Points clés
Selon le RGPD, un délégué à la protection des données (DPD) assume sept responsabilités juridiquement définies, couvrant des fonctions de conseil, de contrôle et de liaison. Pour les organisations multi-entités, ces missions gagnent en complexité — exigeant une gestion centralisée du registre des traitements, des processus d'AIPD harmonisés, un traitement coordonné des demandes des personnes concernées et une réponse unifiée aux violations dans chaque filiale et chaque juridiction. La plateforme de Priverion, hébergée en Suisse, est spécialement conçue pour opérationnaliser les sept missions du DPD à l'échelle du groupe.
Définitions
Qu'est-ce qu'un délégué à la protection des données (DPD) ?
Le délégué à la protection des données (DPD) est une fonction formellement désignée, définie aux articles 37 à 39 du RGPD. Le DPD supervise en toute indépendance la stratégie et la conformité de l'organisation en matière de protection des données, rend compte directement au plus haut niveau de la direction et fait office de point de contact principal pour les autorités de contrôle et les personnes concernées.
Qu'est-ce qu'un registre des activités de traitement ?
Un registre des activités de traitement est un registre obligatoire au titre de l'article 30 du RGPD qui documente chaque activité de traitement, sa base légale, les catégories de données, les destinataires, les durées de conservation et les mécanismes de transfert transfrontalier. Le DPD est responsable, sur le plan opérationnel, de veiller à ce que les registres demeurent complets et à jour.
Qu'est-ce qu'une analyse d'impact relative à la protection des données (AIPD) ?
Une analyse d'impact relative à la protection des données (AIPD) est une évaluation des risques requise au titre de l'article 35 du RGPD avant tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Le DPD conseille sur la nécessité d'une AIPD, la méthodologie à suivre et les garanties à appliquer.
Qu'est-ce qu'une analyse d'impact relative aux transferts (TIA) ?
Une analyse d'impact relative aux transferts (TIA) évalue si le cadre juridique d'un pays tiers offre une protection adéquate pour les données à caractère personnel transférées en dehors de l'EEE. Les recommandations 01/2020 du CEPD imposent les TIA en complément des clauses contractuelles types à la suite de l'arrêt Schrems II.
Foire aux questions
Quelles sont les responsabilités essentielles d'un délégué à la protection des données selon le RGPD ?
L'article 39 du RGPD définit sept responsabilités essentielles du DPD : (1) informer et conseiller l'organisation et ses collaborateurs, (2) contrôler le respect du RGPD et des politiques internes, (3) conseiller sur les analyses d'impact relatives à la protection des données au titre de l'article 35, (4) coopérer avec l'autorité de contrôle, (5) faire office de point de contact pour les personnes concernées, (6) tenir le registre des activités de traitement au titre de l'article 30, et (7) gérer la notification des violations et la réponse aux incidents au titre des articles 33 et 34.
Quand la désignation d'un DPD est-elle obligatoire selon le RGPD ?
Selon l'article 37 du RGPD, la désignation d'un DPD est obligatoire lorsque : (a) le traitement est effectué par une autorité ou un organisme publics, (b) les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées, ou (c) les activités de base consistent en un traitement à grande échelle de catégories particulières de données ou de données relatives à des condamnations pénales. Les lignes directrices du CEPD sur les DPD (WP 243 rév. 01) apportent une interprétation complémentaire de ces critères.
Quelle est la différence entre un DPD et un responsable de la protection des données ?
Le DPD occupe une fonction juridiquement définie par les articles 37 à 39 du RGPD, assortie d'une indépendance statutaire — il ne peut être démis de ses fonctions ni pénalisé pour l'exercice de ses missions (article 38, paragraphe 3). Un responsable de la protection des données est une fonction opérationnelle dépourvue des mêmes protections juridiques, obligations de reporting ou accès direct au plus haut niveau de la direction que le RGPD impose pour les DPD.
Comment un DPD gère-t-il la conformité au sein de plusieurs entités ?
La gestion d'un DPD multi-entités exige un suivi centralisé du registre des traitements, des processus d'AIPD harmonisés par juridiction, un traitement coordonné des demandes des personnes concernées avec des délais de 30 jours par entité (article 12, paragraphe 3), et des procédures unifiées de notification des violations. Au titre de l'article 37, paragraphe 2, un groupe d'entreprises peut désigner un seul DPD à condition qu'il soit facilement joignable depuis chaque établissement.
En quoi consiste l'obligation de notification des violations sous 72 heures pour un DPD ?
Selon l'article 33, paragraphe 1, du RGPD, le responsable du traitement doit notifier la violation à l'autorité de contrôle compétente dans les 72 heures suivant le moment où il en a pris connaissance, à moins que la violation ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Le DPD conseille sur l'évaluation de la gravité, coordonne la notification et veille à ce qu'un historique défendable de chaque décision soit tenu.
Un DPD peut-il être un consultant externe ?
Oui. L'article 37, paragraphe 6, du RGPD autorise explicitement l'exercice de la fonction de DPD par un prestataire de services externe sur la base d'un contrat de services. Le DPD externe doit satisfaire aux mêmes exigences de qualifications professionnelles et d'indépendance qu'un DPD interne.
Quelles qualifications un DPD doit-il posséder selon le RGPD ?
L'article 37, paragraphe 5, du RGPD exige que le DPD soit désigné sur la base de ses qualités professionnelles, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données. Les lignes directrices du CEPD sur les DPD précisent que le niveau d'expertise doit être proportionné à la sensibilité, à la complexité et au volume des données traitées par l'organisation.
Que se passe-t-il si une organisation omet de désigner un DPD requis ?
L'omission de désigner un DPD lorsque cela est requis constitue une violation de l'article 37 du RGPD et peut entraîner des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial au titre de l'article 83, paragraphe 4, point a). Plusieurs autorités de contrôle de l'EEE ont prononcé des amendes spécifiquement pour défaut de désignation d'un DPD.
Statistiques et données sectorielles
Selon le rapport annuel IAPP-EY sur la gouvernance de la protection des données (2023), 73 % des organisations interrogées ont désigné un DPD, et un DPD supervise en moyenne la conformité de 4,9 entités juridiques. Le même rapport a constaté que 62 % des DPD citent la gestion du registre des traitements comme leur tâche la plus chronophage. Le rapport annuel 2023 du CEPD a recensé plus de 2'100 dossiers transfrontaliers traités via le mécanisme de guichet unique, soulignant la complexité multi-juridictionnelle à laquelle font face les DPD. Selon les données du GDPR Enforcement Tracker, le montant cumulé des amendes RGPD a dépassé 4,5 milliards d'euros fin 2024, les manquements à l'obligation de rendre compte (y compris les obligations liées au DPD) représentant une part importante des actions répressives.
Comparaison des responsabilités du DPD : DPD interne ou externe
| Critère | DPD interne | DPD externe |
|---|
| Base légale | Art. 37(6) du RGPD — salarié du responsable du traitement/sous-traitant | Art. 37(6) du RGPD — contrat de services |
| Indépendance | Art. 38(3) — ne peut être démis pour l'exercice de ses missions de DPD | Clause d'indépendance contractuelle requise |
| Connaissance de l'organisation | Connaissance institutionnelle approfondie ; intégré aux opérations quotidiennes | Expérience plus large et inter-sectorielle ; peut servir plusieurs clients |
| Risque de conflit d'intérêts | Plus élevé — ne doit pas occuper de fonctions déterminant les finalités/moyens du traitement | Plus faible — aucun rôle opérationnel dans l'organisation |
| Structure de coûts | Salaire fixe + avantages ; évolue avec l'ancienneté | Honoraires variables ; souvent plus économique pour les organisations de taille intermédiaire |
| Disponibilité | À temps plein ou partiel ; dédié à une seule organisation | Partagé entre plusieurs clients ; délais de réponse encadrés par un SLA |
| Adaptation au multi-entités | L'art. 37(2) autorise un seul DPD pour un groupe d'entreprises | La même disposition s'applique ; le DPD externe doit être joignable depuis chaque établissement |