L'obligation de désigner un délégué à la protection des données concerne plus d'entreprises qu'on ne le pense. Découvrez quand un DPO est légalement requis, quelles qualifications sont nécessaires et si un délégué interne ou externe est le meilleur choix.
Délégué à la protection des données : quand votre entreprise en a-t-elle besoin ?
La protection des données fait partie de ces sujets que de nombreux chefs d'entreprise préféreraient ignorer — jusqu'à ce qu'un avis d'amende de l'autorité de contrôle arrive. Pourtant, la question de savoir si votre entreprise a besoin d'un délégué à la protection des données (DPO) est loin d'être théorique : les infractions à l'obligation de désignation peuvent entraîner des amendes pouvant atteindre 10 millions d'euros ou 2 pour cent du chiffre d'affaires annuel mondial. En pratique, les amendes sont généralement moindres, mais les risques ne doivent pas être sous-estimés.
Cet article vous offre un aperçu complet des situations dans lesquelles la désignation d'un DPO est obligatoire, des exigences posées à la personne et de la manière d'organiser au mieux cette fonction dans votre entreprise.
Quand un délégué à la protection des données est-il obligatoire ?
Le seuil de 20 personnes selon le BDSG
La règle la plus connue se trouve au § 38 Abs. 1 BDSG : dès que 20 personnes au moins dans votre entreprise sont régulièrement occupées au traitement automatisé de données personnelles, vous devez désigner un DPO. Sont comptabilisés :
- Les salariés permanents (à temps plein et à temps partiel)
- Les travailleurs intérimaires et les collaborateurs indépendants
- Les stagiaires et apprentis, dès lors qu'ils travaillent régulièrement avec des données personnelles
Le critère déterminant n'est pas l'effectif total, mais le nombre de personnes qui traitent effectivement des données personnelles — par exemple, rédiger des e-mails, gérer des données clients ou traiter des dossiers du personnel. En pratique, cela concerne la quasi-totalité des employés de bureau dans la plupart des entreprises.
Obligation indépendante de l'effectif
Même si vous employez moins de 20 personnes, une obligation de désignation peut exister. En vertu de l'art. 37 Abs. 1 DSGVO et du § 38 Abs. 1 BDSG, un délégué à la protection des données est toujours requis si :
- Votre activité principale consiste en une surveillance étendue, régulière et systématique de personnes (par ex., agences de renseignements commerciaux, sociétés de surveillance, prestataires de tracking)
- Votre activité principale implique le traitement à grande échelle de catégories particulières de données au sens de l'art. 9 DSGVO (données de santé, données biométriques, appartenance syndicale, convictions religieuses)
- Vous devez réaliser des analyses d'impact relatives à la protection des données (§ 38 Abs. 1 Satz 2 BDSG)
- Vous traitez des données personnelles à des fins commerciales de transmission ou de transmission anonymisée
Organismes publics
Pour les autorités et organismes publics, l'obligation de désignation s'applique sans exception, indépendamment de la taille ou du type de traitement de données (art. 37 Abs. 1 lit. a DSGVO).
DPO interne versus externe
Le DPO interne
Un délégué interne à la protection des données est un salarié de votre entreprise qui assume cette fonction à titre accessoire ou principal. Les avantages :
- Connaissance de l'entreprise : un DPO interne connaît les processus, les systèmes et la culture d'entreprise
- Disponibilité permanente : circuits de communication courts et accessibilité directe
- Pas de coûts externes récurrents : pas d'honoraires de conseil mensuels
Les inconvénients sont toutefois importants :
- Protection spéciale contre le licenciement : un DPO interne bénéficie d'une protection contre le licenciement au titre du § 6 Abs. 4 BDSG comparable à celle d'un membre du comité d'entreprise — s'étendant un an après la fin de ses fonctions
- Coûts de formation : l'employeur doit financer la formation continue (§ 38 Abs. 2 en combinaison avec art. 38 Abs. 2 DSGVO)
- Conflits d'intérêts : certaines fonctions sont incompatibles avec le rôle de DPO
- Risque de responsabilité : en cas de manquement, c'est l'employeur qui est responsable, et non le DPO interne
Le DPO externe
Un délégué externe à la protection des données intervient sur la base d'un contrat de prestation de services. Cela offre :
- Expertise spécialisée : les DPO externes sont généralement spécialisés en protection des données et accompagnent plusieurs mandants
- Indépendance : risque moindre de conflits d'intérêts
- Flexibilité : le contrat peut être résilié dans le respect des délais convenus — pas de protection spéciale contre le licenciement
- Coûts prévisibles : forfaits mensuels ou taux horaires, typiquement entre 300 et 1 500 euros par mois selon la taille de l'entreprise
- Responsabilité : un DPO externe est responsable de ses propres erreurs dans le cadre de son contrat de prestation
Comparaison des coûts
| Facteur | DPO interne | DPO externe |
|---|---|---|
| Coûts mensuels | Salaire au prorata + formation | 300--1 500 EUR/mois |
| Formation | 1 500--5 000 EUR/an | Inclus dans les honoraires |
| Protection contre le licenciement | Oui (§ 6 Abs. 4 BDSG) | Non |
| Responsabilité | L'employeur est responsable | Le DPO est contractuellement responsable |
| Disponibilité | Élevée | Sur rendez-vous |
Exigences posées au délégué à la protection des données
Qualification professionnelle
L'art. 37 Abs. 5 DSGVO exige que le DPO dispose de qualifications professionnelles et en particulier de connaissances spécialisées en droit et pratique de la protection des données. Concrètement, cela signifie :
- Connaissance approfondie du DSGVO, du BDSG et des lois spéciales pertinentes (TTDSG, TMG, etc.)
- Compréhension des mesures techniques et organisationnelles (TOM)
- Connaissance du secteur correspondant à la nature et à l'étendue du traitement des données
- Formation continue régulière pour maintenir le niveau d'expertise
Il n'existe pas de certification légalement prescrite. Toutefois, les formations reconnues comprennent celles du TÜV, de la GDD (Gesellschaft für Datenschutz und Datensicherheit) ou de l'IAPP (International Association of Privacy Professionals).
Indépendance et absence d'instructions
Le DPO ne peut recevoir aucune instruction dans l'exercice de ses missions (art. 38 Abs. 3 DSGVO). Il rend compte directement au plus haut niveau de direction et ne peut être démis de ses fonctions ou désavantagé en raison de l'exercice de ses missions.
Éviter les conflits d'intérêts
Certaines fonctions sont incompatibles avec le rôle de DPO. Ne peuvent être désignés comme DPO :
- Les gérants et membres du directoire
- Les directeurs informatiques et responsables des ressources humaines
- Les directeurs marketing qui décident de l'utilisation d'outils de tracking
- De manière générale : les personnes qui décident des finalités et moyens du traitement des données
Les autorités de contrôle ont dans le passé systématiquement infligé des amendes — par exemple à des entreprises qui avaient désigné leur directeur informatique comme DPO.
Missions et responsabilités du DPO
Le catalogue des missions découle de l'art. 39 DSGVO :
- Information et conseil du responsable du traitement et des salariés sur les obligations en matière de protection des données
- Contrôle du respect du DSGVO, du BDSG et des autres dispositions relatives à la protection des données
- Conseil lors des analyses d'impact relatives à la protection des données (art. 35 DSGVO)
- Coopération avec l'autorité de contrôle et fonction de point de contact
- Sensibilisation et formation des salariés
- Tenue du registre des activités de traitement (en pratique, cette tâche est fréquemment confiée au DPO)
Responsabilité : qui supporte le risque ?
Un malentendu répandu : le DPO n'est pas le responsable du traitement au sens du DSGVO. La responsabilité en matière de protection des données incombe toujours à l'entreprise ou à sa direction. Le DPO a une fonction de conseil et de contrôle. Les amendes sont donc dirigées contre l'entreprise, non contre le DPO personnellement.
Conseils pratiques pour la désignation
- Effectuer un état des lieux : déterminez d'abord combien de personnes dans votre entreprise traitent effectivement des données personnelles et si des catégories particulières de données sont concernées
- Analyse coûts-avantages : comparez les coûts totaux d'un DPO interne (salaire, formation, protection contre le licenciement) avec les coûts d'un prestataire externe
- Vérifier les conflits d'intérêts : assurez-vous que la personne choisie n'exerce pas de fonctions contradictoires
- Désignation écrite : la désignation doit être faite par écrit avec une définition claire des missions
- Publication : conformément à l'art. 37 Abs. 7 DSGVO, vous devez publier les coordonnées du DPO et en informer l'autorité de contrôle
- Fournir les ressources : assurez-vous que le DPO dispose de suffisamment de temps, d'un accès aux informations et de possibilités de formation
Conclusion
La question de savoir si votre entreprise a besoin d'un délégué à la protection des données peut généralement être résolue rapidement — mais la mise en œuvre pratique nécessite une planification soigneuse. Qu'il s'agisse d'un DPO interne ou externe : l'essentiel est que la personne désignée dispose de l'expertise nécessaire, puisse agir de manière indépendante et bénéficie de ressources adéquates.
Chez compleneo, nous vous conseillons non seulement sur l'existence d'une obligation de désignation, mais vous accompagnons également dans le choix, la désignation et la collaboration avec votre délégué à la protection des données — de manière pragmatique, claire et adaptée à votre entreprise.
