Skip to content
Obligations RGPD calendar_today Mis à jour: 7 avril 2026 schedule 5 min de lecture

DPD : Qu'est-ce qu'un Délégué à la Protection des Données et en Avez-vous Besoin ?

verified Dernière révision 7 avril 2026 · l'équipe juridique GDPRWise

Un DPD (Délégué à la Protection des Données) est un rôle obligatoire sous le RGPD, mais pas pour tout le monde. Cet article explique quand vous en avez besoin ou non, et ce qu'une PME doit concrètement mettre en place.

summarize Points clés
  • check_circle La plupart des PME n'ont pas besoin d'un DPD, mais vous devez désigner quelqu'un de responsable pour le RGPD
  • check_circle Un DPD est obligatoire si vous traitez des catégories spéciales de données à grande échelle ou surveillez systématiquement des personnes
  • check_circle Un DPD peut être interne ou externe, mais doit pouvoir travailler en toute indépendance
  • check_circle Pas besoin de DPD ? Assurez au minimum un point de contact RGPD au sein de votre organisation

Qu’est-ce qu’un DPD ?

Un DPD (Délégué à la Protection des Données), en anglais “Data Protection Officer” (DPO), est une personne qui veille au sein d’une organisation au respect du RGPD. Le DPD est le point de contact pour l’autorité de contrôle et pour les personnes dont vous traitez les données. C’est un rôle formel défini dans les articles 37 à 39 du RGPD.

Important : le DPD n’est pas responsable de la conformité RGPD. Cette responsabilité incombe à l’organisation elle-même. Le DPD conseille, contrôle et signale, mais n’est pas personnellement responsable en cas de problème.

Quand un DPD est-il obligatoire ?

Le RGPD prescrit un DPD dans trois situations :

1. Autorités publiques et organismes publics Toute autorité publique qui traite des données personnelles doit désigner un DPD. Sans exception.

2. Surveillance systématique et à grande échelle de personnes Cela s’applique lorsque votre activité principale consiste à observer systématiquement et à grande échelle des personnes. Pensez à :

  • Les entreprises de vidéosurveillance assurant la surveillance pour plusieurs clients
  • Les entreprises qui traquent le comportement en ligne à grande échelle à des fins publicitaires
  • Les entreprises de sécurité qui surveillent systématiquement des personnes

3. Traitement à grande échelle de catégories spéciales de données Les catégories spéciales comprennent : les données de santé, les données biométriques, les données sur la race ou l’ethnie, les opinions politiques, les convictions religieuses et les données relatives aux condamnations pénales. Exemples :

  • Hôpitaux et établissements de soins
  • Laboratoires effectuant des tests génétiques
  • Assureurs traitant des données de santé à grande échelle

Quand n’avez-vous PAS besoin d’un DPD ?

La plupart des PME ne relèvent pas des trois catégories ci-dessus. Quelques exemples :

  • Une entreprise de construction de 25 employés traite des données de personnel et de clients, mais ce n’est pas l’activité principale et ce n’est pas à grande échelle. Pas de DPD nécessaire.
  • Une boutique en ligne de 10 000 clients traite des noms, adresses et historiques de commandes. Ce sont des données personnelles ordinaires, pas des catégories spéciales, et l’activité principale est la vente, pas le traitement de données. Pas de DPD nécessaire.
  • Un cabinet comptable de 5 employés traite des données financières de clients. Bien que sensibles, ce ne sont pas des “catégories spéciales” au sens du RGPD. Pas de DPD nécessaire.
  • Une petite agence marketing qui gère des campagnes pour des clients. Sauf si vous faites du profilage à grande échelle, pas de DPD nécessaire.

Les mots-clés sont “activité principale” et “grande échelle”. Si vous traitez des données personnelles en appui de votre activité commerciale réelle (et presque toutes les entreprises le font), ce n’est pas votre activité principale.

Que fait concrètement un DPD ?

Si vous avez besoin d’un DPD (ou en désignez un volontairement), voici ses missions :

  • Informer et conseiller l’organisation et les employés sur les obligations du RGPD
  • Contrôle la conformité au RGPD, y compris l’attribution des responsabilités, la sensibilisation et la formation
  • Conseiller sur les AIPD (Analyses d’Impact)
  • Être le point de contact pour l’autorité de contrôle
  • Être le point de contact pour les personnes concernées ayant des questions ou plaintes sur leurs données

Un DPD peut être interne (un employé) ou externe (un spécialiste engagé). Dans les deux cas :

  • Le DPD doit pouvoir travailler en toute indépendance et ne peut recevoir d’instructions sur la manière d’exercer sa fonction
  • Le DPD ne doit pas avoir de conflit d’intérêts - le PDG, le responsable RH ou le responsable informatique ne peut pas être en même temps DPD
  • Le DPD doit disposer de ressources et d’accès suffisants pour exercer sa mission

Pas besoin de DPD ? Voici ce que vous DEVEZ organiser

Ne pas avoir besoin d’un DPD formel ne signifie pas que vous n’avez rien à faire. Votre organisation doit :

  1. Désigner un point de contact RGPD - quelqu’un en interne qui sait comment la documentation RGPD est organisée et peut traiter les demandes des personnes concernées
  2. Tenir un registre des traitements - c’est obligatoire pour pratiquement toute organisation
  3. Publier une politique de confidentialité - pour que clients et employés sachent comment vous traitez leurs données
  4. Avoir une procédure de violation de données - pour pouvoir réagir dans les 72 heures
  5. Conclure des contrats de sous-traitance - avec chaque partie qui traite des données en votre nom

La différence est que vous n’avez pas besoin d’un fonctionnaire formellement désigné et indépendant. Mais quelqu’un doit faire le travail.

En pratique : comment organiser cela ?

Si vous AVEZ besoin d’un DPD :

  • Interne : désignez un employé avec des connaissances en droit de la vie privée. Assurez-vous qu’il dispose de suffisamment de temps et de budget
  • Externe : engagez un DPD-as-a-service. Les coûts se situent entre 500 et 2 000 euros par mois
  • Enregistrez le DPD auprès de l’autorité de contrôle

Si vous N’AVEZ PAS besoin d’un DPD :

  • Désignez quelqu’un en interne comme personne de contact RGPD
  • Assurez-vous que cette personne a des connaissances de base du RGPD
  • Documentez qui c’est et quelles sont ses responsabilités
  • Utilisez un outil comme GDPRWise pour tenir à jour le registre des traitements et la documentation
auto_awesome Automatiser votre dossier RGPD ?

GDPRWise vous aide à créer et tenir à jour votre registre des traitements, votre politique de confidentialité et votre documentation RGPD - sans avoir besoin d'un DPD.

Partager share LinkedIn mail E-mail
GW
Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.