Le DPO (Data Protection Officer) ou délégué à la protection des données est un acteur clé de la conformité RGPD. Sa désignation est obligatoire dans certains cas et fortement recommandée dans tous les autres. En matière RH, il joue un rôle essentiel pour sécuriser le traitement des données des salariés.
L’obligation de désignation
L’article 37 du RGPD rend la désignation d’un DPO obligatoire lorsque :
- Le traitement est effectué par une autorité publique ou un organisme public
- Les activités de base du responsable de traitement consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes
- Les activités de base consistent en un traitement à grande échelle de données sensibles (données de santé, données biométriques, etc.)
En pratique, la CNIL recommande la désignation d’un DPO à toutes les entreprises, quelle que soit leur taille.
Les missions du DPO
L’article 39 du RGPD définit les missions du DPO :
- Informer et conseiller le responsable de traitement et les salariés sur leurs obligations RGPD
- Contrôler le respect du RGPD et des politiques internes de protection des données
- Conseiller sur les AIPD (analyses d’impact) et en vérifier l’exécution
- Coopérer avec la CNIL et servir de point de contact
- Tenir compte des risques associés aux opérations de traitement
L’indépendance du DPO
L’article 38 du RGPD garantit l’indépendance du DPO :
- Le DPO ne reçoit aucune instruction concernant l’exercice de ses missions
- Il ne peut être relevé de ses fonctions ou sanctionné pour l’exercice de ses missions
- Il rend compte directement au niveau le plus élevé de la direction
- Il ne peut exercer de fonctions entraînant un conflit d’intérêts (pas DRH ni DSI)
Le DPO externalisé
Le DPO externalisé est une solution adaptée aux PME. Il offre :
- Une expertise spécialisée en protection des données
- Une indépendance naturelle vis-à-vis de la direction
- Un coût maîtrisé (temps partagé entre plusieurs clients)
- Une veille juridique permanente
Le cabinet DAIRIA Avocats accompagne les employeurs sur ces problématiques. Notre plateforme DAIRIA IA permet d’automatiser votre veille juridique en droit social.
FAQ — Questions fréquentes
Le DPO est-il un salarié protégé ?
Le RGPD interdit de sanctionner le DPO pour l’exercice de ses missions, ce qui crée une protection fonctionnelle. Mais il n’a pas le statut de salarié protégé au sens du Code du travail.
Quel est le profil type d’un DPO ?
Le DPO doit avoir des connaissances en droit de la protection des données et en sécurité informatique. Un profil juridique avec une appétence pour le numérique est idéal.
Combien coûte un DPO externalisé ?
De 500 à 3 000 € par mois selon la taille de l’entreprise et la complexité des traitements. C’est souvent moins coûteux qu’un DPO interne à temps plein.
