Depuis l'entrée en vigueur du RGPD en 2018, l'obligation de désigner un Délégué à la Protection des Données (DPO) est souvent mal comprise - mal appliquée, sous-estimée, ou au contraire perçue comme une formalité administrative qu'on confie à quelqu'un de disponible. Aucune de ces approches ne protège réellement l'organisation.
Cet article clarifie ce que la réglementation exige réellement, qui est concerné, et pourquoi le modèle de DPO externalisé est souvent la réponse la plus efficace et la plus défendable.
Ce que le RGPD exige réellement
L'article 37 du RGPD impose la désignation d'un DPO dans trois cas : les autorités et organismes publics, les organisations qui traitent des données à grande échelle dans le cadre de leur activité principale, et les organisations dont l'activité principale implique un suivi régulier et systématique des personnes. En dehors de ces cas, la désignation reste facultative - mais vivement recommandée dès lors que le traitement de données personnelles est significatif.
Ce que le texte précise aussi, et que beaucoup d'organisations ignorent : le DPO doit disposer des qualifications professionnelles et de la connaissance approfondie du droit et des pratiques en matière de protection des données. Il doit être indépendant - ce qui signifie qu'il ne peut pas occuper simultanément une fonction qui le placerait en situation de conflit d'intérêts avec ses missions de DPO. Et il doit avoir accès aux ressources nécessaires pour exercer ses missions.
Pourquoi confier la fonction à quelqu'un de disponible ne suffit pas
La désignation d'un DPO interne qui cumule cette fonction avec d'autres responsabilités - directeur IT, responsable RH, juriste généraliste - crée structurellement des problèmes. Le plus évident est le conflit d'intérêts : un responsable IT qui doit valider ses propres choix techniques au regard du RGPD n'est pas indépendant. Un juriste interne qui dépend hiérarchiquement du dirigeant ne l'est pas non plus.
Le deuxième problème est la compétence. Le RGPD n'est pas un texte figé. Il s'interprète à la lumière de l'évolution jurisprudentielle des autorités de contrôle européennes, des décisions de la CJUE comme Schrems II qui ont redessiné les conditions des transferts de données hors UE, et désormais de l'articulation avec l'IA Act pour les systèmes qui traitent des données personnelles. Maintenir une compétence à ce niveau en parallèle d'autres responsabilités est rarement réaliste.
Ce que le modèle de DPO externalisé apporte
Le RGPD autorise explicitement la désignation d'un DPO externe - une personne ou une organisation extérieure à l'entreprise. C'est une option utilisée par des organisations de toutes tailles, y compris des grands groupes pour leurs filiales.
Un DPO externalisé apporte l'indépendance structurelle que le texte exige, une compétence maintenue à jour sur l'évolution réglementaire, et une capacité à intervenir de manière transversale - sur les contrats de sous-traitance, les analyses d'impact (DPIA), les incidents de sécurité, les demandes des personnes concernées - sans être pris dans les contraintes hiérarchiques internes.
Pour une organisation qui traite des données personnelles de manière significative sans avoir le volume de travail pour un DPO à temps plein, c'est le modèle qui offre le meilleur rapport entre protection réelle et coût.
Mon expérience sur ce sujet
J'ai exercé la fonction de DPO dans des environnements très différents - une healthtech traitant de la donnée médicale à grande échelle, un e-commerce multi-pays avec des flux de données transfrontaliers complexes, une scale-up SaaS B2B en pleine structuration. Dans chacun de ces contextes, la question n'était pas seulement de cocher les cases réglementaires - c'était de construire une gouvernance de la donnée qui tienne dans la durée, qui résiste à un audit, et qui ne ralentisse pas l'activité.
C'est cette expérience que j'apporte dans ma pratique de DPO fractionné : pas une conformité de façade, mais une approche opérationnelle qui s'intègre dans la réalité de l'organisation.