Lorsqu'une organisation décide de désigner un Délégué à la Protection des Données (DPD) — que ce soit parce que l'article 37 du RGPD l'exige ou de façon volontaire — le travail ne s'arrête pas à la signature du contrat ou de la lettre de désignation interne. Il reste une démarche administrative que beaucoup d'entreprises négligent ou effectuent trop tard : notifier formellement le DPD à l'Agence espagnole de protection des données (AEPD) et publier ses coordonnées de contact, comme l'exige l'article 37.7 du RGPD. L'AEPD explique ce qu'est un DPD et quand sa désignation est obligatoire, mais détaille rarement la procédure opérationnelle : quel formulaire utiliser, quel certificat numérique est nécessaire, quelles données fournir et ce qui se passe en cas de retard. Ce guide couvre précisément ce dernier kilomètre.
Pourquoi notifier le DPD à l'AEPD ? Le cadre de l'article 37.7 du RGPD
L'article 37.7 du RGPD est catégorique : « Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l'autorité de contrôle. » Cette obligation comporte deux volets qu'il convient de distinguer, car ils se remplissent différemment :
- Publication : les coordonnées du DPD doivent être accessibles à toute personne concernée — typiquement dans la politique de confidentialité du site web, mais aussi dans les contrats, les formulaires de collecte de données ou tout canal informant du traitement de données personnelles.
- Notification à l'autorité de contrôle : en Espagne, cela signifie enregistrer le DPD auprès de l'AEPD via son Guichet électronique (Sede Electrónica). Il s'agit d'une démarche distincte de la publication, les deux étant exigibles de façon indépendante.
Le non-respect de l'un ou l'autre volet de cette obligation n'est pas une simple formalité : il relève du bloc normatif de l'article 37, dont le manquement est sanctionné au titre de l'article 83.4 du RGPD, avec des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu.
Avant de notifier : formaliser la désignation interne du DPD
La notification à l'AEPD suppose qu'une désignation préalable et documentée existe déjà. Avant de se rendre sur le Guichet électronique, il convient d'avoir réglé :
- L'acte de désignation : un document interne (décision de l'organe de gouvernance, contrat de prestation de services si le DPD est externe, ou lettre de nomination s'il est interne) portant une date certaine, l'identification complète du DPD et l'acceptation expresse de la fonction.
- La vérification de l'aptitude : l'article 37.5 du RGPD exige que le DPD soit désigné sur la base de ses qualités professionnelles, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données. Aucun diplôme précis n'est requis, mais il convient de pouvoir justifier cette aptitude — formation, expérience, certification — si l'AEPD le demande lors d'une inspection.
- La vérification de l'indépendance : si le DPD est un salarié interne, il faut confirmer qu'il n'exerce pas de fonctions déterminant les finalités et les moyens du traitement (direction marketing, direction informatique avec pouvoir de décision, etc.), conformément à l'article 38.6 du RGPD.
- Un canal de contact dédié : une adresse électronique spécifique (par exemple dpo@votreentreprise.fr) distincte de la boîte générique de l'organisation, et souvent aussi un téléphone ou une adresse postale de contact.
Ce n'est qu'une fois ces éléments réglés qu'il est pertinent d'entamer la démarche de notification, car le formulaire de l'AEPD demande précisément ces informations.
Comment notifier le DPD à l'AEPD : la démarche étape par étape
La notification s'effectue intégralement par voie électronique, via le Registre électronique du Guichet électronique de l'AEPD (sedeagpd.gob.es) ; les personnes morales sont tenues de communiquer avec l'administration espagnole par voie électronique, conformément à l'article 14.2 de la loi 39/2015. Les étapes habituelles sont les suivantes :
- Accès avec certificat numérique. Il est nécessaire de s'identifier avec un certificat numérique reconnu, la carte d'identité électronique espagnole (DNIe) ou le système Cl@ve, au nom de la personne agissant au nom du responsable du traitement ou du sous-traitant (représentant légal, mandataire ou l'entité elle-même si elle dispose d'un cachet électronique).
- Localisation de la procédure de notification du DPD. Au sein du Guichet électronique, l'AEPD met à disposition une procédure spécifique pour la notification de la désignation, de la modification ou de la cessation des fonctions du Délégué à la Protection des Données, accessible depuis le catalogue des démarches ou directement depuis la section dédiée au DPD sur le site institutionnel de l'AEPD.
- Remplissage du formulaire. Le formulaire demande généralement : l'identification du responsable du traitement ou du sous-traitant (raison sociale, numéro d'identification fiscale, siège social), l'identification complète du DPD (nom et prénom ou raison sociale s'il s'agit d'une entité, numéro d'identification fiscale, adresse de contact, courriel et téléphone), le type de désignation (interne, externe ou partagée avec d'autres entités du groupe) et la date de la désignation.
- Joindre des pièces justificatives si demandé. Dans certains cas, il est utile de disposer du document de nomination ou du contrat de prestation de services, bien qu'il ne soit pas toujours obligatoire de le joindre à la démarche elle-même.
- Envoi et obtention du justificatif. Après le dépôt, le Guichet électronique génère un justificatif d'enregistrement avec un numéro de dossier et un horodatage. Ce justificatif est ce qui prouve, lors d'une inspection ultérieure, que la notification a bien été effectuée et à quelle date.
La notification n'implique pas une validation de fond par l'AEPD quant à l'aptitude du DPD désigné : l'Agence enregistre la notification, elle ne certifie pas le DPD. Cette responsabilité incombe toujours au responsable du traitement.
Quand faut-il notifier le DPD ? Délais et moment opportun
Le RGPD ne fixe aucun nombre précis de jours pour effectuer la notification, mais le droit espagnol le fait : l'article 34.3 de la LOPDGDD impose de notifier à l'AEPD les désignations, nominations et cessations de fonctions du délégué à la protection des données dans un délai de dix jours, que la désignation soit obligatoire ou volontaire. En pratique, cela signifie notifier dans les jours suivant immédiatement la signature de la désignation, sans attendre une inspection ou une demande pour le faire dans la précipitation.
Lorsque la désignation d'un DPD est obligatoire parce que l'organisation relève de l'un des cas prévus à l'article 37.1 du RGPD ou à l'article 34 de la LOPDGDD (loi organique espagnole de protection des données), une notification tardive n'exonère pas de responsabilité : l'AEPD peut considérer qu'il y a eu une période sans DPD effectif, avec le même traitement sanctionnateur que si aucun n'avait été désigné.
Publier les coordonnées de contact : l'obligation parallèle souvent oubliée
Notifier l'AEPD ne remplace pas l'obligation de publication. De nombreuses organisations complètent l'enregistrement auprès de l'Agence et oublient de mettre à jour leur politique de confidentialité, ce qui constitue un manquement partiel immédiatement détectable lors de toute inspection — il suffit de consulter le site web. Les coordonnées du DPD doivent figurer, au minimum :
- Dans la politique de confidentialité ou les mentions légales du site web.
- Dans les formulaires de collecte de données personnelles (contact, création de compte client, processus de recrutement).
- Dans le Registre des activités de traitement (RAT) : l'article 30.1.a) du RGPD exige d'y faire figurer les coordonnées du délégué à la protection des données.
- Dans les communications relatives à l'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition et limitation).
Il n'est pas nécessaire de publier le nom complet de la personne physique si le DPD est externe et agit en tant que représentant d'une entité prestataire : il est courant et admis de publier la dénomination de l'entité prestataire de services accompagnée du canal de contact dédié.
Changements, cessations et renouvellements : il faut notifier à nouveau
La notification à l'AEPD n'est pas une démarche à effectuer une seule fois pour toutes. Tout changement pertinent impose une nouvelle notification, également dans le délai de dix jours de l'article 34.3 de la LOPDGDD, qui vise expressément les désignations, nominations et cessations de fonctions :
- Changement de DPD : remplacement du DPD interne par un autre, ou changement de prestataire de DPD externe.
- Cessation sans remplacement immédiat : une période sans DPD doit être évitée lorsque la désignation est obligatoire ; si elle se produit, elle doit être notifiée et régularisée au plus vite.
- Changement de coordonnées : nouvelle adresse électronique, téléphone ou adresse postale du DPD.
- Extension ou réduction du périmètre d'intervention : par exemple, lorsqu'un DPD externe commence également à servir des filiales du groupe, ou lorsque deux entités qui partageaient un DPD cessent de le faire.
Une erreur fréquemment constatée lors des audits est une notification obsolète auprès de l'AEPD, mentionnant un DPD qui n'exerce plus la fonction depuis des mois voire des années. Cette obsolescence constitue en elle-même un manquement détectable.
Erreurs fréquentes lors de la désignation d'un DPD auprès de l'AEPD
La plupart des incidents détectés lors de l'audit de nouveaux clients suivent un schéma reconnaissable :
- Notifier tardivement ou ne pas notifier. Le DPD est désigné en interne et le contrat avec le prestataire externe est signé, mais l'enregistrement auprès de l'AEPD n'est jamais complété. C'est l'erreur la plus fréquente et la plus facile à détecter lors d'une inspection.
- Ne pas publier les coordonnées de contact. La notification à l'autorité est effectuée mais la mise à jour de la politique de confidentialité est oubliée, ou des coordonnées incorrectes ou obsolètes sont publiées.
- Confondre le DPD avec le responsable du traitement. Le DPD conseille et supervise, mais ne décide pas des finalités et des moyens du traitement et ne répond pas juridiquement devant l'AEPD en cas de sanction ; cette responsabilité incombe au responsable du traitement.
- Utiliser un canal de contact générique. Publier uniquement l'adresse électronique générale de l'entreprise plutôt qu'un canal dédié complique l'identification claire du point de contact en matière de protection des données.
- Ne pas mettre à jour après un changement de prestataire. Changer de prestataire de DPD externe sans notifier la cessation de fonctions du précédent et la désignation du nouveau laisse l'organisation, pendant cette période, avec une notification obsolète auprès de l'AEPD.
- Désigner un DPD sans vérifier son indépendance. Nommer une personne qui décide simultanément des traitements de données invalide la garantie d'indépendance de l'article 38 du RGPD, même si la notification formelle a été correctement effectuée.
Ce que vous risquez en cas de notification absente ou incorrecte
Le manquement à l'article 37 — y compris l'absence de notification et de publication exigée par l'article 37.7 — est sanctionné au titre de l'article 83.4.a) du RGPD, qui prévoit des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu ; le niveau supérieur de l'article 83.5 — jusqu'à 20 millions d'euros ou 4 % — est réservé aux manquements tels que ceux relatifs aux principes du traitement ou aux droits des personnes concernées. Pour les PME, le principe de proportionnalité de l'article 83.1 modère le montant final, mais l'AEPD a déjà sanctionné des organisations tenues de désigner un DPD qui ne l'avaient pas fait ou ne l'avaient pas correctement notifié. Au-delà de l'amende, l'AEPD peut exiger une régularisation dans un délai déterminé, avec le risque réputationnel qu'entraîne une décision de sanction publique.
Combien coûte un DPD correctement notifié
Le coût de la désignation et du maintien d'un DPD — interne ou externe — varie selon le volume et la sensibilité des traitements, le secteur d'activité et selon que le service inclut ou non la gestion de la démarche auprès de l'AEPD elle-même. Il n'existe pas de tarif fixe de marché. Pour connaître les facteurs qui déterminent le prix d'un DPD externe, consultez notre guide sur le prix du DPD externe : variables et fourchette indicative.
Tableau récapitulatif : notification du DPD à l'AEPD
| Phase | Que faire | Base légale |
|---|---|---|
| Désignation interne | Document de désignation, vérification de l'aptitude et de l'indépendance, canal de contact dédié | Art. 37.5 et 38.6 RGPD |
| Notification à l'AEPD | Démarche électronique sur le Guichet électronique avec certificat numérique, DNIe ou Cl@ve, dans un délai de dix jours | Art. 37.7 RGPD · art. 34.3 LOPDGDD |
| Publication des coordonnées | Politique de confidentialité, formulaires de collecte de données et Registre des activités de traitement (RAT) | Art. 37.7 RGPD |
| Mise à jour | Nouvelle notification en cas de changement, cessation ou renouvellement du DPD, dans un délai de dix jours | Art. 37.7 RGPD · art. 34.3 LOPDGDD |
| Non-conformité | Amende pouvant atteindre 10 M€ ou 2 % du chiffre d'affaires mondial | Art. 83.4.a) RGPD |
Questions fréquentes
Est-il obligatoire de notifier le DPD à l'AEPD même si la désignation est volontaire ?
Oui. L'article 34.3 de la LOPDGDD impose de notifier à l'AEPD les désignations, nominations et cessations de fonctions du DPD aussi bien lorsque la désignation est obligatoire que lorsqu'elle est volontaire, dans le même délai de dix jours. En outre, en vertu de l'article 34.2 de la LOPDGDD, le DPD désigné volontairement est soumis au même régime de position, de fonctions et d'indépendance du RGPD que si la désignation était obligatoire, y compris la publication de ses coordonnées prévue à l'article 37.7. Il n'existe pas de voie de notification « allégée » pour les désignations volontaires.
Quel certificat numérique faut-il pour effectuer la démarche sur le Guichet électronique de l'AEPD ?
Tout certificat numérique reconnu par la plateforme @firma peut être utilisé, tout comme la carte d'identité électronique espagnole (DNIe) ou le système Cl@ve, au nom de la personne agissant au nom du responsable du traitement ou du sous-traitant. Si la démarche est réalisée par un DPD externe, il convient de préciser clairement dans le contrat qui dispose de la représentation électronique nécessaire, ou de déléguer expressément cette gestion au prestataire par le biais d'un mandat.
Puis-je notifier un DPD externe partagé entre plusieurs entités du même groupe ?
Oui, l'article 37.3 du RGPD permet expressément à un groupe d'entreprises de désigner un DPD unique pour plusieurs entités, à condition qu'il soit facilement accessible depuis chaque établissement. La notification à l'AEPD doit indiquer clairement pour quelles entités le DPD intervient, et chaque entité du groupe doit publier ses propres coordonnées de manière indépendante dans sa propre politique de confidentialité.
Que se passe-t-il si l'AEPD constate que j'ai notifié le DPD mais que je n'ai pas publié ses coordonnées sur le site web ?
Il s'agit d'un manquement partiel à l'article 37.7, que l'AEPD traite comme tel dans ses procédures d'investigation : la notification à l'autorité ne remplace pas l'obligation de publication vis-à-vis des personnes concernées. En pratique, une régularisation dans un délai déterminé est généralement exigée avant d'envisager l'ouverture d'une procédure de sanction, sauf en cas d'indices de manquement répété ou de mauvaise foi.
Le DPD externe peut-il lui-même se charger de toute la démarche de notification auprès de l'AEPD ?
Oui, à condition de disposer de la représentation nécessaire, généralement formalisée dans le contrat de prestation de services par un mandat exprès. Dans les services de DPD externe bien structurés, la gestion de l'enregistrement et de ses mises à jour fait partie du périmètre contractuel, de sorte que l'organisation n'a pas à s'occuper elle-même de la démarche administrative.
Faut-il notifier à nouveau le DPD chaque année, même en l'absence de changement ?
Non. La notification auprès de l'AEPD n'expire pas et ne nécessite pas de renouvellement périodique automatique. Une nouvelle notification n'est nécessaire qu'en cas de changement réel : remplacement du DPD, modification de ses coordonnées, extension ou réduction du périmètre d'intervention, ou cessation de ses fonctions. Il est en revanche recommandé de procéder à une révision interne annuelle pour confirmer que les données notifiées et publiées demeurent exactes.
Quelle est la différence entre désigner un DPD et faire appel à un service de DPD externe ?
Désigner un DPD est l'acte formel — interne ou contractuel — par lequel une personne ou une entité assume les fonctions de l'article 39 du RGPD pour votre organisation. Faire appel à un service de DPD externe est la voie habituelle pour remplir cette désignation sans avoir besoin d'un salarié interne dédié, en confiant la mission à un tiers spécialisé qui, outre l'exercice des fonctions propres au poste, se charge généralement aussi de la démarche auprès de l'AEPD. Si votre organisation n'a pas encore déterminé qui exercera la fonction de DPD, découvrez comment nous structurons le service sur notre page DPD externe pour les organisations.
Si votre entreprise, votre mairie ou votre entité a besoin de désigner un DPD et d'accomplir correctement la démarche auprès de l'AEPD — ou de vérifier si une notification antérieure reste valide et à jour —, chez Summum Consultoría nous accompagnons ce processus de bout en bout, de la désignation à la gestion de l'enregistrement et de ses mises à jour. Si votre organisation est une administration publique ou une entité locale, consultez également notre service dédié de DPD pour les administrations publiques.