conseiller sur les analyses d'impact relatives à la protection des données

Le DPD ne se contente pas de « relire » les AIPD : il doit veiller à ce qu'elles soient déclenchées au bon moment, à ce que les unités d'affaires sachent quand les initier, et à ce que des analyses d'impact relatives aux transferts soient menées pour les flux de données transfrontaliers. C'est dans l'écart entre « nous aurions dû réaliser une AIPD » et « nous l'avons réalisée » que naissent les actions répressives.

Plus de 200 heures économisées

Une entreprise de technologie médicale a économisé plus de 200 heures dans sa préparation à l'ISO 27001, documentation des AIPD comprise

Article 39(1)(d)

Coopérer avec l'autorité de contrôle

Le DPD est le point de contact désigné pour votre autorité de protection des données. Dans des configurations multi-juridictionnelles, cela suppose de savoir quelle autorité fait office d'autorité de contrôle chef de file, de tenir une documentation prête à être inspectée à tout moment, et de pouvoir produire à la demande des dossiers de preuves prêts pour l'audit — et non après deux semaines passées à fouiller des disques partagés.

Des minutes, pas des semaines

Priverion génère à la demande des dossiers de preuves prêts pour l'audit à destination des autorités de contrôle

Article 38(4)

Point de contact pour les personnes concernées

Les personnes concernées peuvent contacter le DPD pour toute question relative au traitement de leurs données à caractère personnel ou à l'exercice de leurs droits. Sur le plan opérationnel, cela suppose de gérer la réception des demandes des personnes concernées dans chaque entité, de suivre le délai de réponse de 30 jours pour chaque demande, d'assurer un traitement cohérent quelle que soit la filiale qui l'a reçue, et de tenir une piste d'audit claire de chaque action entreprise.

Un délai de 30 jours, à chaque fois

Article 12(3) du RGPD, délai de réponse aux demandes des personnes concernées applicable par demande et par entité

Article 30

Tenir le registre des activités de traitement

Si l'article 30 fait peser l'obligation légale sur le responsable du traitement, c'est au DPD qu'incombe la responsabilité opérationnelle de veiller à ce que les registres soient complets, exacts et à jour. Un registre des traitements n'est pas un tableur que l'on remplit une fois pour toutes : c'est un inventaire vivant qui doit être recertifié régulièrement. Pour les organisations comptant plus de 500 activités de traitement réparties sur plusieurs filiales, la gestion manuelle du registre est le plus gros gouffre de temps de la semaine du DPD.

60 % de temps administratif en moins

Un constructeur aéronautique a réduit de 60 % son temps administratif de conformité au cours des 6 premiers mois avec Priverion

Articles 33 + 34

Gérer la notification des violations et la réponse aux incidents

Lorsqu'une violation de données à caractère personnel survient, le DPD joue un rôle central dans l'évaluation de la gravité, le conseil sur l'obligation de notification à l'autorité de contrôle dans les 72 heures, et la décision d'informer ou non les personnes concernées. Au sein d'un groupe multi-entités, cela suppose de coordonner la réponse aux incidents entre les juridictions, de veiller à ce que la violation de chaque entité soit évaluée au regard des seuils locaux, et de tenir un historique défendable de chaque décision prise — pourquoi vous avez notifié, pourquoi vous ne l'avez pas fait, et quelles mesures correctives ont été prises.

Une fenêtre de notification de 72 heures

Article 33(1) du RGPD, délai de notification d'une violation à l'autorité de contrôle à compter de la prise de connaissance

200+

Heures économisées sur la gestion du registre des traitements

Une entreprise de technologie médicale a récupéré plus de 200 heures lors de sa préparation à l'ISO 27001 en automatisant les processus liés au registre des traitements — du temps auparavant consacré à relancer les unités d'affaires dans les différentes entités.

60%

Coût inférieur par rapport aux plateformes d'entreprise traditionnelles

Sur la base de comparaisons de tarifs publiés pour des organisations de taille intermédiaire comptant de 5 à 50 entités. Aucuns frais par utilisateur, aucun piège d'extension par module — des coûts prévisibles dès le premier jour.

3 mo

D'avance sur le calendrier de certification ISO 27001

Une entreprise de technologie médicale a accéléré de trois mois son calendrier ISO 27001 grâce aux dossiers de preuves prêts pour l'audit et aux processus de documentation automatisés de Priverion.

Priverion vs. OneTrust

Une gestion de la protection des données de niveau entreprise, sans les tracas de l'entreprise

Les organisations de taille intermédiaire aux structures de groupe complexes ont besoin d'une plateforme conçue pour leur mode de fonctionnement réel — et non d'une version allégée d'un outil pensé pour les cycles d'achat des entreprises du Fortune 500.

L'expérience OneTrust

Tarification par utilisateur et par module

Les coûts explosent à mesure que vous intégrez des filiales. Ajouter cinq unités d'affaires implique de renégocier votre contrat — et votre budget.

Siège aux États-Unis, hébergement aux États-Unis

Dans le contexte post-Schrems II, l'hébergement aux États-Unis crée un risque de transfert — précisément ce que votre programme de protection des données est censé maîtriser.

Conçu pour les acheteurs du Fortune 500

Des centaines de fonctionnalités que vous ne configurerez jamais. Des délais de mise en œuvre qui se comptent en trimestres, pas en semaines. Vous avez besoin d'un consultant pour utiliser l'outil que vous avez acheté afin d'éviter d'avoir besoin de consultants.

Plus de 200 intégrations superficielles

Une longue liste de connecteurs qui fait bonne figure dans une réponse à un appel d'offres, mais qui génère une charge de maintenance sans réelle automatisation des processus.

Gestion du consentement aux cookies intégrée

Vous payez pour des modules comme la gestion du consentement aux cookies et l'ESG, qui n'ont rien à voir avec la gestion d'un programme de protection des données — parce que la plateforme a été conçue pour être tout pour tout le monde.

Téléchargement gratuit

La check-list des responsabilités du DPD

Chaque obligation de ce guide, condensée en une check-list pratique et exploitable. Utilisez-la pour intégrer un nouveau DPD, auditer votre programme actuel ou préparer les inspections de l'autorité de contrôle.

Ce que vous y trouverez :

  • Les 7 responsabilités du DPD avec les références aux articles du RGPD
  • Les tâches opérationnelles pour chaque responsabilité — à quoi ressemble réellement le « terminé »
  • Les cadences de recertification du registre des traitements, des AIPD et des évaluations fournisseurs
  • Un arbre de décision pour la notification des violations, avec le délai de 72 heures
  • Une check-list de coordination multi-entités pour les DPD de groupe
  • Un tableau de bord de préparation aux autorités de contrôle

Aucun spam. Nous vous enverrons la check-list et rien d'autre, sauf si vous vous y abonnez. Vos données restent en Suisse.

Par des équipes de protection des données comme la vôtre

Comment les DPD gèrent leurs responsabilités à grande échelle

Ce ne sont pas des témoignages sur un logiciel. Ce sont des récits de DPD qui regagnent du temps, réduisent les risques et pilotent des programmes de protection des données qui tiennent la route lors des contrôles.

« Nous sommes passés de la majeure partie de notre temps administratif de conformité passée à relancer les unités d'affaires pour mettre à jour le registre des traitements à une recertification entièrement automatisée. La différence ne tient pas seulement à l'efficacité : c'est la certitude que nos registres sont toujours à jour le jour où l'autorité de contrôle se manifeste. »

Équipe de protection des données

Constructeur aéronautique, 60 % de temps administratif de conformité en moins au cours des 6 premiers mois

« La préparation à l'ISO 27001 signifiait autrefois des semaines à rassembler la documentation depuis plusieurs systèmes. Avec Priverion, nous avons généré des dossiers de preuves prêts pour l'audit en quelques minutes. Nous avons été certifiés trois mois avant le calendrier prévu. »

Équipe conformité

Entreprise de technologie médicale, plus de 200 heures économisées, 3 mois d'avance sur le calendrier ISO 27001

« La gestion des évaluations du risque fournisseurs sur plusieurs établissements de soins était notre plus grand angle mort. Nous disposons désormais d'une couverture de 100 % — chaque fournisseur évalué, chaque contrat suivi, chaque risque noté. Notre conseil d'administration a enfin la visibilité dont il a besoin. »

Équipe protection des données

Établissement de santé, couverture de 100 % des évaluations du risque fournisseurs

« En tant que DPD de plusieurs entités, j'avais besoin d'une visibilité 24 h/24 et 7 j/7 sur l'état de conformité de l'ensemble du groupe. Priverion me donne un tableau de bord unique qui montre exactement où nous en sommes — et où nous devons agir — sans me connecter à cinq systèmes différents. »

DPD

Cessez de gérer la protection des données dans des tableurs. Commencez à la piloter comme un programme.

Un constructeur aéronautique a réduit de 60 % son temps administratif de conformité en six mois. Un assureur suisse a obtenu une recertification du registre des traitements automatisée à 100 %. Une entreprise de technologie médicale a économisé plus de 200 heures en préparant l'ISO 27001.

En 30 minutes, nous vous montrerons exactement comment fonctionne la gestion de la protection des données à l'échelle du groupe lorsqu'elle est conçue pour les organisations multi-entités — avec une IA qui assiste vos décisions, une souveraineté suisse des données que vous pouvez vérifier, et une tarification qui ne vous pénalise pas pour votre croissance.

Réserver une présentation de 30 minutes

Aucun argumentaire de vente. Aucune pression. Juste un aperçu en direct de la plateforme appliqué à votre cas d'usage.

Hébergé en Suisse

Pleine souveraineté des données

Des semaines, pas des mois

Opérationnel rapidement

Tarification prévisible

Pas de pièges par utilisateur

À propos de cette page — références, définitions et FAQ

Points clés

Selon le RGPD, un délégué à la protection des données (DPD) assume sept responsabilités juridiquement définies, couvrant des fonctions de conseil, de contrôle et de liaison. Pour les organisations multi-entités, ces missions gagnent en complexité — exigeant une gestion centralisée du registre des traitements, des processus d'AIPD harmonisés, un traitement coordonné des demandes des personnes concernées et une réponse unifiée aux violations dans chaque filiale et chaque juridiction. La plateforme de Priverion, hébergée en Suisse, est spécialement conçue pour opérationnaliser les sept missions du DPD à l'échelle du groupe.

Définitions

Qu'est-ce qu'un délégué à la protection des données (DPD) ?

Le délégué à la protection des données (DPD) est une fonction formellement désignée, définie aux articles 37 à 39 du RGPD. Le DPD supervise en toute indépendance la stratégie et la conformité de l'organisation en matière de protection des données, rend compte directement au plus haut niveau de la direction et fait office de point de contact principal pour les autorités de contrôle et les personnes concernées.

Qu'est-ce qu'un registre des activités de traitement ?

Un registre des activités de traitement est un registre obligatoire au titre de l'article 30 du RGPD qui documente chaque activité de traitement, sa base légale, les catégories de données, les destinataires, les durées de conservation et les mécanismes de transfert transfrontalier. Le DPD est responsable, sur le plan opérationnel, de veiller à ce que les registres demeurent complets et à jour.

Qu'est-ce qu'une analyse d'impact relative à la protection des données (AIPD) ?

Une analyse d'impact relative à la protection des données (AIPD) est une évaluation des risques requise au titre de l'article 35 du RGPD avant tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Le DPD conseille sur la nécessité d'une AIPD, la méthodologie à suivre et les garanties à appliquer.

Qu'est-ce qu'une analyse d'impact relative aux transferts (TIA) ?

Une analyse d'impact relative aux transferts (TIA) évalue si le cadre juridique d'un pays tiers offre une protection adéquate pour les données à caractère personnel transférées en dehors de l'EEE. Les recommandations 01/2020 du CEPD imposent les TIA en complément des clauses contractuelles types à la suite de l'arrêt Schrems II.

Foire aux questions

Quelles sont les responsabilités essentielles d'un délégué à la protection des données selon le RGPD ?

L'article 39 du RGPD définit sept responsabilités essentielles du DPD : (1) informer et conseiller l'organisation et ses collaborateurs, (2) contrôler le respect du RGPD et des politiques internes, (3) conseiller sur les analyses d'impact relatives à la protection des données au titre de l'article 35, (4) coopérer avec l'autorité de contrôle, (5) faire office de point de contact pour les personnes concernées, (6) tenir le registre des activités de traitement au titre de l'article 30, et (7) gérer la notification des violations et la réponse aux incidents au titre des articles 33 et 34.

Quand la désignation d'un DPD est-elle obligatoire selon le RGPD ?

Selon l'article 37 du RGPD, la désignation d'un DPD est obligatoire lorsque : (a) le traitement est effectué par une autorité ou un organisme publics, (b) les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées, ou (c) les activités de base consistent en un traitement à grande échelle de catégories particulières de données ou de données relatives à des condamnations pénales. Les lignes directrices du CEPD sur les DPD (WP 243 rév. 01) apportent une interprétation complémentaire de ces critères.

Quelle est la différence entre un DPD et un responsable de la protection des données ?

Le DPD occupe une fonction juridiquement définie par les articles 37 à 39 du RGPD, assortie d'une indépendance statutaire — il ne peut être démis de ses fonctions ni pénalisé pour l'exercice de ses missions (article 38, paragraphe 3). Un responsable de la protection des données est une fonction opérationnelle dépourvue des mêmes protections juridiques, obligations de reporting ou accès direct au plus haut niveau de la direction que le RGPD impose pour les DPD.

Comment un DPD gère-t-il la conformité au sein de plusieurs entités ?

La gestion d'un DPD multi-entités exige un suivi centralisé du registre des traitements, des processus d'AIPD harmonisés par juridiction, un traitement coordonné des demandes des personnes concernées avec des délais de 30 jours par entité (article 12, paragraphe 3), et des procédures unifiées de notification des violations. Au titre de l'article 37, paragraphe 2, un groupe d'entreprises peut désigner un seul DPD à condition qu'il soit facilement joignable depuis chaque établissement.

En quoi consiste l'obligation de notification des violations sous 72 heures pour un DPD ?

Selon l'article 33, paragraphe 1, du RGPD, le responsable du traitement doit notifier la violation à l'autorité de contrôle compétente dans les 72 heures suivant le moment où il en a pris connaissance, à moins que la violation ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Le DPD conseille sur l'évaluation de la gravité, coordonne la notification et veille à ce qu'un historique défendable de chaque décision soit tenu.

Un DPD peut-il être un consultant externe ?

Oui. L'article 37, paragraphe 6, du RGPD autorise explicitement l'exercice de la fonction de DPD par un prestataire de services externe sur la base d'un contrat de services. Le DPD externe doit satisfaire aux mêmes exigences de qualifications professionnelles et d'indépendance qu'un DPD interne.

Quelles qualifications un DPD doit-il posséder selon le RGPD ?

L'article 37, paragraphe 5, du RGPD exige que le DPD soit désigné sur la base de ses qualités professionnelles, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données. Les lignes directrices du CEPD sur les DPD précisent que le niveau d'expertise doit être proportionné à la sensibilité, à la complexité et au volume des données traitées par l'organisation.

Que se passe-t-il si une organisation omet de désigner un DPD requis ?

L'omission de désigner un DPD lorsque cela est requis constitue une violation de l'article 37 du RGPD et peut entraîner des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial au titre de l'article 83, paragraphe 4, point a). Plusieurs autorités de contrôle de l'EEE ont prononcé des amendes spécifiquement pour défaut de désignation d'un DPD.

Statistiques et données sectorielles

Selon le rapport annuel IAPP-EY sur la gouvernance de la protection des données (2023), 73 % des organisations interrogées ont désigné un DPD, et un DPD supervise en moyenne la conformité de 4,9 entités juridiques. Le même rapport a constaté que 62 % des DPD citent la gestion du registre des traitements comme leur tâche la plus chronophage. Le rapport annuel 2023 du CEPD a recensé plus de 2'100 dossiers transfrontaliers traités via le mécanisme de guichet unique, soulignant la complexité multi-juridictionnelle à laquelle font face les DPD. Selon les données du GDPR Enforcement Tracker, le montant cumulé des amendes RGPD a dépassé 4,5 milliards d'euros fin 2024, les manquements à l'obligation de rendre compte (y compris les obligations liées au DPD) représentant une part importante des actions répressives.

Comparaison des responsabilités du DPD : DPD interne ou externe

CritèreDPD interneDPD externe
Base légaleArt. 37(6) du RGPD — salarié du responsable du traitement/sous-traitantArt. 37(6) du RGPD — contrat de services
IndépendanceArt. 38(3) — ne peut être démis pour l'exercice de ses missions de DPDClause d'indépendance contractuelle requise
Connaissance de l'organisationConnaissance institutionnelle approfondie ; intégré aux opérations quotidiennesExpérience plus large et inter-sectorielle ; peut servir plusieurs clients
Risque de conflit d'intérêtsPlus élevé — ne doit pas occuper de fonctions déterminant les finalités/moyens du traitementPlus faible — aucun rôle opérationnel dans l'organisation
Structure de coûtsSalaire fixe + avantages ; évolue avec l'anciennetéHonoraires variables ; souvent plus économique pour les organisations de taille intermédiaire
DisponibilitéÀ temps plein ou partiel ; dédié à une seule organisationPartagé entre plusieurs clients ; délais de réponse encadrés par un SLA
Adaptation au multi-entitésL'art. 37(2) autorise un seul DPD pour un groupe d'entreprisesLa même disposition s'applique ; le DPD externe doit être joignable depuis chaque établissement