Le Délégué à la Protection des Données (DPD, ou DPO de l'anglais Data Protection Officer) est l'une des figures que le Règlement (UE) 2016/679 (RGPD) a introduites avec le plus grand impact dans la structure de conformité des organisations européennes. Son rôle n'est ni décoratif ni purement documentaire : la réglementation lui assigne des fonctions précises, lui garantit une indépendance fonctionnelle et en fait le point de contact officiel entre l'organisation et l'Agence Espagnole de Protection des Données (AEPD). Pourtant, de nombreuses idées fausses persistent sur ce qu'un DPD peut et ne peut pas faire, sur les cas où sa désignation est obligatoire et sur ce qu'il apporte concrètement. Ce guide répond à ces questions avec rigueur normative.
Que dit la loi sur le DPD ? Le cadre des articles 37-39 du RGPD
Les articles 37 à 39 du RGPD réglementent la figure du DPD dans son ensemble : désignation, position et fonctions. Ce ne sont pas des dispositions indicatives : ce sont des obligations d'application directe dans tous les États membres de l'UE depuis le 25 mai 2018. La Loi organique 3/2018 sur la protection des données personnelles et la garantie des droits numériques (LOPDGDD) complète ce cadre dans le contexte espagnol, avec son article 34 qui élargit les cas de désignation obligatoire.
Le premier point à comprendre est que le RGPD encadre le DPD comme une fonction de supervision interne indépendante, et non comme un décideur sur les activités de traitement. La responsabilité ultime des traitements incombe toujours au responsable du traitement (l'entreprise, l'entité, l'organisme). Le DPD conseille, supervise, informe et facilite — mais ne décide pas au nom de l'organisation.
Quand la désignation d'un DPD est-elle obligatoire ? Les cas de l'article 37 du RGPD
L'article 37.1 du RGPD établit trois cas rendant la désignation obligatoire :
- Les autorités ou organismes publics (à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle).
- Les responsables ou sous-traitants dont les activités de base consistent en des opérations de traitement qui, du fait de leur nature, de leur portée ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées à grande échelle : assurance, banque, grandes plateformes numériques, services de géolocalisation ou de surveillance des personnes, entre autres.
- Les responsables ou sous-traitants dont les activités de base consistent en un traitement à grande échelle de catégories particulières de données (article 9 : santé, opinions politiques, origine ethnique, orientation sexuelle, biométrie, condamnations pénales) ou de données relatives à des infractions pénales.
La LOPDGDD élargit ces cas dans son article 34 dans le contexte espagnol. Parmi les entités expressément mentionnées figurent les établissements de santé traitant des données de patients, les entités établissant des profils commerciaux à grande échelle, les établissements d'enseignement, les partis politiques et les opérateurs d'infrastructures critiques. Si votre organisation relève de l'une de ces catégories, la désignation n'est pas facultative.
En dehors des cas obligatoires, le RGPD n'interdit pas — et encourage même — la désignation volontaire d'un DPD. Dans ce cas, les mêmes obligations de position et d'indépendance s'appliquent que si la désignation était obligatoire (article 37.4).
Quelles sont les fonctions du DPD selon l'article 39 du RGPD ?
L'article 39 du RGPD liste les fonctions minimales du DPD. Ce sont un plancher, non un plafond : l'organisation peut les élargir par contrat ou politique interne, mais ne peut jamais les réduire. Les cinq fonctions légales sont les suivantes :
1. Informer et conseiller le responsable, le sous-traitant et les employés
Le DPD est tenu de tenir l'organisation à jour sur ses obligations découlant du RGPD, de la LOPDGDD et de toute autre règle applicable en matière de protection des données. Cela inclut le signalement des évolutions réglementaires pertinentes — telles que les nouvelles lignes directrices de l'AEPD ou du Comité Européen de la Protection des Données (CEPD) —, le conseil lors de la conception de nouvelles activités de traitement (principe de protection des données dès la conception, article 25 RGPD), et la réponse aux questions du personnel ayant accès aux données personnelles.
2. Contrôler le respect du RGPD et des politiques internes
Le DPD exerce une fonction de contrôle permanente : vérifier que les activités de traitement de l'organisation sont menées conformément au cadre réglementaire et aux politiques internes de protection des données. Cela comprend la révision du Registre des activités de traitement (RAT), la vérification que les bases juridiques sont correctement identifiées, que les délais de conservation sont respectés et que les droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation) sont gérés dans les délais légaux. L'article 39.1.b précise expressément que cette supervision inclut la répartition des responsabilités, la formation du personnel et les audits correspondants.
3. Conseiller dans les analyses d'impact relatives à la protection des données (AIPD)
Lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les personnes, l'article 35 du RGPD impose une Analyse d'Impact relative à la Protection des Données (AIPD). L'article 35.2 établit que le responsable du traitement doit solliciter l'avis du DPD lors de la réalisation de cette analyse. Le DPD ne la conduit pas seul : il conseille sur la méthodologie, examine l'analyse des risques et émet un avis documenté sur les risques résiduels. S'il conclut que le risque résiduel reste inacceptable, il peut recommander une consultation préalable de l'AEPD (article 36 RGPD). Son avis, et s'il a été suivi ou non, doit être documenté.
4. Coopérer avec l'AEPD et agir comme point de contact
Le DPD est l'interlocuteur officiel de l'organisation auprès de l'AEPD (article 39.1.d). Cela signifie qu'en cas d'enquête, d'inspection ou de procédure de sanction, l'AEPD s'adressera au DPD. Cela implique également que les particuliers peuvent contacter le DPD pour exercer leurs droits ou poser des questions sur la confidentialité avant de recourir à l'AEPD. L'article 37.7 oblige à publier les coordonnées du DPD et à les communiquer à l'autorité de contrôle. L'omission de cet enregistrement est en soi une infraction sanctionnable.
5. Gestion et notification des violations de données
Bien que le RGPD ne mentionne pas explicitement la gestion des violations comme une fonction du DPD à l'article 39, c'est l'une de ses responsabilités pratiques centrales. L'article 33 du RGPD oblige le responsable du traitement à notifier les violations de données à l'AEPD dans un délai maximum de 72 heures à compter du moment où il en prend connaissance. Lorsqu'une violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, l'article 34 ajoute l'obligation de communiquer la violation aux personnes concernées sans délai injustifié. Le DPD coordonne ce processus en interne : évaluation de l'impact, préparation de la documentation, gestion de la notification à l'AEPD et, le cas échéant, rédaction des communications aux personnes concernées.
Que NE peut PAS faire le DPD ? Les dispositions d'indépendance de l'article 38
L'article 38 du RGPD réglemente la position du DPD et établit des garanties d'indépendance que l'organisation doit respecter :
- Le DPD ne doit pas recevoir d'instructions du responsable ou du sous-traitant concernant l'exercice de ses missions (article 38.3). Si le DPD conclut qu'un traitement est illicite, il doit le signaler même si c'est inconfortable.
- Le DPD ne doit pas être sanctionné ou relevé de ses fonctions pour l'exercice de ses missions (article 38.3). Un DPD qui peut être licencié pour avoir signalé des non-conformités n'a pas d'indépendance réelle.
- Le DPD ne doit pas avoir de conflits d'intérêts : s'il est interne, il ne peut pas exercer simultanément des fonctions impliquant de déterminer les finalités et les moyens du traitement des données (il ne peut pas être à la fois DPD et Directeur Marketing avec pouvoir de décision sur les bases de données clients, par exemple).
- Le responsable du traitement doit fournir au DPD l'accès aux données, aux systèmes et aux ressources nécessaires à l'exercice de ses missions (article 38.2).
Ces garanties expliquent également pourquoi de nombreuses organisations optent pour un DPD externe : l'indépendance structurelle d'un prestataire externe est plus facile à démontrer à l'AEPD que celle d'un employé qui relève hiérarchiquement de la même direction qu'il est censé superviser.
Tableau récapitulatif : fonctions du DPD selon le RGPD
| Fonction | Base légale (RGPD) | Implication pratique |
|---|---|---|
| Informer et conseiller | Art. 39.1.a | Formation du personnel, alertes réglementaires, conception de nouvelles activités de traitement |
| Contrôler la conformité | Art. 39.1.b | Audit du RAT, vérification des bases juridiques, contrôle des délais et des droits des personnes concernées |
| Conseiller dans les AIPD | Arts. 35.2 et 39.1.c | Examen de l'analyse des risques, avis documenté, recommandation de consultation préalable si nécessaire |
| Coopérer avec l'autorité de contrôle | Arts. 39.1.d et 39.1.e | Point de contact lors des inspections, enregistrement auprès de l'AEPD, gestion des réclamations |
| Gestion des violations de données | Arts. 33 et 34 (coordination) | Évaluation de l'impact, notification à l'AEPD sous 72 h, communication aux personnes concernées en cas de risque élevé |
| Indépendance fonctionnelle | Art. 38.3 | Pas d'instructions de la direction ; ne peut être sanctionné pour l'exercice de ses missions |
Quel profil doit avoir un DPD ?
L'article 37.5 du RGPD exige que le DPD soit désigné sur la base de ses qualités professionnelles, en particulier de ses connaissances spécialisées du droit et de la pratique en matière de protection des données, et de sa capacité à exercer les fonctions que le Règlement lui assigne. Aucun titre spécifique n'est imposé, mais les orientations de l'AEPD sur le DPD précisent que le niveau de connaissances requis est proportionnel à la sensibilité et à la complexité des activités de traitement de l'organisation.
En pratique, un DPD efficace pour une organisation de taille moyenne ou grande doit maîtriser : le RGPD et la LOPDGDD, la jurisprudence du CEPD et de la Cour de justice de l'UE en matière de protection des données, les guides sectoriels de l'AEPD (vidéosurveillance, cookies, violations, AIPD), les fondements techniques de la sécurité de l'information (pour interagir de manière pertinente avec les équipes informatiques) et la réglementation sectorielle applicable (données de santé, données du travail, données des mineurs, données financières). Lorsque le DPD est externe, le prestataire doit justifier d'une expérience vérifiable dans le secteur de l'organisation.
Vidéosurveillance, cookies et autres traitements sensibles : ce que supervise le DPD
Au-delà du cadre général, certaines activités de traitement déclenchent des obligations spécifiques que le DPD doit connaître et superviser :
- Vidéosurveillance : l'article 22 de la LOPDGDD réglemente l'utilisation des caméras à des fins de sécurité ; l'article 89 de la LOPDGDD couvre les caméras en milieu professionnel. Dans les deux cas, un panneau d'information obligatoire doit être affiché dans un endroit visible avant d'accéder à la zone surveillée, et les travailleurs doivent être informés avant l'installation des caméras. La conservation des images ne peut généralement pas dépasser trente jours (article 22.3 LOPDGDD), sauf réquisition des forces de l'ordre ou d'une autorité judiciaire. Le DPD supervise le respect de ces délais et la présence du panneau requis.
- Cookies et traçage numérique : l'article 22.2 de la loi 34/2002 sur les services de la société de l'information et le commerce électronique (LSSI-CE) exige un consentement éclairé pour les cookies non strictement nécessaires. Le Guide de l'AEPD sur l'utilisation des cookies (mis à jour en 2023) précise les exigences : pas de cases précochées, refuser les cookies doit être aussi simple et accessible qu'accepter, et l'utilisateur doit pouvoir retirer son consentement à tout moment. Le DPD vérifie que la politique de cookies et la plateforme de gestion du consentement respectent ces exigences.
- Données de santé et données des mineurs : ce sont des catégories particulières (article 9 RGPD) ou nécessitent une protection renforcée (article 8 RGPD pour les mineurs de moins de 14 ans en Espagne, selon la LOPDGDD). Le DPD s'assure que les bases juridiques sont appropriées et que les mesures de sécurité sont proportionnées à la sensibilité des données.
Le risque de ne pas avoir de DPD quand c'est obligatoire
Ne pas désigner un DPD lorsque c'est requis constitue une infraction grave à l'article 37 du RGPD. Le régime de sanctions de l'article 83.4 du RGPD prévoit des amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, la somme la plus élevée étant retenue. Le principe de proportionnalité modère ce plafond pour les PME, mais les résolutions de l'AEPD montrent des sanctions significatives même pour les petites organisations. L'AEPD peut également ordonner la suspension du traitement jusqu'à ce que l'infraction soit corrigée.
L'enregistrement du DPD auprès de l'AEPD est également obligatoire : l'omission de cet enregistrement est une infraction autonome, indépendante de l'existence ou non d'un DPD. Les coordonnées du DPD doivent figurer dans la politique de confidentialité de l'organisation et être communiquées à l'autorité de contrôle via le portail du Siège Électronique de l'AEPD.
DPD externe : quand c'est pertinent et comment le service est structuré
Le RGPD permet que le DPD soit un employé interne ou un prestataire de services externe (article 37.6). L'option externe est particulièrement adaptée lorsque l'organisation ne dispose pas de personnel interne avec le profil technico-juridique requis, lorsque démontrer l'indépendance d'un employé interne serait difficile, ou lorsque le volume de traitements ne justifie pas un rôle à temps plein dédié.
Un service de DPD externe est généralement structuré autour d'un contrat de prestation de services continu incluant : désignation formelle et enregistrement auprès de l'AEPD, maintenance et mise à jour du RAT, conseil sur les nouvelles activités de traitement, formations périodiques du personnel, gestion des demandes d'exercice des droits, accompagnement dans les AIPD le cas échéant, et coordination lors des incidents de sécurité. Le prix dépend de la complexité et du volume des traitements ; il n'existe pas de tarif fixe de marché et les fourchettes varient considérablement selon le secteur et la taille de l'organisation.
Si votre organisation doit désigner un DPD ou souhaite évaluer si votre DPD actuel répond aux exigences de l'article 39, Summum Consultoría accompagne les entreprises en Castille-et-León et aux Îles Canaries dans leur mise en conformité réglementaire depuis 2007. Vous pouvez en savoir plus sur notre service de DPD externe pour les organisations.
Questions fréquentes
Le DPD est-il personnellement responsable si l'organisation reçoit une sanction de l'AEPD ?
Pas directement. La responsabilité légale envers l'AEPD incombe toujours au responsable du traitement (l'organisation), et non au DPD. Le DPD remplit une fonction de conseil et de supervision : s'il a correctement exercé son rôle — signalé le risque, documenté ses avis et l'organisation a choisi de ne pas suivre ses recommandations — cette documentation est pertinente lors de l'évaluation de l'infraction par l'AEPD. Le DPD peut toutefois engager sa responsabilité contractuelle envers l'organisation s'il n'a pas exercé ses fonctions avec la diligence requise.
Le DPD peut-il exercer d'autres fonctions au sein de l'organisation ?
L'article 38.6 du RGPD le permet expressément, à condition que ces autres fonctions ne génèrent pas de conflit d'intérêts. Le DPD ne peut pas exercer simultanément des fonctions impliquant de décider des finalités et des moyens du traitement des données : il ne peut pas être à la fois DPD et Directeur Marketing avec pouvoir de décision sur les bases de données clients, ou Directeur Informatique contrôlant les systèmes hébergeant les données. En pratique, un DPD interne dans une petite organisation peut assumer des fonctions générales de conformité ou de conseil juridique, à condition que ces rôles n'impliquent pas de décisions exécutives sur les activités de traitement.
Le DPD doit-il être enregistré auprès de l'AEPD même s'il est externe ?
Oui. L'article 37.7 du RGPD impose la communication des coordonnées du DPD à l'autorité de contrôle, que le rôle soit interne ou externe. En Espagne, cela se fait via le Siège Électronique de l'AEPD. Les coordonnées publiées sont celles du DPD en sa qualité de point de contact institutionnel, et non ses données personnelles complètes : généralement un e-mail de contact dédié et le nom du DPD ou de la société prestataire du service.
Que se passe-t-il si le DPD externe identifie une infraction grave et que l'organisation n'agit pas ?
Le DPD est tenu de documenter ses avis et recommandations. Si l'organisation décide de ne pas les suivre, ce désaccord doit être consigné par écrit. En cas d'inspection ou de procédure de sanction, cette documentation peut être pertinente tant pour l'organisation (qui peut faire valoir que l'infraction n'était pas due à l'ignorance) que pour le DPD (qui peut démontrer qu'il a rempli son rôle d'alerte). Si l'organisation ignore de manière répétée des avertissements d'infractions graves, le DPD externe peut résilier le contrat pour ne pas être associé à un modèle de non-conformité systématique.
Existe-t-il une certification officielle de DPD en Espagne ?
Le RGPD n'exige aucune certification spécifique. Cependant, l'AEPD a développé un schéma de certification des DPD via des organismes de certification accrédités par ENAC, qui permet de vérifier objectivement le niveau de connaissances du candidat. Cette certification n'est pas obligatoire, mais elle constitue un élément valorisé auprès de l'AEPD et des organisations recherchant un DPD externe avec des garanties vérifiables de compétence technique.