Please choose your language:
  • frFrançais

Visit us in:
Barcelona, Copenhagen, Hamburg, Hong Kong, Kochi, London, Madrid, Milan, Munich, New York, Paris, Vienna, Zurich

Nos bureaux
Demander une démo
Contactez notre expert
Compliance & Ethics
Solutions
Politiques & Procédures internes
Gestion des déclarations
Risques liés aux tiers
Dispositif anti-corruption
Dispositif d'alerte professionnelle
Sensibilisation à la conformité
Plateforme
Toutes vos exigences de conformité. Une seule plateforme.
Whistleblowing
Canaux sécurisés. Protection totale.
Policies
Une gouvernance claire. Zéro confusion.
Approvals
Décisions rapides. Transparence totale.
Third Parties
Vision approfondie. Partenariats sécurisés.
Livre Blanc
Case Study
Webinar
Event
Article
Optimiser votre cartographie des risques
Faire le premier pas est toujours un défi, surtout lorsqu’il s’agit de mettre en place un dispositif de conformité efficace.
Ressources
Case Studies Webinaires Evénements White Papers Blog Actualité produits Service
Data Privacy
Solutions
Privacy automation
Plateforme
Protégez les données. Renforcez la confiance.
Conformité RGPD
Protection fluide. Esprit tranquille.
Conformité IA
Innovation éthique. Prêt pour l’avenir.
E-Learnings
Des connaissances qui perdurent. Des équipes performantes.
Livre Blanc
Case Study
Webinar
Event
Article
Votre checklist pour réussir vos audits de conformité RGPD
Nos experts en protection des données ont conçu une checklist complète pour vous accompagner, étape par étape, dans la préparation et la réalisation de vos audits RGPD. Téléchargez-la gratuitement dès maintenant.
Ressources
Études de cas Webinaires Evénements White Papers Blog
Gestion de la durabilité
Solutions
Plateforme
Tous les cas d’usage sur une seule plateforme. Le cockpit de la durabilité
CSRD
Collectez les données dans toute l’organisation. Des rapports conformes..
Empreinte CO2
Calculez votre empreinte carbone. Réduisez vos émissions.
Double matérialité
Identifiez les enjeux clés. Passez à l’action.
VSME
Déclarez et partagez vos données ESG essentielles.
Taxonomie européenne
Mesurez votre alignement. Devenez plus durable.
Livre Blanc
Case Study
Webinar
Event
Article
La publication d’informations en matière de durabilité après la proposition “Omnibus” de l’UE
Faire le premier pas est toujours un défi, surtout lorsqu’il s’agit de mettre en place un dispositif de conformité efficace.
Ressources
Études de cas Webinaires Evénements White Papers Blog
Retour

DPO : Définition et mission

by Ola Mohty - Experte en protection des données & Docteure en droit  | Updated: 15/12/2025

Le rôle du DPO (Data Protection Officer) est devenu central dans le paysage de la protection des données personnelles depuis l’entrée en vigueur du RGPD. Cet article vous explique sa définition, ses missions, son statut obligatoire ou non, ses compétences, ainsi que l’évolution par rapport à l’ancien CIL.

DPO : Définition

Qualifié de « chef d’orchestre » par la CNIL, le délégué à la protection des données, aussi appelé DPO pour « Data Protection Officer », est la personne en charge de la protection des données à caractère personnel au sein des organismes publics ou privés. 

La notion de DPO a été consacrée le 25 mai 2018 par le Règlement Général sur la Protection des Données (RGPD), qui en réglemente la désignation, les fonctions, les missions et la certification dans son chapitre 4. 

Nommer une personne en charge de la bonne gestion des données personnelles au sein des entreprises n’est pas nouveau. La fonction existait de façon assez marginale et non obligatoire, sous la dénomination de Correspondant Informatique et Liberté (CIL). 

Pour les organismes dont la désignation est obligatoire, il sera le conseiller et l’intermédiaire privilégié de la CNIL afin de piloter la conformité au RGPD. Au sein de l’organisme, le DPO sera également l’interlocuteur privilégié pour toutes les questions relatives aux données personnelles, qu’elles soient internes ou qu’elles émanent d’une personne concernée par un traitement effectué par l’organisme. Ainsi, le DPO sera en charge de la gestion des demandes d’exercice des droits. 

Il ressort du bilan dressé après une année d’application du RGPD que les TPE/PME font de plus en plus appel à la fonction de DPO pour se prémunir des risques et des contraintes imposées par le RGPD. 

La désignation d’un collaborateur en interne pour incarner cette fonction constitue de plus en plus un chantier envisageable pour beaucoup d’entre elles, voire une condition sine qua non pour assurer le pilotage de la conformité et éviter les sanctions pécuniaires. 

Toutefois, la fonction de DPO peut également être exercée par un prestataire externe à l’organisme si l’attribution d’une ressource interne n’est pas envisageable et/ou pertinente. Le métier de DPO externe a donc pris une certaine ampleur, appelée à croître dans les années à venir. Après plus de 2 ans d’application du RGPD, le métier de Data Protection Officer se hisse à la première place des métiers les plus recherchés sur LinkedIn en France, avec 32 fois plus de professionnels qu’en 2015 selon LinkedIn. 

Quelles sont les missions du DPO ?

Le DPO veille à la conformité de son organisme au regard de la réglementation applicable en matière de protection des données personnelles. À ce titre, il doit : 

  • Informer et conseiller l’organisme au sein duquel il exerce ses fonctions ainsi que les employés. Il accompagne en profondeur le changement dans l’usage de la data au sein de l’entreprise. 
  • Proposer à son organisme d’établir une analyse d’impact relative à la protection des données et de s’assurer de son exécution. 
  • Être disponible pour répondre aux questions des personnes concernées. 
  • Assurer une coopération avec l’autorité de contrôle locale. 

Le DPO peut également, avec l’aide des responsables de traitement et des sous-traitants, tenir le registre des traitements de l’organisme. 

Le DPO accompagne son organisme dans sa mise en conformité et dans le maintien de celle-ci dans le temps. Cela implique : 

  • D’aider l’organisme à cartographier ses traitements ; 
  • De prioriser les actions à mener en matière de protection des données en fonction du contexte et des risques associés ; 
  • D’organiser les procédures internes visant à gérer les traitements de données personnelles, les éventuelles demandes d’exercice de droits et violations ; 
  • De documenter la conformité de l’organisme afin qu’en cas de contrôle, celui-ci puisse démontrer aisément sa conformité à la réglementation applicable. 

Pour simplifier l’ensemble de ces process, le DPO peut s’adosser à un logiciel RGPD de mise en conformité, tel que EQS Privacy Cockpit. 

DPO : obligatoire ou non ?

Facultatif sous l’empire de l’ancienne loi de 78, la désignation d’un DPO devient obligatoire dans certains cas. Toutes les entreprises ne sont pas concernées par cette obligation, mais la CNIL recommande fortement cette fonction. 

L’article 37.7 du RGPD prévoit la désignation d’un DPO dans 3 cas précis : 

  • Lorsque le traitement de données à caractère personnel est effectué par une autorité ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle. 
  • Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un suivi régulier et systématique à grande échelle des personnes concernées (vidéosurveillance, géolocalisation, traitement des échanges bancaires, traitement clients nombreux…). 
  • Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un traitement à grande échelle de catégories de données sensibles (données de santé, données biométriques…) ou encore de données personnelles relatives à des condamnations pénales et des infractions. 

Le Groupe de l’Article 29 a précisé que les entreprises privées effectuant des missions de service public ne sont pas tenues à cette obligation, mais recommande néanmoins la désignation d’un DPO. 

Notre recommandation :

En cas de contrôle, la CNIL demandera de justifier la non-présence d’un DPO. Désigner un DPO interne ou mutualisé avec une autre structure garantit un interlocuteur unique pour assurer une conformité RGPD complète. 

Les DPO externes ou cabinets d’avocats partenaires peuvent accompagner les entreprises dans la mise en conformité et le maintien de celle-ci, quels que soient la taille et le secteur d’activité. 

Les compétences et les moyens pour exercer la profession de DPO

Avant de désigner un DPO, il faut s’assurer que ce dernier remplit trois conditions : 

  • Il doit avoir les compétences requises pour exercer la fonction (connaissance approfondie des législations, compréhension de l’organisation interne et des besoins de l’organisme, connaissance des systèmes d’information et des données collectées). Il doit maintenir ses compétences à jour. 
  • Il doit disposer de moyens suffisants pour exercer ses missions (accessibilité aux informations utiles, temps suffisant, moyens matériels et humains). 
  • Il doit agir en toute indépendance (absence de conflit d’intérêt, absence de sanction liée à son activité, absence d’instructions hiérarchiques). Le DPO n’est toutefois pas responsable en cas de non-conformité de l’organisme. 

Le DPO est également tenu par une obligation de confidentialité quant à ses missions. 

Enfin, le DPO doit être déclaré auprès de son autorité de contrôle compétente (CNIL en France). 

Pour simplifier la mise en conformité, EQS Privacy Cockpit peut aider les DPO internes ou externes au quotidien.

Certification du DPO

Depuis 2018, la CNIL propose un référentiel permettant de garantir que les DPO soient qualifiés par une certification. 

La certification n’est pas obligatoire pour exercer le métier, ni pour être désigné DPO. Délivrée depuis juillet 2019, elle consiste en un examen de compétences (QCM d’une centaine de questions, en partie cas pratiques) portant sur 3 domaines et visant à tester les 17 compétences listées dans le référentiel CNIL. 

L’épreuve est réussie si au moins 75 % des réponses sont exactes, dont 50 % de bonnes réponses dans chacun des domaines.

Evolution par rapport au Correspondant Informatique et Liberté (CIL)

Le CIL, chargé de veiller au respect de la loi Informatique et Libertés de 1978, a vu son rôle transformé avec le RGPD et renommé DPO. 

Principales évolutions : 

  • Le DPO est obligatoire dans certains cas, là où le CIL était facultatif ; 
  • Les sous-traitants doivent désigner un DPO si les critères du RGPD sont remplis ; 
  • Les coordonnées du DPO doivent être accessibles publiquement via le site de la CNIL ; 
  • Un DPO externe peut être mutualisé entre plusieurs organismes ; 
  • Le DPO doit être déclaré auprès de son autorité de contrôle (CNIL). 

Nouvelles missions apportées par le RGPD : 

  • Mettre en place des PIA réguliers et systématiques en cas de projet impactant les données personnelles ; 
  • Assurer l’accountability de l’entreprise ; 
  • Intégrer les principes de Privacy by Design et Privacy by Default ; 
  • Gérer et notifier les violations de données personnelles. 

Les organismes peuvent : 

  • Remplacer leur CIL par un DPO ; 
  • Désigner un DPO en remplacement du CIL ; 
  • Conserver le CIL en sus du DPO. 

Conclusion

La fonction de DPO est aujourd’hui stratégique et incontournable pour toute organisation traitant des données personnelles. Qu’il soit interne ou externe, le DPO garantit la conformité au RGPD, sécurise les traitements et devient un acteur clé de la confiance et de la transparence vis-à-vis des personnes concernées. L’usage de solutions comme EQS Privacy Cockpit facilite grandement la gestion des obligations, tout en assurant un pilotage efficace et centralisé de la protection des données. 

Ola Mohty
Ola Mohty

Experte en protection des données & Docteure en droit

Passionnée par la protection de la vie privée et la sécurité des données, Ola aide depuis 2018 les entreprises à transformer la conformité en véritable levier de confiance. Forte de son expertise juridique approfondie en matière de protection des données personnelles, elle allie précision juridique et approche opérationnelle pour accompagner des organisations de toutes tailles. Sa mission : rendre la protection des données accessible, stratégique et porteuse de valeur.

Contact