Guide RGPD Lecture de 8 min Dernière mise à jour : juin 2025

Quand avez-vous besoin d'un DPD selon le RGPD ? Le guide complet pour les organisations multi-entités

Mis à jour 2026-06-22
Points clés : l'article 37 du RGPD impose un DPD dans trois scénarios — autorités publiques, suivi à grande échelle et traitement de données relevant de catégories particulières.

L'article 37 du RGPD impose un délégué à la protection des données dans trois scénarios précis, mais pour les organisations actives à travers des filiales et des juridictions, la véritable question n'est pas si vous en avez besoin, mais combien et comment ils se coordonnent. Voici tout ce que vous devez savoir.

Aucune carte de crédit requise. Liste de contrôle fondée sur les orientations du CEPD et du WP29.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

La question du DPD paraît simple. Jusqu'à ce que vous gériez 12 entités dans 6 pays

La plupart des articles vous donnent une réponse de manuel. Mais si vous posez cette question, votre situation n'a probablement rien d'un cas d'école. Voici les défis qui rendent les obligations DPD réellement difficiles pour les organisations multi-entités.

47

Tableurs utilisés par une entreprise à 12 filiales pour gérer sa conformité au RGPD avant de passer à Priverion

Des filiales qui déclenchent des obligations indépendantes

Une société mère en Allemagne disposant de filiales en France, en Italie et au Portugal peut constater que chaque entité déclenche indépendamment l'obligation de désigner un DPD au titre de l'article 37(1). Votre filiale de santé traite des catégories particulières de données. Votre filiale marketing pratique le profilage comportemental à grande échelle. Chacune crée sa propre obligation, et chacune exige une visibilité dont le DPD ne dispose souvent pas.

D'après l'observation fondatrice de Priverion, constatée auprès d'entreprises à filiales multiples

60 %

Temps d'administration de la conformité consacré par un constructeur aéronautique aux mises à jour manuelles du registre des traitements avant l'automatisation, sur les 6 premiers mois

Le piège du « facilement joignable » pour les DPD de groupe

L'article 37(2) autorise un DPD de groupe unique, mais uniquement s'il est « facilement joignable depuis chaque établissement ». En pratique, un DPD à Munich qui ne parle pas portugais et ne maîtrise pas les orientations de la CNPD n'est pas joignable pour votre filiale de Lisbonne. Sans outillage centralisé, les DPD de groupe passent leurs semaines à courir après les mises à jour entre les unités opérationnelles au lieu de mener un travail stratégique sur la protection des données.

Constructeur aéronautique, 6 premiers mois avec Priverion, réduction du temps d'administration de la conformité

200+

Heures économisées par Medtec lors de la préparation à la certification ISO 27001 grâce à Priverion

Désigner un DPD est un début, pas une fin

Le véritable défi commence après la désignation. Votre DPD a besoin d'une visibilité à l'échelle du groupe sur les activités de traitement, les AIPD, les incidents et les demandes des personnes concernées, pour chaque entité. Sans plateforme centralisée, il se retrouve à coordonner par chaînes d'e-mails et lecteurs partagés, précisément les angles morts opérationnels que les autorités de contrôle repèrent lors d'un audit.

Medtec, heures économisées lors de la préparation à l'ISO 27001 avec Priverion

Si vous cherchez la réponse à cette question, il y a fort à parier que la situation de votre organisation est plus complexe qu'un simple oui ou non. La décision de désigner un DPD n'est pas qu'une case juridique à cocher : c'est une décision d'architecture opérationnelle.

Découvrir comment les DPD de groupe utilisent Priverion

200+

Heures économisées sur la gestion du registre des traitements

Medtec a récupéré plus de 200 heures auparavant consacrées à la documentation manuelle lors de la préparation à l'ISO 27001, au cours de la première année de mise en œuvre.

60 %

Coût inférieur par rapport aux plateformes héritées

Un constructeur aéronautique a réduit de 60 % ses coûts d'administration de la conformité au cours des 6 premiers mois, avec une tarification prévisible fondée sur les entités, sans piège d'expansion par utilisateur.

3 mois

D'avance sur le calendrier ISO 27001

Medtec a accéléré de 3 mois son calendrier de certification ISO 27001 grâce aux dossiers de preuves prêts pour l'audit et aux flux de documentation automatisés de Priverion.

Les trois scénarios de désignation obligatoire d'un DPD au titre de l'article 37 du RGPD

L'article 37(1) du RGPD énonce exactement trois scénarios dans lesquels la désignation d'un délégué à la protection des données est obligatoire. Il ne s'agit pas de recommandations : le défaut de désignation lorsque la loi l'exige a valu des amendes prononcées par des autorités de contrôle dans toute l'UE.

Scénario 1 : autorités et organismes publics

Article 37(1)(a) : « Le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle. »

Cela vise toute organisation qualifiée d'autorité publique en droit national : administrations publiques, communes, universités publiques et entreprises d'État. La définition varie selon l'État membre. En Allemagne, les organismes de radiodiffusion de droit public sont concernés. En France, la CNIL a précisé que les organisations fournissant des services publics sous contrat peuvent également entrer dans le champ d'application.

Si votre organisation reçoit des financements publics ou fournit des services pour le compte d'un organisme public, vérifiez si votre autorité de protection des données nationale qualifie cela de traitement par une « autorité publique » : la définition est plus large qu'on ne le pense généralement.

Scénario 2 : suivi à grande échelle, régulier et systématique

Article 37(1)(b) : « Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées. »

C'est là que la plupart des organisations de taille intermédiaire trébuchent. « Activités de base » ne désigne pas le traitement des RH ou de la paie : il s'agit du traitement central à la réalisation de vos objectifs commerciaux. Les lignes directrices du WP29 (désormais reprises par le CEPD) définissent les termes clés comme suit :

  • « Régulier » signifie continu ou survenant à des intervalles précis, et non ponctuel. Le suivi de la fidélité client, la surveillance des réseaux et le suivi de la localisation des collaborateurs entrent tous dans cette catégorie.
  • « Systématique » signifie survenant selon un système, prédéfini, organisé ou méthodique. La publicité comportementale, le scoring de crédit et les systèmes de détection de fraude sont systématiques par nature.
  • « Grande échelle » prend en compte le nombre de personnes concernées, le volume de données, l'étendue géographique et la durée du traitement. Il n'existe pas de seuil chiffré fixe, mais un réseau de vidéosurveillance à l'échelle d'une ville ou un opérateur télécom traitant des millions de fiches clients entre clairement dans cette catégorie.

Pour les organisations multi-entités, c'est là que la complexité se démultiplie. Votre société mère ne franchit peut-être pas ce seuil de manière indépendante, mais trois filiales réunies le peuvent. Et chaque filiale qui le déclenche crée sa propre obligation de désigner un DPD, à moins que vous ne désigniez un DPD de groupe au titre de l'article 37(2).

Scénario 3 : traitement à grande échelle de catégories particulières ou de données pénales

Article 37(1)(c) : « Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10. »

Les catégories particulières de données englobent les données de santé, les données biométriques, l'origine raciale ou ethnique, les opinions politiques, l'appartenance syndicale, les données génétiques et les données concernant la vie sexuelle ou l'orientation sexuelle. Si l'une de vos filiales traite ce type de données dans le cadre d'une activité de base — une filiale de santé, une entité d'assurance, une unité de tests génétiques —, un DPD est obligatoire pour cette entité.

Le critère de « grande échelle » s'applique ici aussi. Un cabinet médical isolé traitant des dossiers de patients n'atteint pas le seuil. Un réseau hospitalier traitant des dossiers dans trois pays, oui.


Les législations nationales qui élargissent le socle du RGPD

L'article 37(4) autorise expressément les États membres à fixer des exigences supplémentaires pour la désignation d'un DPD. Plusieurs l'ont fait, créant des pièges pour les organisations qui se contentent de consulter le texte du RGPD.

  • Allemagne (BDSG §38) : un DPD est obligatoire dès lors qu'au moins 20 employés sont affectés en permanence au traitement automatisé de données à caractère personnel. Ce seuil est nettement inférieur à celui de « grande échelle » du RGPD et concerne de nombreuses entreprises de taille intermédiaire qui n'y seraient pas autrement soumises.
  • Autriche : la loi autrichienne sur la protection des données impose un DPD pour les traitements qui créent un risque élevé pour les droits des personnes, un critère plus large que les trois scénarios du RGPD.
  • France : si la CNIL n'a pas étendu la désignation obligatoire au-delà de l'article 37 du RGPD, ses orientations recommandent fortement la désignation d'un DPD pour toute organisation traitant des données à caractère personnel comme une part importante de son activité. En pratique, les autorités françaises attendent un DPD ou une fonction équivalente.
  • Roumanie, Grèce, Slovaquie : ces États membres ont adopté des exigences sectorielles supplémentaires en matière de DPD, notamment pour les services financiers, les télécommunications et les organisations de santé.

Pour les organisations multi-entités, cela signifie qu'une seule évaluation de DPD de groupe ne suffit pas. Vous devez vérifier l'obligation de chaque filiale au regard du droit national du pays où elle est établie, et pas uniquement au regard du socle du RGPD.


Qui peut occuper la fonction de DPD ? Les exigences que la plupart des organisations sous-estiment

L'article 37(5) exige que le DPD soit désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données ». Le CEPD a précisé que cela signifie :

  • Connaissances juridiques et techniques : le DPD doit comprendre à la fois le cadre juridique et les opérations techniques de l'organisation. Un juriste qui ne maîtrise pas l'infrastructure informatique, ou un responsable informatique qui ne maîtrise pas le RGPD, ne répondra pas au critère.
  • Indépendance : l'article 38(3) prévoit que le DPD « ne reçoit aucune instruction en ce qui concerne l'exercice de ses missions ». Cela signifie que le DPD ne peut être le RSSI, le directeur juridique ou toute personne dont le rôle crée un conflit d'intérêts. Le CEPD a signalé que les fonctions de PDG, de directeur des opérations, de directeur financier, de DRH et de directeur informatique sont par nature en conflit.
  • Ressources adéquates : l'article 38(2) impose à l'organisation de fournir « les ressources nécessaires pour exercer ces missions, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement ». Désigner un DPD sans budget, sans outillage ni accès aux registres de traitement, c'est un échec de conformité annoncé.
  • Accessibilité : pour les DPD de groupe au titre de l'article 37(2), « facilement joignable depuis chaque établissement » signifie accessible en termes de langue, de disponibilité et de compréhension des exigences réglementaires locales. Un DPD à Zurich gérant la protection des données d'une filiale portugaise a besoin soit de compétences linguistiques locales, soit d'un coordinateur local en protection des données.

Le modèle du DPD de groupe : comment les organisations multi-entités se coordonnent

L'article 37(2) permet à un groupe d'entreprises de désigner un seul DPD, à condition qu'il soit « facilement joignable depuis chaque établissement ». En pratique, cela suppose de bâtir une structure de coordination qui donne au DPD de groupe une visibilité réelle sur chaque entité.

Ce que « facilement joignable » exige réellement

  • Les personnes concernées dans chaque juridiction doivent pouvoir contacter le DPD dans leur langue locale, ou à tout le moins dans une langue qu'elles peuvent raisonnablement être censées comprendre
  • Le DPD doit pouvoir communiquer efficacement avec les autorités de contrôle locales dans chaque juridiction où le groupe est actif
  • Le DPD doit disposer d'une visibilité opérationnelle sur les activités de traitement, les fournisseurs, les incidents et les demandes des personnes concernées de chaque entité dont il a la charge

La réalité opérationnelle sans outillage centralisé

Le fondateur de Priverion a observé une entreprise à 12 filiales gérant sa conformité au RGPD sur 47 tableurs. Le DPD de groupe passait la majeure partie de sa semaine à relancer les unités opérationnelles pour obtenir les mises à jour du registre des traitements, les rapports d'avancement des AIPD et l'achèvement des évaluations de fournisseurs, par e-mail, lecteurs partagés et appels mensuels déjà dépassés au moment où ils avaient lieu.

C'est la norme, pas l'exception. Sans plateforme centralisée offrant une visibilité à l'échelle du groupe, le modèle du DPD de groupe se délite et tombe précisément dans le type de conformité fragmentée et non documentée que les autorités de contrôle contesteront lors d'un audit.

Comment Priverion appuie le modèle du DPD de groupe

Priverion a été conçu spécifiquement pour cette architecture. Un DPD de groupe utilisant Priverion bénéficie de :

  • Une cartographie des données entre entités avec une visibilité centralisée sur les activités de traitement de chaque filiale
  • Une recertification automatisée du registre des traitements. AXA a atteint un taux de recertification de 100 % grâce à des flux entièrement automatisés, supprimant les relances manuelles
  • L'automatisation des AIPD et des TIA avec rédaction assistée par IA et scoring des risques, chaque résultat étant revu par le DPD avant de devenir un enregistrement de conformité
  • Des flux de gestion des incidents qui orientent les notifications de violation vers la bonne filiale et la bonne autorité de contrôle
  • Un tableau de bord DPD offrant une supervision opérationnelle de l'état de conformité à l'échelle de l'ensemble du groupe

Toutes les données sont traitées au sein d'une infrastructure suisse, garantissant une résidence européenne des données et une souveraineté suisse des données, un avantage juridique significatif pour les organisations gérant des transferts transfrontaliers de données dans un contexte post-Schrems II.


Même si vous n'avez pas besoin d'un DPD : documentez votre évaluation

L'article 37 n'impose pas de désigner un DPD dans toutes les situations, mais chaque autorité de contrôle attend de vous que vous ayez évalué si vous en avez besoin. L'absence d'une évaluation documentée constitue en soi un signal d'alerte lors d'une enquête.

Votre évaluation devrait couvrir :

  • Chaque entité de votre groupe, évaluée au regard des trois scénarios de l'article 37(1)
  • Les exigences de droit national dans chaque juridiction où vous disposez d'un établissement
  • Le fait que vous recouriez ou non à la disposition relative au DPD de groupe au titre de l'article 37(2), et la manière dont la « facilité d'accès » est assurée
  • Si vous décidez de ne pas désigner de DPD, la justification de cette décision, documentée et datée

Cette documentation devrait être révisée chaque année, ou chaque fois que votre structure de groupe, vos activités de traitement ou votre environnement réglementaire évoluent.

Foire aux questions sur les obligations relatives au DPD

Un groupe d'entreprises peut-il partager un seul DPD ?

Oui. L'article 37(2) permet expressément à un groupe d'entreprises de désigner un seul DPD, à condition qu'il soit « facilement joignable depuis chaque établissement ». En pratique, cela exige que le DPD dispose de compétences linguistiques, de connaissances réglementaires et d'une visibilité opérationnelle sur chaque entité. Sans outillage centralisé, ce modèle tend à se déliter dès que le groupe dépasse 5 à 10 entités.

Notre RSSI ou notre directeur juridique peut-il aussi faire office de DPD ?

Presque certainement pas. L'article 38(6) autorise le DPD à exercer d'autres missions, mais l'article 38(3) exige que celles-ci n'entraînent pas de conflit d'intérêts. Le CEPD a expressément signalé les fonctions de PDG, de directeur des opérations, de directeur financier, de DRH, de directeur informatique et de directeur marketing comme étant intrinsèquement en conflit avec les responsabilités du DPD. La fonction de RSSI est particulièrement problématique, car le RSSI est responsable de décisions de sécurité que le DPD est censé superviser en toute indépendance.

Que se passe-t-il si nous avons besoin d'un DPD mais que nous n'en désignons pas ?

Des autorités de contrôle ont prononcé des amendes pour défaut de désignation d'un DPD lorsque la loi l'exigeait. L'autorité belge de protection des données a infligé une amende de 50'000 EUR à une entreprise en 2020 pour cette infraction. Au-delà des amendes, l'absence de DPD signifie que personne n'assume les fonctions de suivi, de conseil et de point de contact que les articles 38 et 39 imposent, ce qui aggrave d'autres manquements à la conformité lors d'une enquête.

Le DPD doit-il être établi dans l'UE ?

Le RGPD n'exige pas que le DPD soit physiquement situé dans l'UE, mais l'exigence de « facilement joignable » au titre de l'article 37(2) la rend pratiquement nécessaire pour la plupart des organisations. Le DPD doit pouvoir être joint par les personnes concernées et les autorités de contrôle dans un délai raisonnable et dans les langues pertinentes. Un DPD établi hors des fuseaux horaires européens crée des difficultés d'accessibilité que les autorités peuvent ne pas accepter.

Pouvons-nous recourir à un service de DPD externe ?

Oui. L'article 37(6) autorise expressément le DPD à être un membre du personnel ou à « exercer ses missions sur la base d'un contrat de service ». Les services de DPD externes sont courants pour les organisations de taille intermédiaire qui ont besoin de l'expertise mais ne peuvent justifier une embauche à plein temps. L'essentiel est de s'assurer que le DPD externe dispose d'une véritable indépendance, de ressources adéquates et d'un accès réel aux opérations de traitement, et pas seulement d'un nom sur le papier.

En quoi la nLPD suisse diffère-t-elle du RGPD sur les obligations relatives au DPD ?

La nLPD n'impose pas la désignation d'un DPD. Elle introduit plutôt une fonction facultative de « conseiller à la protection des données » au titre de l'article 10. Toutefois, la désignation d'un conseiller à la protection des données qualifié procure un avantage concret : elle dispense l'organisation de l'obligation de consulter le PFPDT (Préposé fédéral à la protection des données et à la transparence) avant un traitement à risque élevé. Pour les groupes établis en Suisse disposant de filiales dans l'UE, vous pouvez avoir besoin d'un DPD au titre du RGPD pour vos entités de l'UE tandis que les entités suisses sont soumises à des exigences différentes.

Nous avons désigné un DPD à titre volontaire : pouvons-nous le révoquer ?

Techniquement oui, mais procédez avec prudence. Une fois désigné, le DPD bénéficie des protections de l'article 38(3) : il ne peut être relevé de ses fonctions ni pénalisé pour l'exercice de ses missions. Révoquer un DPD désigné à titre volontaire peut aussi signaler à une autorité de contrôle que vous affaiblissez votre posture de conformité. Si vous n'avez plus besoin d'un DPD, documentez la justification, assurez-vous que les autres fonctions de conformité sont couvertes et envisagez de maintenir le rôle à un périmètre réduit plutôt que de le supprimer.

Avez-vous vraiment besoin d'un DPD ? Vérifiez-le en 5 minutes.

Cessez de douter des exigences de l'article 37. Cette liste de contrôle pratique vous guide à travers les critères exacts, afin que vous puissiez prendre une décision défendable et la documenter pour votre autorité de contrôle.

Ce qu'elle contient :

  • Les trois déclencheurs obligatoires de désignation d'un DPD au titre de l'article 37 du RGPD, déclinés en questions formulées simplement auxquelles vous répondez par oui ou par non
  • Les particularités par pays : là où les législations nationales élargissent le socle du RGPD (le seuil de la BDSG allemande, les exigences autrichiennes et 6 autres États membres de l'UE)
  • Un modèle de documentation pour consigner votre évaluation DPD — que vous désigniez ou non un DPD — afin d'être prêt pour l'audit si une autorité de contrôle vous le demande
  • DPD interne ou externe : un cadre de décision couvrant le coût, l'indépendance, les risques de conflit d'intérêts et les considérations multi-entités pour les structures de groupe

PDF gratuit. Aucune démonstration requise. Nous vous l'envoyons par e-mail.

Priverion vs OneTrust

Pourquoi les équipes de taille intermédiaire font le changement

OneTrust s'adresse aux organisations du Fortune 500, avec un périmètre GRC plus large et des équipes dédiées à la protection des données. Si vous gérez la protection des données sur plusieurs entités mais n'avez pas besoin de 400 fonctionnalités que vous n'utiliserez jamais, voici à quoi ressemble réellement la comparaison.

Priverion

Souveraineté suisse des données, dès la conception

Conçu et hébergé entièrement en Suisse. Vos données de conformité ne quittent jamais l'infrastructure suisse. Dans un monde post-Schrems II, ce n'est pas une fonctionnalité : c'est une nécessité juridique pour les transferts transfrontaliers de données.

Conçu pour la gestion à l'échelle du groupe

La conformité multi-entités est notre architecture centrale, et non un module complémentaire. Recertification automatisée, cartographie des données entre entités et supervision DPD centralisée, le tout en natif. AXA a atteint un taux de recertification du registre des traitements de 100 % sur l'ensemble de son groupe grâce à des flux entièrement automatisés.

Résultats client AXA, après mise en œuvre

Une tarification prévisible, adaptée au marché intermédiaire

Tarification fondée sur le nombre d'entités et la taille de l'organisation, et non par utilisateur ni par module. Aucun piège d'expansion. Aucune facture surprise lorsque vous ajoutez une nouvelle filiale ou intégrez davantage de responsables d'unités opérationnelles.

Opérationnel en quelques semaines, pas en quelques mois

Une interface épurée pensée pour les praticiens de la protection des données, et non pour les consultants en logiciels d'entreprise. Un constructeur aéronautique a réduit de 60 % son temps d'administration de la conformité au cours des 6 premiers mois : son DPD est passé de la maintenance de tableurs à un travail stratégique sur la protection des données.

Constructeur aéronautique, 6 premiers mois de mise en œuvre

Assisté par l'IA, contrôlé par l'humain

L'IA rédige les AIPD, évalue les risques et met en correspondance les réglementations, mais chaque résultat est revu par votre équipe avant de devenir un enregistrement de conformité. Aucune donnée client n'est utilisée pour l'entraînement des modèles. Tout le traitement reste au sein de l'infrastructure suisse.

Plateforme d'entreprise type

Siège aux États-Unis, hébergement multi-régions

Les données peuvent être hébergées dans des centres de données de l'UE, mais la société mère est soumise à la juridiction américaine. Pour les organisations qui composent avec les implications de Schrems II et les exigences en matière de transferts transfrontaliers, cela crée une complexité juridique permanente que les juristes internes doivent gérer.

Le multi-entités en module complémentaire

La gestion à l'échelle du groupe est souvent ajoutée par-dessus une architecture mono-entité. Déployer auprès de nouvelles filiales implique une configuration supplémentaire, des licences supplémentaires et un coût supplémentaire, chaque déploiement étant un projet en soi.

Tarification par utilisateur et par module

Des modèles de tarification d'entreprise qui évoluent avec les effectifs et