Les trois scénarios de désignation obligatoire d'un DPD au titre de l'article 37 du RGPD
L'article 37(1) du RGPD énonce exactement trois scénarios dans lesquels la désignation d'un délégué à la protection des données est obligatoire. Il ne s'agit pas de recommandations : le défaut de désignation lorsque la loi l'exige a valu des amendes prononcées par des autorités de contrôle dans toute l'UE.
Scénario 1 : autorités et organismes publics
Article 37(1)(a) : « Le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle. »
Cela vise toute organisation qualifiée d'autorité publique en droit national : administrations publiques, communes, universités publiques et entreprises d'État. La définition varie selon l'État membre. En Allemagne, les organismes de radiodiffusion de droit public sont concernés. En France, la CNIL a précisé que les organisations fournissant des services publics sous contrat peuvent également entrer dans le champ d'application.
Si votre organisation reçoit des financements publics ou fournit des services pour le compte d'un organisme public, vérifiez si votre autorité de protection des données nationale qualifie cela de traitement par une « autorité publique » : la définition est plus large qu'on ne le pense généralement.
Scénario 2 : suivi à grande échelle, régulier et systématique
Article 37(1)(b) : « Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées. »
C'est là que la plupart des organisations de taille intermédiaire trébuchent. « Activités de base » ne désigne pas le traitement des RH ou de la paie : il s'agit du traitement central à la réalisation de vos objectifs commerciaux. Les lignes directrices du WP29 (désormais reprises par le CEPD) définissent les termes clés comme suit :
- « Régulier » signifie continu ou survenant à des intervalles précis, et non ponctuel. Le suivi de la fidélité client, la surveillance des réseaux et le suivi de la localisation des collaborateurs entrent tous dans cette catégorie.
- « Systématique » signifie survenant selon un système, prédéfini, organisé ou méthodique. La publicité comportementale, le scoring de crédit et les systèmes de détection de fraude sont systématiques par nature.
- « Grande échelle » prend en compte le nombre de personnes concernées, le volume de données, l'étendue géographique et la durée du traitement. Il n'existe pas de seuil chiffré fixe, mais un réseau de vidéosurveillance à l'échelle d'une ville ou un opérateur télécom traitant des millions de fiches clients entre clairement dans cette catégorie.
Pour les organisations multi-entités, c'est là que la complexité se démultiplie. Votre société mère ne franchit peut-être pas ce seuil de manière indépendante, mais trois filiales réunies le peuvent. Et chaque filiale qui le déclenche crée sa propre obligation de désigner un DPD, à moins que vous ne désigniez un DPD de groupe au titre de l'article 37(2).
Scénario 3 : traitement à grande échelle de catégories particulières ou de données pénales
Article 37(1)(c) : « Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10. »
Les catégories particulières de données englobent les données de santé, les données biométriques, l'origine raciale ou ethnique, les opinions politiques, l'appartenance syndicale, les données génétiques et les données concernant la vie sexuelle ou l'orientation sexuelle. Si l'une de vos filiales traite ce type de données dans le cadre d'une activité de base — une filiale de santé, une entité d'assurance, une unité de tests génétiques —, un DPD est obligatoire pour cette entité.
Le critère de « grande échelle » s'applique ici aussi. Un cabinet médical isolé traitant des dossiers de patients n'atteint pas le seuil. Un réseau hospitalier traitant des dossiers dans trois pays, oui.
Les législations nationales qui élargissent le socle du RGPD
L'article 37(4) autorise expressément les États membres à fixer des exigences supplémentaires pour la désignation d'un DPD. Plusieurs l'ont fait, créant des pièges pour les organisations qui se contentent de consulter le texte du RGPD.
- Allemagne (BDSG §38) : un DPD est obligatoire dès lors qu'au moins 20 employés sont affectés en permanence au traitement automatisé de données à caractère personnel. Ce seuil est nettement inférieur à celui de « grande échelle » du RGPD et concerne de nombreuses entreprises de taille intermédiaire qui n'y seraient pas autrement soumises.
- Autriche : la loi autrichienne sur la protection des données impose un DPD pour les traitements qui créent un risque élevé pour les droits des personnes, un critère plus large que les trois scénarios du RGPD.
- France : si la CNIL n'a pas étendu la désignation obligatoire au-delà de l'article 37 du RGPD, ses orientations recommandent fortement la désignation d'un DPD pour toute organisation traitant des données à caractère personnel comme une part importante de son activité. En pratique, les autorités françaises attendent un DPD ou une fonction équivalente.
- Roumanie, Grèce, Slovaquie : ces États membres ont adopté des exigences sectorielles supplémentaires en matière de DPD, notamment pour les services financiers, les télécommunications et les organisations de santé.
Pour les organisations multi-entités, cela signifie qu'une seule évaluation de DPD de groupe ne suffit pas. Vous devez vérifier l'obligation de chaque filiale au regard du droit national du pays où elle est établie, et pas uniquement au regard du socle du RGPD.
Qui peut occuper la fonction de DPD ? Les exigences que la plupart des organisations sous-estiment
L'article 37(5) exige que le DPD soit désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données ». Le CEPD a précisé que cela signifie :
- Connaissances juridiques et techniques : le DPD doit comprendre à la fois le cadre juridique et les opérations techniques de l'organisation. Un juriste qui ne maîtrise pas l'infrastructure informatique, ou un responsable informatique qui ne maîtrise pas le RGPD, ne répondra pas au critère.
- Indépendance : l'article 38(3) prévoit que le DPD « ne reçoit aucune instruction en ce qui concerne l'exercice de ses missions ». Cela signifie que le DPD ne peut être le RSSI, le directeur juridique ou toute personne dont le rôle crée un conflit d'intérêts. Le CEPD a signalé que les fonctions de PDG, de directeur des opérations, de directeur financier, de DRH et de directeur informatique sont par nature en conflit.
- Ressources adéquates : l'article 38(2) impose à l'organisation de fournir « les ressources nécessaires pour exercer ces missions, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement ». Désigner un DPD sans budget, sans outillage ni accès aux registres de traitement, c'est un échec de conformité annoncé.
- Accessibilité : pour les DPD de groupe au titre de l'article 37(2), « facilement joignable depuis chaque établissement » signifie accessible en termes de langue, de disponibilité et de compréhension des exigences réglementaires locales. Un DPD à Zurich gérant la protection des données d'une filiale portugaise a besoin soit de compétences linguistiques locales, soit d'un coordinateur local en protection des données.
Le modèle du DPD de groupe : comment les organisations multi-entités se coordonnent
L'article 37(2) permet à un groupe d'entreprises de désigner un seul DPD, à condition qu'il soit « facilement joignable depuis chaque établissement ». En pratique, cela suppose de bâtir une structure de coordination qui donne au DPD de groupe une visibilité réelle sur chaque entité.
Ce que « facilement joignable » exige réellement
- Les personnes concernées dans chaque juridiction doivent pouvoir contacter le DPD dans leur langue locale, ou à tout le moins dans une langue qu'elles peuvent raisonnablement être censées comprendre
- Le DPD doit pouvoir communiquer efficacement avec les autorités de contrôle locales dans chaque juridiction où le groupe est actif
- Le DPD doit disposer d'une visibilité opérationnelle sur les activités de traitement, les fournisseurs, les incidents et les demandes des personnes concernées de chaque entité dont il a la charge
La réalité opérationnelle sans outillage centralisé
Le fondateur de Priverion a observé une entreprise à 12 filiales gérant sa conformité au RGPD sur 47 tableurs. Le DPD de groupe passait la majeure partie de sa semaine à relancer les unités opérationnelles pour obtenir les mises à jour du registre des traitements, les rapports d'avancement des AIPD et l'achèvement des évaluations de fournisseurs, par e-mail, lecteurs partagés et appels mensuels déjà dépassés au moment où ils avaient lieu.
C'est la norme, pas l'exception. Sans plateforme centralisée offrant une visibilité à l'échelle du groupe, le modèle du DPD de groupe se délite et tombe précisément dans le type de conformité fragmentée et non documentée que les autorités de contrôle contesteront lors d'un audit.
Comment Priverion appuie le modèle du DPD de groupe
Priverion a été conçu spécifiquement pour cette architecture. Un DPD de groupe utilisant Priverion bénéficie de :
- Une cartographie des données entre entités avec une visibilité centralisée sur les activités de traitement de chaque filiale
- Une recertification automatisée du registre des traitements. AXA a atteint un taux de recertification de 100 % grâce à des flux entièrement automatisés, supprimant les relances manuelles
- L'automatisation des AIPD et des TIA avec rédaction assistée par IA et scoring des risques, chaque résultat étant revu par le DPD avant de devenir un enregistrement de conformité
- Des flux de gestion des incidents qui orientent les notifications de violation vers la bonne filiale et la bonne autorité de contrôle
- Un tableau de bord DPD offrant une supervision opérationnelle de l'état de conformité à l'échelle de l'ensemble du groupe
Toutes les données sont traitées au sein d'une infrastructure suisse, garantissant une résidence européenne des données et une souveraineté suisse des données, un avantage juridique significatif pour les organisations gérant des transferts transfrontaliers de données dans un contexte post-Schrems II.
Même si vous n'avez pas besoin d'un DPD : documentez votre évaluation
L'article 37 n'impose pas de désigner un DPD dans toutes les situations, mais chaque autorité de contrôle attend de vous que vous ayez évalué si vous en avez besoin. L'absence d'une évaluation documentée constitue en soi un signal d'alerte lors d'une enquête.
Votre évaluation devrait couvrir :
- Chaque entité de votre groupe, évaluée au regard des trois scénarios de l'article 37(1)
- Les exigences de droit national dans chaque juridiction où vous disposez d'un établissement
- Le fait que vous recouriez ou non à la disposition relative au DPD de groupe au titre de l'article 37(2), et la manière dont la « facilité d'accès » est assurée
- Si vous décidez de ne pas désigner de DPD, la justification de cette décision, documentée et datée
Cette documentation devrait être révisée chaque année, ou chaque fois que votre structure de groupe, vos activités de traitement ou votre environnement réglementaire évoluent.


