Est-ce que j'ai besoin d'un DPO ? Le guide pour trancher en 2026

Articles

Lettre V majuscule en bleu foncé sur fond transparent.

Auteur de l'article

Fanny Adoue

Avocate en droit du numérique

Quiz interactif intégré et guide complet : les trois cas d'obligation, l'intérêt d'une désignation facultative, le choix entre DPO interne, externe avocat ou mutualisé, les pièges à éviter.

La question revient à chaque audit RGPD. Faut-il désigner un délégué à la protection des données, ou peut-on s'en passer ? Le RGPD pose trois cas d'obligation formelle, mais la réalité du marché est plus nuancée : la CNIL recommande la désignation bien au-delà du strict minimum et les sanctions pour omission deviennent régulières.

Ce guide expose les trois cas de désignation obligatoire, l'intérêt d'une désignation facultative, les options entre DPO interne, externe ou mutualisé, et les pièges à éviter. Pour trancher rapidement votre cas particulier, commencez par le quiz interactif ci-dessous.

L'essentiel en 30 secondes

Trois cas rendent la désignation obligatoire : autorité publique, suivi régulier et systématique à grande échelle des personnes, ou traitement à grande échelle de données sensibles ou d'infractions. Hors ces cas, la désignation reste facultative, mais souvent recommandée dès lors qu'une entreprise traite des données clients, prospects ou salariés avec un certain volume. Les sanctions pour défaut de désignation atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Le DPO peut être interne, externe ou mutualisé entre plusieurs entités.

Auto-diagnostic en quatre questions

Répondez aux questions du quiz interactif pour obtenir une orientation indicative selon votre situation. Le diagnostic s'appuie sur les articles 37 et suivants du RGPD et sur les lignes directrices du Comité européen à la protection des données.

Auto-diagnostic juridique

Avez-vous besoin de désigner un DPO ?

Quatre questions, deux minutes, un résultat juridiquement étayé.

Êtes-vous une autorité publique, une administration, un établissement public ou un organisme chargé d'une mission de service public ?

Mairie, hôpital, université, agence d'État, organisme gestionnaire d'un service public.

Désignation obligatoire

Vous devez désigner un DPO sans délai.

Votre situation entre dans l'un des trois cas prévus par l'article 37 du RGPD. La désignation se formalise auprès de la CNIL via un formulaire en ligne. Le récépissé délivré par la CNIL constitue la preuve officielle de désignation.

Le défaut de désignation expose à une amende administrative pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. La CNIL prononce désormais des sanctions régulières sur ce manquement.

Réserver un échange

Fortement recommandé

La désignation n'est pas obligatoire, mais vivement conseillée dans votre cas.

Votre profil cumule plusieurs facteurs de risque qui justifient une désignation volontaire : volume de données, complexité contractuelle, transferts internationaux, exigences clients ou investisseurs. Un DPO devient à ce stade un argument commercial dans les due diligence et les questionnaires d'achat.

La désignation facultative produit les mêmes effets juridiques que la désignation obligatoire. Elle doit donc être préparée avec rigueur : lettre de mission, ressources, absence de conflits d'intérêts.

Réserver un échange

Facultatif, à documenter

Votre situation ne déclenche pas l'obligation de désigner un DPO.

Le RGPD et la doctrine du Comité européen à la protection des données recommandent néanmoins de documenter votre analyse : pourquoi vous estimez ne pas être tenu de désigner un DPO, sur la base de quels critères, avec une mise à jour à chaque changement d'activité significatif.

Cette documentation est la pierre angulaire du principe d'accountability et peut être exigée par la CNIL en cas de contrôle. Elle est également scrutée par les grands comptes en due diligence d'achat.

Réserver un échange

Ce diagnostic offre une première orientation indicative au regard des articles 37 et suivants du RGPD et des lignes directrices du Comité européen à la protection des données. Il ne constitue pas une consultation juridique personnalisée et ne remplace pas l'analyse d'un avocat au cas d'espèce.

Les trois cas où la désignation est obligatoire

Le premier cas vise les autorités publiques et les organismes publics, à l'exception des juridictions agissant dans leur fonction juridictionnelle. Mairies, hôpitaux, universités, agences de l'État sont concernés. Le Comité européen à la protection des données recommande également la désignation par les organismes privés chargés de missions de service public (transports publics, logement social), même si l'obligation stricte ne s'applique pas.

Le deuxième cas concerne les traitements supposant un suivi régulier et systématique à grande échelle des personnes. Cette formulation vise principalement les traitements de segmentation comportementale, de scoring, de lutte contre la fraude, de géolocalisation ou de vidéosurveillance. Pour apprécier l'échelle, le CEPD retient le nombre de personnes concernées, le volume de données traitées, la durée de l'activité et l'étendue géographique. De très nombreuses entreprises tombent dans le champ dès qu'un traitement est central à leur activité opérationnelle.

Le troisième cas couvre le traitement à grande échelle de données sensibles au sens de l'article 9 du RGPD (origine raciale, opinions politiques, convictions religieuses, données génétiques, biométriques, de santé, vie ou orientation sexuelle) ou de données d'infraction et de condamnation pénale au sens de l'article 10. Les laboratoires, établissements de santé, plateformes RH spécialisées, certains acteurs de l'assurance ou du recrutement entrent typiquement dans ce périmètre.

Quand désigner un DPO même sans obligation

Au-delà des trois cas légaux, la désignation facultative présente un intérêt commercial et juridique. La CNIL et le CEPD recommandent une analyse interne documentée pour démontrer que la question a été examinée, conformément au principe d'accountability.

Plusieurs indicateurs militent en faveur d'une désignation : un volume élevé de traitements opérationnels, le recours fréquent à des sous-traitants ou à des partenaires de partage de données, l'export régulier de données hors de l'Union européenne, la mise en œuvre d'études d'impact, ou encore la sophistication des outils de prospection, de lutte contre la fraude et de gestion des ressources humaines. Pour une startup tech en croissance, ces critères sont fréquemment réunis dès la série A.

Désigner un DPO devient alors un argument commercial dans les due diligence d'achat des grands comptes et dans les tours de financement. À l'inverse, une décision motivée de ne pas en désigner doit être consignée par écrit, datée, signée, et tenue à jour lors de tout changement d'activité.

DPO interne, externe ou mutualisé

Le RGPD laisse le choix du modèle.

Le DPO interne est un membre du personnel du responsable de traitement ou du sous-traitant. Attention au conflit d'intérêts : un directeur général, un directeur opérationnel, un DRH, un DSI, un directeur marketing ou un responsable de la lutte contre la fraude ne peuvent pas être DPO, car ils définissent les finalités et les moyens des traitements.

Le DPO externe prend la forme d'un contrat de service avec un consultant, un cabinet de conseil ou un avocat. Le règlement intérieur national de la profession d'avocat autorise expressément l'exercice de la fonction. Le DPO avocat apporte des garanties spécifiques : monopole de la consultation juridique pour les analyses de conformité, secret professionnel, indépendance, assurance responsabilité civile professionnelle. Ces garanties pèsent dans la balance face à un consultant non-avocat, en particulier sur les sujets sensibles commercialement ou réputationnellement.

Le DPO mutualisé est partagé entre plusieurs entités. Un groupe d'entreprises peut désigner un DPO unique, à condition qu'il soit facilement joignable depuis chaque lieu d'établissement. Les autorités publiques peuvent également mutualiser leur DPO. Le CEPD recommande que le DPO soit localisé dans l'Union européenne et capable de communiquer dans les langues utilisées par les personnes concernées et les autorités de contrôle.

Le rôle de l'avocat dans la décision

Trancher la question du DPO suppose une analyse juridique fine du périmètre des traitements, de leur échelle, des données concernées et de la chaîne contractuelle. Un avocat spécialisé en droit du numérique aide à qualifier la situation, à documenter la décision (positive ou négative), à rédiger la lettre de mission, et le cas échéant à exercer lui-même la fonction de DPO externe avec les garanties propres à la profession.

Vous hésitez sur la désignation d'un DPO, vous avez besoin d'auditer celui en place ou vous souhaitez confier la fonction à un avocat externe ? Je vous propose un échange initial pour qualifier votre situation et identifier la solution la mieux adaptée à votre activité.

Ressources

Les derniers articles

Tout voir

Protéger ses créations
Avocat en propriété intellectuelle : comment une startup peut financer son accompagnement
Sécuriser ses données
Est-ce que j'ai besoin d'un DPO ? Le guide pour trancher en 2026
Site internet non conforme au RGPD : deux cours d'appel annulent les contrats pour erreur sur les qualités essentielles
Contrôles CNIL 2026 : ce que les startups tech doivent absolument anticiper
Contractualiser son activité
Publicités autorisées ou interdites pour les influenceurs en 2026

Est-ce que j'ai besoin d'un DPO ? Le guide pour trancher en 2026