Article 38 RGPD : la fonction du DPO décryptée

L’article 38 du RGPD est le texte qui transforme une désignation administrative — celle de l’Art. 37 — en fonction réellement opposable. Six paragraphes brefs qui posent les règles d’indépendance, de ressources et d’absence de conflit d’intérêts sans lesquelles la désignation du DPO est juridiquement nulle. Dans mon expérience de conseil auprès de PME et de grandes entreprises, c’est sur l’Art. 38 — et non sur l’Art. 37 — que se concentrent les contentieux véritablement coûteux : un DPO existe sur le papier mais n’a ni accès aux projets, ni ressources, ni protection contre les pressions hiérarchiques. La CJUE a rendu deux arrêts majeurs (Leistritz en 2022, X-FAB Dresden en 2023) qui clarifient le régime. Cet article décrypte l’Art. 38 paragraphe par paragraphe.

Ce que dit l’article 38 du RGPD

Le texte de l’Art. 38 comporte six paragraphes :

« 1. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel. »

« 2. Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d’entretenir ses connaissances spécialisées. »

« 3. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions. Il ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant. »

« 4. Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le présent règlement. »

« 5. Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres. »

« 6. Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts. »

Six paragraphes, six garanties cumulatives. Aucune n’est optionnelle. Une seule défaillance fait basculer la désignation dans l’inopposable, ce que la CNIL et les juridictions n’hésitent pas à requalifier en absence de désignation effective. Je détaille chaque paragraphe ci-dessous.

Art. 38(1) : l’association en temps utile à toutes les questions

Le premier paragraphe pose une obligation continue et proactive : le DPO doit être associé « d’une manière appropriée et en temps utile » à toutes les questions relatives à la protection des données. Le verbe « veiller » porte sur le responsable de traitement et sur le sous-traitant, jamais sur le DPO lui-même — c’est à l’organisation de garantir cette implication.

Les Lignes directrices WP243 du Comité européen de la protection des données (CEPD, ex-G29) déclinent cette obligation en plusieurs exigences pratiques :

• Implication précoce : dès la conception d’un nouveau traitement, dès la phase de cadrage d’un projet IT, dès l’évaluation d’un nouveau prestataire. L’arrivée du DPO en fin de projet — pour valider une AIPD réalisée sans lui — est non conforme.
• Accès aux comités de direction lorsque les sujets traités touchent à la protection des données : comité IT, comité produit, comité achats, comité conformité. Le DPO n’a pas à siéger en permanence mais doit pouvoir être convié à toute réunion pertinente.
• Information automatique sur les violations de données dès leur découverte, pour permettre la décision de notification à la CNIL dans les 72 heures (voir Art. 33 RGPD).
• Consultation obligatoire sur chaque analyse d’impact relative à la protection des données au titre de l’Art. 35(2).

L’absence d’association du DPO en temps utile est l’un des manquements les plus difficiles à prouver mais aussi les plus toxiques : il révèle une organisation où la conformité est traitée comme une couche de validation finale, et non comme une dimension intégrée des projets. Dans les contrôles CNIL approfondis, la traçabilité de l’implication du DPO (mails d’information, comptes rendus de réunion, registre de saisine) constitue un élément central de la défense.

Art. 38(2) : les ressources nécessaires à l’exercice des missions

Le deuxième paragraphe impose à l’organisation de fournir au DPO les moyens d’exercer les missions de l’Art. 39. Le règlement énumère trois catégories de ressources :

• les ressources humaines, financières et matérielles nécessaires à la mission ;
• l’accès aux données à caractère personnel et aux opérations de traitement ;
• les moyens d’entretenir ses connaissances spécialisées (formation continue).

Les Lignes directrices WP243 précisent ce que recouvrent ces ressources :

• Temps dédié : le DPO doit pouvoir consacrer un temps suffisant à sa mission. Pour un DPO interne, cela suppose un volume horaire formalisé (par exemple, un mi-temps pour une organisation de 500 salariés ; un temps plein au-delà de 2 000 salariés ou en présence d’activités sensibles).
• Équipe support : pour les organisations complexes, le DPO doit pouvoir s’appuyer sur des relais — privacy champions dans chaque BU, juriste protection des données, expert sécurité — qu’il coordonne sans en assumer seul la charge.
• Budget : ligne budgétaire identifiée pour la formation, les outils, les abonnements aux ressources spécialisées (revues juridiques, plateformes de veille, outils de cartographie des traitements). C’est ce type de cartographie que Legiscope automatise pour la fonction DPO.
• Accès SI : droits d’accès en lecture sur les bases de données, les systèmes RH, les outils CRM, les logs de sécurité. Sans cet accès, l’audit des traitements n’est pas possible.
• Formation continue : participation à des conférences spécialisées, certifications renouvelées, abonnement aux délibérations CNIL et aux lignes directrices CEPD.

L’absence de moyens est régulièrement sanctionnée. Dans la délibération SAN-2022-009 Discord (8 novembre 2022, 800 000 €), la CNIL a relevé que les moyens dévolus au DPO étaient insuffisants au regard du volume et de la sensibilité des traitements. Dans la décision SAN-2024-001 Hubside.Store (525 000 €), l’autorité a constaté que le DPO ne disposait pas des canaux d’alerte et des ressources pour exercer ses missions de contrôle. Le manquement à l’Art. 38(2) se cumule alors avec le manquement à l’Art. 24 RGPD (accountability) et à l’Art. 39 (missions du DPO).

Art. 38(3) : indépendance, absence d’instruction et protection contre la sanction

Le troisième paragraphe est le cœur du régime d’indépendance du DPO. Il pose trois garanties cumulatives :

• Aucune instruction ne peut être donnée au DPO sur la manière d’exercer ses missions. Il décide seul de la méthode, des priorités, du contenu de ses recommandations. Sa hiérarchie ne peut pas lui dire « ne traite pas ce sujet », « formule cette recommandation autrement », « ne notifie pas cette violation ».
• Pas de relèvement ni de pénalisation pour l’exercice des missions. Le DPO ne peut pas être licencié, déclassé, privé de prime, écarté d’un projet, exclu d’un comité de direction au motif qu’il a formulé un avis défavorable ou exigé une mise en conformité.
• Rattachement au plus haut niveau de la direction : le DPO fait rapport directement à la direction générale ou au conseil d’administration, et non à un échelon intermédiaire qui pourrait neutraliser ses alertes.

La CJUE a précisé la portée de la protection contre le licenciement dans son arrêt C-534/20 Leistritz AG du 22 juin 2022. La Cour a jugé qu’un État membre pouvait prévoir une protection plus étendue que l’Art. 38(3) du RGPD — en l’espèce, la disposition allemande qui interdit le licenciement d’un DPO sans motif grave, sauf exception. Le RGPD pose un plancher de protection : le DPO ne peut pas être licencié pour l’exercice de ses missions. Au-delà, les États membres peuvent renforcer cette protection. En droit français, la protection est d’ordre général : un licenciement motivé par l’exercice indépendant de la mission de DPO est juridiquement nul.

L’arrêt C-453/21 X-FAB Dresden GmbH & Co. KG du 9 février 2023 complète le dispositif en posant qu’un État membre ne peut pas, à l’inverse, restreindre la protection. Cette double mécanique — plancher européen, plafond national possible mais relèvement uniquement à la hausse — fait de l’Art. 38(3) l’une des dispositions les plus protectrices du RGPD pour la fonction DPO.

Le rattachement hiérarchique est moins protégé en jurisprudence mais largement vérifié en contrôle. La CNIL examine systématiquement l’organigramme et la chaîne de validation : un DPO rattaché au DSI, au directeur juridique ou au DRH est généralement considéré comme structurellement défaillant — non parce que la fonction est interdite, mais parce que le rapport direct à la direction générale exigé par le règlement n’est pas effectif.

Art. 38(4) : le DPO comme point de contact des personnes concernées

Le quatrième paragraphe institue le DPO comme point d’entrée des personnes concernées pour l’exercice de leurs droits. Cette accessibilité est doublement encadrée :

• les personnes concernées peuvent contacter le DPO — c’est une faculté, non une obligation. La personne peut saisir directement le responsable de traitement par les canaux ordinaires.
• mais lorsque le DPO est saisi, sa mission impose une réponse, une orientation ou une transmission interne dans les délais de l’Art. 12 RGPD (un mois, prolongeable de deux mois en cas de complexité).

En pratique, l’accessibilité du DPO se traduit par :

• une adresse électronique dédiée publiée dans la politique de confidentialité et les mentions légales RGPD ;
• un canal postal pour les personnes ne souhaitant pas écrire par e-mail ;
• une procédure interne de transmission des demandes reçues par d’autres canaux (formulaire de contact, service client, accueil physique) vers le DPO.

Les sanctions CNIL en matière d’exercice des droits — SAN-2022-022 Free Mobile (300 000 €), SAN-2024-008 SAF Logistics (240 000 €), SAN-2023-013 Doctissimo — révèlent toutes le même schéma : la personne concernée a saisi un canal, la demande s’est perdue dans l’organisation, le DPO n’a jamais été informé, et la réponse a tardé au-delà du délai légal. La défaillance procédurale relève à la fois de l’Art. 12 (modalités) et de l’Art. 38(4) (accessibilité du DPO).

Art. 38(5) : le secret professionnel du DPO

Le cinquième paragraphe soumet le DPO au secret professionnel ou à une obligation de confidentialité dans l’exercice de ses missions. La précision « conformément au droit de l’Union ou au droit des États membres » renvoie à des régimes différenciés :

• en France, le secret professionnel du DPO résulte d’une combinaison entre la clause de confidentialité contractuelle (DPO interne ou externalisé) et les obligations déontologiques du profil d’origine (avocat, expert-comptable, médecin du travail). Pour les DPO certifiés CNIL, le référentiel de certification impose un engagement déontologique formel.
• en Allemagne, le DPO bénéficie d’un secret professionnel légal renforcé qui s’apparente à celui d’un avocat — le DPO ne peut être contraint de témoigner sur les informations couvertes par le secret.

La portée pratique de l’Art. 38(5) en France est essentiellement contractuelle. Le DPO ne peut pas divulguer les informations protégées dont il a connaissance — registre des traitements, rapports d’audit, listes de violations, plaintes individuelles — sauf dans le cadre prescrit par le règlement (coopération avec la CNIL, transmission interne). Un DPO externalisé qui réutilise les informations d’un client pour orienter ses prestations chez un autre client commet un manquement à l’Art. 38(5).

Art. 38(6) : l’absence de conflit d’intérêts

Le sixième paragraphe est le plus court — et le plus contentieux. Il autorise le DPO à exercer d’autres missions et tâches, mais impose à l’organisation de veiller à ce que ces missions n’entraînent pas de conflit d’intérêts.

Le contour exact du conflit d’intérêts a été précisé par la CJUE dans l’arrêt C-453/21 X-FAB Dresden du 9 février 2023. La Cour pose un test fonctionnel : il y a conflit d’intérêts dès lors que le DPO exerce, en parallèle, des fonctions qui le conduisent à déterminer les finalités et les moyens d’un traitement. Sont donc structurellement incompatibles avec la fonction de DPO :

• DSI / Directeur des systèmes d’information : décide des architectures, des bases de données, des outils ;
• RSSI : décide des mesures de sécurité ;
• DRH : décide des traitements RH (paie, recrutement, évaluation) ;
• Directeur marketing : décide des traitements de prospection et de fidélisation ;
• Directeur juridique opérationnel : décide des contrats avec les sous-traitants et de la documentation des bases légales ;
• Directeur général ou président : détermine la stratégie générale incluant les traitements.

Sont en revanche compatibles, sous réserve d’un examen au cas par cas : juriste sans portefeuille décisionnel sur les traitements, fonction qualité, fonction RSE, fonction formation interne, secrétaire général dans les structures où ce poste a une dimension purement administrative.

Pour les DPO externalisés, le test s’applique aussi. Un cabinet qui agit comme DPO d’une organisation ne peut pas, simultanément, lui vendre des prestations qui définissent les traitements (paramétrage CRM, intégration d’un outil de marketing automation, conception d’une politique RH). Cette ligne de séparation est régulièrement franchie en pratique et constitue, pour les cabinets pluridisciplinaires, un point d’attention majeur.

Voir l’analyse complète des configurations admises et interdites dans DPO obligatoire : 3 cas où vous devez en désigner un et la check-list de conformité du DPO externalisé.

Articulation avec les autres articles

L’Art. 38 n’a de sens qu’articulé au reste du chapitre IV du RGPD :

• avec l’Art. 37 RGPD sur la désignation du DPO : l’Art. 38 transforme la désignation en fonction réellement opposable ;
• avec l’Art. 39 RGPD sur les missions du DPO : information, contrôle, conseil AIPD, coopération avec la CNIL, point de contact des personnes concernées ;
• avec l’Art. 35 RGPD sur l’analyse d’impact : la consultation obligatoire du DPO suppose qu’il soit effectivement associé en temps utile (Art. 38(1)) et qu’il dispose des ressources pour conduire l’examen (Art. 38(2)) ;
• avec l’Art. 24 RGPD sur l’accountability : la fourniture des moyens du DPO fait partie des mesures organisationnelles attendues du responsable de traitement ;
• avec l’Art. 32 RGPD sur la sécurité : le DPO doit être informé des incidents de sécurité pour permettre la décision de notification (Art. 33 RGPD) ;
• avec l’Art. 12 RGPD sur les modalités d’exercice des droits : l’accessibilité du DPO conditionne le respect du délai d’un mois.

Sanctions encourues en cas de manquement

Un manquement à l’Art. 38 relève du régime de l’Art. 83(4)(a) : jusqu’à 10 millions d’euros, ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Voir l’analyse complète des sanctions RGPD et de leur barème.

Les manquements typiquement sanctionnés :

• DPO en conflit d’intérêts (cumul avec une fonction opérationnelle) — la désignation est juridiquement nulle et requalifiée en absence de désignation effective ;
• DPO sans ressources — équipe inexistante, temps insuffisant, accès SI bloqués (CNIL — Discord, Hubside, Doctissimo) ;
• DPO non associé en temps utile — projets lancés sans consultation, AIPD réalisées sans validation, violations non remontées ;
• DPO inaccessible aux personnes concernées — pas d’adresse de contact dédiée, demandes perdues dans l’organisation ;
• DPO licencié pour l’exercice de ses missions — hypothèse rare en France mais sanctionnable en application directe de l’Art. 38(3) et de la jurisprudence Leistritz.

À ces sanctions financières s’ajoutent classiquement : injonction de mise en conformité, astreinte journalière, publication de la décision sur le registre des sanctions de la CNIL, et — pour les acteurs privés concurrentiels — un coût réputationnel souvent plus dissuasif que l’amende.

Ce qu’il faut retenir

• L’Art. 38(1) RGPD impose l’association du DPO « d’une manière appropriée et en temps utile » à toutes les questions relatives à la protection des données — implication précoce, accès aux comités, information automatique sur les violations.
• L’Art. 38(2) exige la fourniture de ressources suffisantes : temps, équipe, budget, accès SI, formation continue. La CNIL sanctionne régulièrement l’absence de moyens (Discord 800 k€, Hubside 525 k€).
• L’Art. 38(3) garantit trois éléments cumulatifs : aucune instruction sur la mission, pas de relèvement ni de pénalisation, rattachement direct à la direction générale. La CJUE Leistritz (C-534/20) consolide la protection contre le licenciement.
• L’Art. 38(4) institue le DPO comme point de contact des personnes concernées — adresse dédiée, procédure de transmission interne, respect du délai d’un mois.
• L’Art. 38(5) soumet le DPO au secret professionnel ou à une obligation de confidentialité, déclinée en France par voie contractuelle et par les obligations déontologiques du profil d’origine.
• L’Art. 38(6) interdit tout conflit d’intérêts. La CJUE X-FAB Dresden (C-453/21) pose le test fonctionnel : aucune fonction parallèle déterminant les finalités et les moyens des traitements (DSI, RSSI, DRH, marketing, juridique opérationnel, direction générale).
• Sanctions : plafond bas de l’Art. 83(4)(a) — 10 M€ ou 2 % du CA mondial, cumulables avec injonction de mise en conformité et astreinte.

FAQ

Le DPO peut-il être licencié ?

Oui, mais pas pour l’exercice de ses missions. L’Art. 38(3) interdit toute pénalisation du DPO liée à son rôle de conseil et de contrôle. La CJUE l’a confirmé dans l’arrêt Leistritz AG (C-534/20, 22 juin 2022) : le RGPD pose un plancher de protection que les États membres peuvent renforcer, mais pas restreindre. Un DPO peut être licencié pour faute disciplinaire ordinaire, pour suppression de poste ou pour insuffisance professionnelle générale — à condition que le motif soit réel, sérieux et étranger à l’exercice indépendant de sa mission. La charge de la preuve pèse en pratique sur l’employeur en cas de contestation.

Quels sont les cumuls de fonctions interdits avec la fonction de DPO ?

Sont structurellement incompatibles, au sens de l’arrêt CJUE X-FAB Dresden (C-453/21, 9 février 2023), toutes les fonctions qui conduisent à déterminer les finalités et les moyens des traitements : DSI, RSSI, DRH, directeur marketing, directeur juridique opérationnel, directeur général. Le test n’est pas formel mais fonctionnel : ce qui compte est le pouvoir de décision réel, pas le titre. Un « directeur juridique » sans portefeuille opérationnel peut être DPO ; un « juriste » qui décide en pratique des contrats sous-traitance ne le peut pas.

Quel est le rattachement hiérarchique correct du DPO ?

L’Art. 38(3) exige un rapport direct au plus haut niveau de la direction. En pratique, cela signifie : direction générale, président, conseil d’administration, comité exécutif. Le DPO ne doit pas être rattaché à un échelon intermédiaire (DSI, directeur juridique, directeur des risques) qui pourrait neutraliser ses alertes. Pour les groupes, le DPO groupe rapporte au comité exécutif groupe. Pour les collectivités, au directeur général des services ou au maire/président. La CNIL contrôle ce rattachement par l’organigramme et par la chaîne de validation des AIPD et des décisions de notification de violation.

Que se passe-t-il si le DPO n’a pas les ressources nécessaires ?

L’absence de ressources constitue un manquement à l’Art. 38(2), sanctionné au titre de l’Art. 83(4)(a). La CNIL caractérise typiquement ce manquement par l’examen du temps dédié, du budget alloué, de l’équipe support et des accès SI du DPO. Les sanctions SAN-2022-009 Discord (800 000 €) et SAN-2024-001 Hubside.Store (525 000 €) reposent en partie sur ce constat. Au-delà de la sanction, l’absence de ressources fragilise toute la fonction conformité : un DPO sans moyens est juridiquement défaillant, et l’organisation perd la capacité à invoquer la défense de bonne foi en cas de contrôle.

Le DPO est-il soumis au même secret professionnel qu’un avocat ?

Pas exactement, en droit français. L’Art. 38(5) renvoie au droit de l’Union ou au droit des États membres pour définir le régime de confidentialité applicable. En France, le DPO est soumis à une obligation contractuelle de confidentialité (clause de discrétion ou clause de confidentialité dans le contrat de travail ou la convention de prestation de service) et, lorsque son profil d’origine le prévoit, aux obligations déontologiques associées (secret professionnel de l’avocat, secret professionnel de l’expert-comptable). Contrairement au droit allemand, il n’existe pas en France de secret professionnel légal spécifique au DPO opposable en justice. La protection contractuelle reste néanmoins solide et constitue le socle pratique de la confidentialité.

---

Vous structurez ou refondez la fonction DPO de votre organisation ? Recevez nos analyses conformité chaque semaine pour rester à jour des décisions CNIL et des arrêts CJUE qui font évoluer l’indépendance, les ressources et le périmètre du délégué à la protection des données.