Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Lundi 20 avril 2026
Accueil/RGPD/DPO obligatoire : 3 cas où vous devez en désigner un
RGPD

DPO obligatoire : 3 cas où vous devez en désigner un

Le DPO est obligatoire dans 3 cas précis (Art. 37 RGPD). Critères, exemples concrets et sanctions CNIL pour savoir si vous êtes concerné.

Par Thiébaut DevergrannePublie le 31 mars 2026Mis a jour le 31 mars 202611 min de lecture
Sommaire
  1. Les 3 cas de désignation obligatoire (Art. 37 RGPD)
  2. Le cas des PME : obligatoire ou recommandé ?
  3. Comment désigner un DPO : la procédure
  4. Les sanctions en cas de non-désignation
  5. Arbre de décision : devez-vous désigner un DPO ?
  6. Ce qu’il faut retenir
  7. Questions fréquentes

La question revient dans presque toutes les missions de conseil que j’ai pu mener : « est-ce qu’on est obligé d’avoir un DPO ? » La réponse dépend de trois critères précis posés par l’article 37 du RGPD. Et la CNIL n’hésite plus à sanctionner les organismes qui passent à côté de cette obligation — la commune de Kourou en a fait l’expérience avec une amende de 5 000 € suivie d’une astreinte de 6 900 € pour non-désignation.

Voici comment déterminer si votre organisme est concerné, et ce que vous risquez en cas de manquement.

Les 3 cas de désignation obligatoire (Art. 37 RGPD)

L’article 37(1) du RGPD identifie trois situations dans lesquelles la désignation d’un délégué à la protection des données est obligatoire. Il suffit de remplir un seul de ces critères.

1. Autorité publique ou organisme public

Toute autorité publique ou tout organisme public doit désigner un DPO, quelle que soit sa taille. Cela concerne :

  • L’État et ses administrations centrales
  • Les collectivités territoriales : communes, départements, régions, intercommunalités
  • Les établissements publics : hôpitaux, universités, offices HLM, chambres de commerce
  • Les organismes de droit privé chargés d’une mission de service public

La seule exception concerne les juridictions agissant dans l’exercice de leur fonction juridictionnelle.

En pratique, cela signifie que toutes les communes de France sont tenues de désigner un DPO. La CNIL l’a rappelé de manière très concrète en 2022 en mettant en demeure 22 communes qui n’avaient pas procédé à cette désignation. Sur ces 22 communes, 18 se sont conformées dans le délai imparti. La commune de Kourou, elle, a persisté dans son refus — résultat : 5 000 € d’amende en décembre 2023, puis une astreinte liquidée à 6 900 € en juillet 2024.

Le message est clair : la taille de la collectivité n’est pas un facteur exonératoire.

2. Suivi régulier et systématique à grande échelle

Votre organisme doit désigner un DPO si ses activités de base l’amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Décortiquons chaque terme, car c’est leur combinaison qui déclenche l’obligation.

« Activités de base » : il s’agit des opérations principales de l’organisme, pas des fonctions support. La gestion de la paie des salariés n’est pas une activité de base au sens de l’article 37 — c’est une fonction accessoire. En revanche, pour une société de marketing digital, le profilage des internautes est une activité de base.

« Suivi régulier et systématique » : le Groupe de travail Article 29 (devenu l’EDPB) précise que « régulier » signifie continu ou à intervalles réguliers, et que « systématique » implique un caractère méthodique, organisé, selon un système prédéfini. Les exemples incluent :

  • Le suivi comportemental sur Internet (cookies, fingerprinting)
  • La géolocalisation de personnes (flottes de véhicules, applications mobiles)
  • Les programmes de fidélité à grande échelle
  • La vidéosurveillance
  • Le profilage pour la notation de crédit ou la prévention de la fraude

« Grande échelle » : le RGPD ne fixe pas de seuil numérique. Le considérant 91 mentionne un « volume considérable de données au niveau régional, national ou supranational ». L’EDPB recommande de prendre en compte quatre facteurs :

  • Le nombre de personnes concernées (en valeur absolue ou en proportion de la population)
  • Le volume et la variété des données traitées
  • La durée du traitement
  • L’étendue géographique

Un cabinet médical individuel ne traite pas à grande échelle. Un réseau de cliniques ou un prestataire de télémédecine couvrant une région entière, si. Une PME de 50 salariés qui gère un fichier clients de 2 000 contacts ne traite pas à grande échelle. Une plateforme e-commerce avec 500 000 utilisateurs et un système de recommandation personnalisée, oui.

3. Traitement à grande échelle de données sensibles

Le troisième cas concerne les organismes dont les activités de base consistent en un traitement à grande échelle de données sensibles au sens de l’article 9 du RGPD, ou de données relatives aux condamnations pénales et aux infractions (article 10).

Les données sensibles comprennent notamment :

  • Les données de santé
  • Les données biométriques aux fins d’identification
  • Les données révélant l’origine raciale ou ethnique
  • Les opinions politiques, les convictions religieuses ou philosophiques
  • L’appartenance syndicale
  • Les données relatives à la vie sexuelle ou à l’orientation sexuelle

Sont typiquement concernés par ce critère :

  • Les hôpitaux et établissements de santé (données de santé à grande échelle)
  • Les compagnies d’assurance traitant des données de santé pour la gestion des sinistres
  • Les prestataires de tests génétiques ou de diagnostic biologique
  • Les organisations syndicales à échelle nationale
  • Les sociétés de sécurité privée utilisant la biométrie

Le cas des PME : obligatoire ou recommandé ?

Pour la majorité des PME françaises, la désignation d’un DPO n’est pas juridiquement obligatoire. Une entreprise de services B2B de 30 salariés qui gère un fichier clients classique et une paie ne rentre dans aucun des trois cas de l’article 37.

Mais la CNIL recommande fortement la désignation d’un DPO même en dehors des cas obligatoires. Et dans mon expérience de conseil, cette recommandation est pertinente dès que l’organisme :

  • Traite des données à caractère personnel de manière significative (milliers de contacts, données comportementales)
  • Opère dans un secteur régulé (santé, finance, éducation)
  • Fait l’objet de demandes d’exercice de droits fréquentes
  • Envisage de nouveaux traitements impliquant des technologies de suivi

Dans ces situations, un DPO — même à temps partiel ou externalisé — structure la gouvernance des données et réduit significativement le risque de non-conformité. L’appui d’un logiciel RGPD permet par ailleurs au DPO de centraliser le registre, les AIPD et le suivi des sous-traitants dans un seul outil.

Comment désigner un DPO : la procédure

Compétences requises

L’article 37(5) du RGPD exige que le DPO soit désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données ». Il n’existe pas de diplôme obligatoire, mais la CNIL valorise les certifications conformes au référentiel qu’elle a publié.

Le DPO doit combiner :

  • Une connaissance juridique solide du RGPD et du droit national applicable
  • Une compréhension des opérations de traitement de l’organisme
  • Une capacité à communiquer avec la direction et les équipes opérationnelles

DPO interne ou externe

Le DPO peut être un salarié de l’organisme ou un prestataire externe intervenant sur la base d’un contrat de service (Art. 37(6)). Chaque option a ses avantages :

  • DPO interne : connaissance approfondie de l’organisme, disponibilité immédiate. Attention cependant au risque de conflit d’intérêts — le DPO ne peut pas être le DSI, le DRH ou le directeur marketing, car ces fonctions déterminent les finalités de certains traitements.
  • DPO externe : expertise spécialisée, indépendance structurelle. Adapté pour les PME qui n’ont pas les ressources pour un poste dédié. Les tarifs d’un DPO externalisé varient généralement entre 500 et 3 000 € par mois selon la taille et la complexité de l’organisme. Le choix du bon logiciel DPO conditionne largement l’efficacité de la mission.

Formaliser la désignation auprès de la CNIL

La désignation se fait en ligne sur le site de la CNIL via un formulaire dédié. Vous devez fournir :

  • Les coordonnées de l’organisme
  • Les coordonnées du DPO (nom, prénom, adresse email professionnelle)
  • La nature de la désignation (interne ou externe)

Cette formalité est essentielle : sans notification à la CNIL, la désignation n’est pas effective au regard du règlement. C’est précisément ce qui a été reproché à plusieurs des 22 communes mises en demeure.

Les sanctions en cas de non-désignation

L’absence de désignation d’un DPO lorsqu’elle est obligatoire constitue un manquement à l’article 37 du RGPD. Les sanctions possibles incluent :

  • Rappel à l’ordre : première mesure, souvent accompagnée d’un délai de mise en conformité
  • Mise en demeure : avec un délai impératif (généralement 4 mois dans la pratique de la CNIL)
  • Amende administrative : jusqu’à 10 000 000 € ou 2 % du chiffre d’affaires annuel mondial (Art. 83(4)(a) RGPD)
  • Astreinte : en complément de l’amende, un montant par jour de retard

La jurisprudence CNIL sur ce point est désormais établie. Après les 22 mises en demeure de communes en 2022, la sanction de Kourou en 2023-2024 montre que la CNIL ne se contente pas d’avertissements. Le montant des amendes reste faible pour les collectivités (5 000 € pour Kourou), mais le mécanisme d’astreinte journalière — 150 € par jour dans ce cas — crée une pression continue.

Pour les entreprises privées, les montants seraient naturellement plus élevés, proportionnés au chiffre d’affaires.

Arbre de décision : devez-vous désigner un DPO ?

Pour clarifier votre situation, posez-vous ces questions dans l’ordre :

Question 1 : Êtes-vous une autorité publique ou un organisme public ? → Si oui : DPO obligatoire. Désignez immédiatement.

Question 2 : Vos activités de base impliquent-elles un suivi régulier et systématique de personnes à grande échelle ? → Si oui : DPO obligatoire.

Question 3 : Vos activités de base impliquent-elles un traitement à grande échelle de données sensibles ou de données relatives aux infractions pénales ? → Si oui : DPO obligatoire.

Si non aux trois questions : la désignation n’est pas obligatoire, mais elle reste recommandée si vous traitez des données personnelles de manière significative. La CNIL encourage vivement cette démarche.

Ce qu’il faut retenir

  • Le DPO est obligatoire dans 3 cas définis par l’article 37 du RGPD : organisme public, suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles.
  • Toutes les collectivités territoriales sont concernées, quelle que soit leur taille — la CNIL l’a confirmé par 22 mises en demeure et une sanction contre Kourou (5 000 € + 6 900 € d’astreinte).
  • La notion de « grande échelle » n’a pas de seuil chiffré : elle s’évalue au cas par cas selon le nombre de personnes, le volume de données, la durée et la portée géographique.
  • Pour les PME, la désignation est rarement obligatoire mais souvent pertinente — un DPO externalisé coûte moins cher qu’une non-conformité.
  • La désignation doit être notifiée à la CNIL via le formulaire en ligne pour être effective.

Questions fréquentes

Un DPO est-il obligatoire pour une PME de moins de 250 salariés ?

Le seuil de 250 salariés n’existe pas dans l’article 37 du RGPD pour l’obligation de désigner un DPO (ce seuil concerne uniquement la tenue du registre des traitements, et encore avec des exceptions). La question n’est pas la taille de l’entreprise, mais la nature de ses traitements. Une startup de 15 personnes qui opère une application de santé connectée avec 100 000 utilisateurs doit désigner un DPO. Une PME industrielle de 200 salariés qui ne fait que de la gestion commerciale classique, non.

Peut-on mutualiser un DPO entre plusieurs organismes ?

Oui. L’article 37(3) du RGPD permet explicitement à un groupe d’entreprises de désigner un DPO unique, à condition qu’il soit « facilement joignable à partir de chaque lieu d’établissement ». De même, plusieurs collectivités territoriales peuvent mutualiser un DPO — c’est d’ailleurs la solution la plus courante pour les petites communes. Les intercommunalités ou les centres de gestion proposent fréquemment ce service.

Quelles sont les missions du DPO une fois désigné ?

L’article 39 du RGPD liste les missions minimales du DPO : informer et conseiller le responsable de traitement et les employés, contrôler le respect du RGPD, conseiller sur l’analyse d’impact quand elle est nécessaire, coopérer avec la CNIL et servir de point de contact. Pour un panorama complet, consultez notre guide sur les missions du DPO.

Que risque-t-on si on ne désigne pas de DPO alors que c’est obligatoire ?

Vous vous exposez à une procédure de la CNIL pouvant aller d’un simple rappel à l’ordre jusqu’à une amende de 10 millions d’euros ou 2 % du CA mondial (Art. 83(4)(a)). En pratique, la CNIL procède d’abord par mise en demeure avec un délai de conformité. Si vous ne réagissez pas, elle peut prononcer une amende assortie d’une astreinte journalière, comme l’illustre la sanction de la commune de Kourou. Consultez notre guide complet des sanctions RGPD pour en savoir plus.

Inscrivez-vous à notre newsletter pour recevoir nos analyses conformité et ne manquer aucune évolution réglementaire.

Articles lies

RGPD

Microsoft Teams et RGPD : guide de conformité 2026

20 avril 2026 · 12 min
RGPD

RGPD et email : signatures, prospection, conservation

19 avril 2026 · 13 min
RGPD

RGPD et agence immobilière : guide pratique du mandataire

19 avril 2026 · 16 min