Skip to content
Obligations RGPD calendar_today Mis à jour: 7 avril 2026 schedule 5 min de lecture

DPD : Qu'est-ce qu'un Delegue a la Protection des Donnees et en Avez-vous Besoin ?

Un DPD (Delegue a la Protection des Donnees) est un role obligatoire sous le RGPD, mais pas pour tout le monde. Cet article explique quand vous en avez besoin ou non, et ce qu'une PME doit concretement mettre en place.

summarize Points clés
  • check_circle La plupart des PME n'ont pas besoin d'un DPD, mais vous devez designer quelqu'un de responsable pour le RGPD
  • check_circle Un DPD est obligatoire si vous traitez des categories speciales de donnees a grande echelle ou surveillez systematiquement des personnes
  • check_circle Un DPD peut etre interne ou externe, mais doit pouvoir travailler en toute independance
  • check_circle Pas besoin de DPD ? Assurez au minimum un point de contact RGPD au sein de votre organisation

Qu’est-ce qu’un DPD ?

Un DPD (Delegue a la Protection des Donnees), en anglais “Data Protection Officer” (DPO), est une personne qui veille au sein d’une organisation au respect du RGPD. Le DPD est le point de contact pour l’autorite de controle et pour les personnes dont vous traitez les donnees. C’est un role formel defini dans les articles 37 a 39 du RGPD.

Important : le DPD n’est pas responsable de la conformite RGPD. Cette responsabilite incombe a l’organisation elle-meme. Le DPD conseille, controle et signale, mais n’est pas personnellement responsable en cas de probleme.

Quand un DPD est-il obligatoire ?

Le RGPD prescrit un DPD dans trois situations :

1. Autorites publiques et organismes publics Toute autorite publique qui traite des donnees personnelles doit designer un DPD. Sans exception.

2. Surveillance systematique et a grande echelle de personnes Cela s’applique lorsque votre activite principale consiste a observer systematiquement et a grande echelle des personnes. Pensez a :

  • Les entreprises de videosurveillance assurant la surveillance pour plusieurs clients
  • Les entreprises qui traquent le comportement en ligne a grande echelle a des fins publicitaires
  • Les entreprises de securite qui surveillent systematiquement des personnes

3. Traitement a grande echelle de categories speciales de donnees Les categories speciales comprennent : les donnees de sante, les donnees biometriques, les donnees sur la race ou l’ethnie, les opinions politiques, les convictions religieuses et les donnees relatives aux condamnations penales. Exemples :

  • Hopitaux et etablissements de soins
  • Laboratoires effectuant des tests genetiques
  • Assureurs traitant des donnees de sante a grande echelle

Quand n’avez-vous PAS besoin d’un DPD ?

La plupart des PME ne relevent pas des trois categories ci-dessus. Quelques exemples :

  • Une entreprise de construction de 25 employes traite des donnees de personnel et de clients, mais ce n’est pas l’activite principale et ce n’est pas a grande echelle. Pas de DPD necessaire.
  • Une boutique en ligne de 10 000 clients traite des noms, adresses et historiques de commandes. Ce sont des donnees personnelles ordinaires, pas des categories speciales, et l’activite principale est la vente, pas le traitement de donnees. Pas de DPD necessaire.
  • Un cabinet comptable de 5 employes traite des donnees financieres de clients. Bien que sensibles, ce ne sont pas des “categories speciales” au sens du RGPD. Pas de DPD necessaire.
  • Une petite agence marketing qui gere des campagnes pour des clients. Sauf si vous faites du profilage a grande echelle, pas de DPD necessaire.

Les mots-cles sont “activite principale” et “grande echelle”. Si vous traitez des donnees personnelles en appui de votre activite commerciale reelle (et presque toutes les entreprises le font), ce n’est pas votre activite principale.

Que fait concretement un DPD ?

Si vous avez besoin d’un DPD (ou en designez un volontairement), voici ses missions :

  • Informer et conseiller l’organisation et les employes sur les obligations du RGPD
  • Controle la conformite au RGPD, y compris l’attribution des responsabilites, la sensibilisation et la formation
  • Conseiller sur les AIPD (Analyses d’Impact)
  • Etre le point de contact pour l’autorite de controle
  • Etre le point de contact pour les personnes concernees ayant des questions ou plaintes sur leurs donnees

Un DPD peut etre interne (un employe) ou externe (un specialiste engage). Dans les deux cas :

  • Le DPD doit pouvoir travailler en toute independance et ne peut recevoir d’instructions sur la maniere d’exercer sa fonction
  • Le DPD ne doit pas avoir de conflit d’interets - le PDG, le responsable RH ou le responsable informatique ne peut pas etre en meme temps DPD
  • Le DPD doit disposer de ressources et d’acces suffisants pour exercer sa mission

Pas besoin de DPD ? Voici ce que vous DEVEZ organiser

Ne pas avoir besoin d’un DPD formel ne signifie pas que vous n’avez rien a faire. Votre organisation doit :

  1. Designer un point de contact RGPD - quelqu’un en interne qui sait comment la documentation RGPD est organisee et peut traiter les demandes des personnes concernees
  2. Tenir un registre des traitements - c’est obligatoire pour pratiquement toute organisation
  3. Publier une politique de confidentialite - pour que clients et employes sachent comment vous traitez leurs donnees
  4. Avoir une procedure de violation de donnees - pour pouvoir reagir dans les 72 heures
  5. Conclure des contrats de sous-traitance - avec chaque partie qui traite des donnees en votre nom

La difference est que vous n’avez pas besoin d’un fonctionnaire formellement designe et independant. Mais quelqu’un doit faire le travail.

En pratique : comment organiser cela ?

Si vous AVEZ besoin d’un DPD :

  • Interne : designez un employe avec des connaissances en droit de la vie privee. Assurez-vous qu’il dispose de suffisamment de temps et de budget
  • Externe : engagez un DPD-as-a-service. Les couts se situent entre 500 et 2 000 euros par mois
  • Enregistrez le DPD aupres de l’autorite de controle

Si vous N’AVEZ PAS besoin d’un DPD :

  • Designez quelqu’un en interne comme personne de contact RGPD
  • Assurez-vous que cette personne a des connaissances de base du RGPD
  • Documentez qui c’est et quelles sont ses responsabilites
  • Utilisez un outil comme GDPRWise pour tenir a jour le registre des traitements et la documentation
auto_awesome Automatiser votre dossier RGPD ?

GDPRWise vous aide a creer et tenir a jour votre registre des traitements, votre politique de confidentialite et votre documentation RGPD - sans avoir besoin d'un DPD.

GW
Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.