Délégué à la Protection des Données (DPD) : rôle, exigences et quand en désigner un

Le Délégué à la Protection des Données est l’un des éléments les plus distinctifs du cadre RGPD. Contrairement aux rôles de conformité dans d’autres régimes réglementaires, le DPD bénéficie d’une position juridiquement définie avec des protections spécifiques — garanties d’indépendance, règles de non-licenciement et lignes de rapport directes vers le plus haut niveau de direction. Ce n’est pas simplement un titre que l’on donne à quelqu’un ; c’est un rôle avec un véritable poids juridique.

Pour les entreprises SaaS, la question du DPD se pose tôt. Parfois c’est un client qui pose la question lors du processus d’achat : « Qui est votre Délégué à la Protection des Données ? » Parfois c’est une exigence réglementaire qui vous prend au dépourvu. Et parfois c’est la prise de conscience croissante que quelqu’un doit être responsable de la protection des données au sein de l’organisation, que la loi l’impose ou non.

Ce guide couvre quand un DPD est requis, ce que le rôle implique, les qualifications nécessaires et comment structurer le rôle — que vous recrutiez en interne, nommiez un membre existant de l’équipe ou fassiez appel à un service de DPD externe.

Quand un DPD est-il obligatoire ?

L’article 37 rend un DPD obligatoire dans trois situations :

1. Autorité ou organisme public

Si votre organisation est une autorité publique ou un organisme public (sauf les juridictions agissant dans l’exercice de leur fonction juridictionnelle), vous devez désigner un DPD. C’est simple et rarement applicable aux entreprises SaaS — sauf si vous êtes mandaté par un gouvernement pour exploiter un service public.

2. Activités principales nécessitant un suivi régulier et systématique à grande échelle

Vous devez désigner un DPD si vos activités principales consistent en des opérations de traitement qui, de par leur nature, leur portée ou leurs finalités, exigent un suivi régulier et systématique des personnes concernées à grande échelle.

Décortiquons les termes clés :

Activités principales : Les activités commerciales principales de l’organisation — pas les fonctions de soutien comme les RH ou l’informatique. Pour une entreprise SaaS, votre activité principale est le service que vous fournissez aux clients.

Suivi régulier et systématique : Traitement qui se produit de manière continue, suit une approche structurée et implique le suivi ou le profilage de personnes. Les exemples incluent la publicité comportementale, le suivi de localisation, la surveillance de la santé/du fitness, la vidéosurveillance, les programmes de fidélité avec profilage et les systèmes de recommandation de contenu.

Grande échelle : Il n’y a pas de nombre magique, mais le CEPD prend en compte : le nombre de personnes concernées (soit un nombre spécifique, soit une proportion de la population), le volume de données, l’étendue géographique et la durée du traitement.

Pertinence pour le SaaS : Si la fonction principale de votre produit implique le suivi systématique du comportement des utilisateurs (pensez aux plateformes d’analyse, à l’ad-tech, aux outils de surveillance des employés, à la gestion des réseaux sociaux ou aux produits de surveillance de sécurité), un DPD est probablement obligatoire. Si votre produit stocke et gère des données mais ne surveille pas systématiquement les individus comme fonction principale (pensez à la gestion de projet, au CRM, aux logiciels comptables), l’exigence est moins claire — mais peut encore s’appliquer en fonction de l’échelle.

3. Activités principales impliquant le traitement à grande échelle de catégories particulières de données

Vous devez désigner un DPD si vos activités principales impliquent le traitement de catégories particulières de données (article 9) ou de données relatives aux condamnations pénales et aux infractions (article 10) à grande échelle.

Les catégories particulières de données comprennent : l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques aux fins d’identification, les données de santé et les données concernant la vie sexuelle ou l’orientation sexuelle.

Pertinence pour le SaaS : Si votre produit SaaS traite spécifiquement des données de santé (plateformes health-tech), des données biométriques (services de vérification d’identité) ou d’autres catégories particulières de données comme fonction principale, un DPD est obligatoire.

Exigences nationales

Plusieurs États membres de l’UE ont élargi l’exigence du DPD au-delà du socle du RGPD :

Allemagne — Selon l’article 38 de la BDSG (loi fédérale sur la protection des données), un DPD est obligatoire lorsqu’au moins 20 personnes sont employées de manière constante au traitement automatisé de données personnelles. C’est un seuil bas qui s’applique à la plupart des entreprises SaaS ayant une entité allemande ou une base d’utilisateurs allemande significative.

France, Autriche et autres — Disposent de directives ou d’exigences supplémentaires qui peuvent abaisser le seuil. Vérifiez la législation nationale spécifique applicable à votre situation.

Même quand ce n’est pas obligatoire

De nombreuses entreprises SaaS désignent un DPD volontairement car :

Les clients entreprise le demandent lors du processus d’achat
Cela fournit une responsabilité interne claire pour la protection des données
Cela démontre un engagement envers la vie privée (un facteur de différenciation sur le marché)
C’est plus simple que de débattre pour savoir si l’exigence légale s’applique à vous

Si vous désignez un DPD volontairement, toutes les exigences RGPD relatives au DPD (indépendance, expertise, ressources) s’appliquent pleinement. Un DPD volontaire a le même poids juridique qu’un DPD obligatoire.

Que fait un DPD ?

L’article 39 définit les missions minimales du DPD :

Informer et conseiller

Le DPD conseille l’organisation — le responsable du traitement ou le sous-traitant, et tous les employés qui effectuent le traitement de données — sur leurs obligations en vertu du RGPD et d’autres lois applicables en matière de protection des données. C’est un rôle consultatif, pas exécutif. Le DPD recommande ; la direction décide.

En pratique, cela signifie :

Examiner les nouvelles fonctionnalités et projets pour leurs implications en matière de protection des données
Conseiller sur les Analyses d’Impact relatives à la Protection des Données
Fournir des orientations sur le choix de la base juridique
Réviser les avis de confidentialité et les DPA
Conseiller sur la réponse aux violations et les décisions de notification
Recommander des politiques et procédures

Contrôler la conformité

Le DPD contrôle la conformité de l’organisation au RGPD, y compris la formation du personnel, les campagnes de sensibilisation et les audits. Cela implique :

Réviser le RAT pour en vérifier l’exactitude et l’exhaustivité
Vérifier que les politiques de protection des données sont suivies en pratique
Évaluer si les programmes de formation sont efficaces
Identifier les lacunes de conformité et recommander des mesures correctives
Suivre les évolutions réglementaires et leur impact

Coopérer avec l’autorité de contrôle

Le DPD sert de point de contact avec l’autorité de contrôle (l’APD nationale). Si un régulateur a des questions, mène une enquête sur une plainte ou réalise un audit, le DPD est l’interface principale.

Traiter les demandes des personnes concernées

Le DPD est disponible pour les personnes concernées qui ont des questions ou des préoccupations concernant le traitement de leurs données. Les coordonnées du DPD doivent être fournies dans votre avis de confidentialité et communiquées à l’autorité de contrôle.

Conseiller sur les AIPD

Lorsqu’une AIPD est requise, le DPD doit être consulté. Le DPD donne son avis sur la nécessité d’une AIPD, la méthodologie à utiliser et si les garanties proposées sont adéquates.

Qualifications du DPD

Qualités professionnelles

L’article 37(5) stipule que le DPD doit être désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données ».

Il n’y a pas de certification obligatoire ni de diplôme spécifique. Ce qui compte est une expertise démontrable :

Connaissances juridiques : Compréhension du RGPD, des lois nationales de protection des données et des réglementations sectorielles pertinentes
Compréhension technique : Capacité à comprendre les opérations de traitement de données, la sécurité informatique et les mesures techniques disponibles pour la protection des données
Compétences organisationnelles : Capacité à mener des audits, gérer des programmes de conformité, communiquer efficacement avec tous les niveaux de l’organisation
Connaissance du secteur : Compréhension des défis spécifiques de traitement de données dans votre secteur (SaaS, tech, health-tech, fin-tech)

Qualifications courantes

Bien que non obligatoires, les certifications suivantes sont courantes parmi les DPD :

CIPP/E (Certified Information Privacy Professional/Europe)
CIPM (Certified Information Privacy Manager)
CIPT (Certified Information Privacy Technologist)
Diplôme en droit avec spécialisation en protection des données
Certification ISO 27001 Lead Auditor/Implementer
Années d’expérience pratique dans des fonctions de protection des données

L’échelle d’expertise

Le niveau d’expertise requis évolue avec la complexité et la sensibilité de votre traitement. Une startup SaaS traitant des données de compte basiques a besoin d’un DPD avec de solides connaissances RGPD. Une entreprise health-tech traitant des dossiers médicaux a besoin d’un DPD avec une expertise approfondie sur les catégories particulières de données, les réglementations sur les données de santé et les défis de conformité spécifiques au secteur de la santé.

Indépendance et protection du DPD

Pas d’instructions sur les missions

L’article 38(3) est explicite : le responsable du traitement ou le sous-traitant « veille à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions ». Le DPD décide comment prioriser son travail, ce qu’il faut investiguer et quel conseil donner. La direction ne peut pas demander au DPD d’approuver un projet ou d’ignorer un problème de conformité.

Pas de licenciement ni de sanction

Le DPD ne peut pas être licencié ou sanctionné pour l’exercice de ses missions. Si le DPD déconseille une fonctionnalité produit en raison de préoccupations RGPD et que la direction passe outre ce conseil, le DPD ne peut pas être licencié pour le conseil qu’il a donné. Cette protection est essentielle pour la crédibilité et l’efficacité du DPD.

Rapport direct au plus haut niveau de direction

Le DPD rend compte directement au plus haut niveau de direction de l’organisation — le PDG, le conseil d’administration ou le comité de direction. Cela garantit que le DPD a l’accès et l’autorité nécessaires pour soulever les problèmes au niveau approprié. Le DPD ne devrait pas rendre compte à travers des hiérarchies juridiques, informatiques ou de conformité qui pourraient filtrer ou diluer ses préoccupations.

Pas de conflit d’intérêts

Le DPD peut avoir d’autres tâches et fonctions, mais celles-ci ne doivent pas entraîner de conflit d’intérêts avec le rôle de DPD. Les postes qui entrent généralement en conflit avec les fonctions de DPD :

PDG, Directeur des opérations, Directeur financier — Ces rôles prennent des décisions de traitement que le DPD devrait conseiller de manière indépendante
Directeur informatique ou RSSI — Ces rôles mettent en oeuvre les mesures techniques que le DPD devrait surveiller de manière indépendante
Directeur des RH — Ce rôle gère le traitement des données employés que le DPD devrait superviser de manière indépendante
Directeur marketing — Les décisions de traitement marketing devraient être soumises à l’examen du DPD
Directeur juridique — Bien qu’une formation juridique soit précieuse pour un DPD, le directeur juridique peut faire face à des conflits lorsque les intérêts juridiques de l’entreprise sont en conflit avec les obligations de protection des données

DPD interne vs. externe

DPD interne

Avantages :

Compréhension approfondie de la culture, des produits et des processus de l’organisation
Toujours disponible pour consultation
Intégré dans la communication et la prise de décision internes
Peut construire des relations avec les différentes équipes

Défis :

Nécessite un investissement dans un recrutement expérimenté ou une formation approfondie
Risques de conflit d’intérêts si combiné avec d’autres responsabilités
Peut faire face à des pressions internes malgré les protections d’indépendance
Nécessite un développement professionnel continu pour rester à jour

Idéal pour : Les entreprises SaaS moyennes à grandes (50+ employés) avec un traitement de données complexe ou sensible, où le volume de travail en protection des données justifie un poste dédié.

DPD externe

Avantages :

Accès à une expertise spécialisée et à jour
Plus grande indépendance effective (pas de pression liée à l’emploi)
Rentable pour les petites organisations (modèle de DPD à temps partiel)
Apporte souvent une expérience inter-sectorielle
Plus facile de garantir l’absence de conflit d’intérêts

Défis :

Moins intégré dans les opérations quotidiennes de l’organisation
Peut avoir une disponibilité ou un temps de réponse limités
Nécessite un accord de service solide pour définir le périmètre et les responsabilités
A besoin de bons contacts internes pour être efficace

Idéal pour : Les startups et petites entreprises SaaS (moins de 50 employés) où un DPD à temps plein n’est pas justifié, ou lorsque l’exigence RGPD est nouvellement déclenchée et que l’expertise interne n’a pas encore été constituée.

Le modèle hybride

Certaines organisations désignent un « responsable vie privée » ou « coordinateur protection des données » interne qui gère les tâches quotidiennes de protection des données, soutenu par un DPD externe qui apporte l’expertise formelle, l’indépendance et l’interface réglementaire. Cela peut bien fonctionner pour les entreprises SaaS dans la tranche de 20 à 100 employés.

Comment GRCTrail soutient les DPD

Que vous ayez un DPD interne ou externe, GRCTrail fournit la plateforme opérationnelle dont il a besoin :

Tableau de bord de conformité centralisé. Le DPD peut voir la posture de conformité de l’organisation d’un coup d’oeil — statut du RAT, couverture des DPA, DSAR en cours, révisions en attente et lacunes de conformité.

Piste d’audit. Chaque action de conformité est enregistrée, donnant au DPD une base de preuves pour le contrôle de la conformité et les rapports à la direction.

Gestion des AIPD. Réalisez et suivez les Analyses d’Impact relatives à la Protection des Données avec la contribution du DPD enregistrée et documentée.

Rapports. Générez des rapports de conformité pour la direction, les autorités de contrôle ou les demandes de due diligence clients. Le DPD n’a pas besoin de compiler manuellement des rapports à partir de documents dispersés.

Équipez votre DPD des bons outils →

Guides connexes

Checklist de conformité RGPD — Le cadre de conformité complet
Analyse d’Impact relative à la Protection des Données (AIPD) — Une responsabilité clé du DPD
Exigences relatives aux avis de confidentialité — Inclure les coordonnées du DPD
Amendes et sanctions du RGPD — Le coût de la non-conformité

Commencez avec GRCTrail →

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours