Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mercredi 15 juillet 2026
RGPD

DPO obligatoire : les 3 cas + arbre de décision 2026

DPO obligatoire ou non ? Les 3 cas de l'article 37 RGPD, un arbre de décision et les sanctions CNIL pour savoir en 5 minutes si vous êtes concerné.

L’essentiel. La désignation d’un délégué à la protection des données (DPO) est obligatoire dans trois cas posés par l’article 37 du RGPD : organisme public, suivi régulier et systématique de personnes à grande échelle, ou traitement à grande échelle de données sensibles. Il suffit d’en remplir un seul. En dehors de ces cas, elle reste facultative mais fortement recommandée. L’absence de désignation obligatoire est un manquement sanctionnable (jusqu’à 10 M€ ou 2 % du CA mondial).

La question revient dans presque toutes les missions de conseil que j’ai pu mener : « est-ce qu’on est obligé d’avoir un DPO ? » La réponse dépend de trois critères précis posés par l’article 37 du RGPD. Et la CNIL n’hésite plus à sanctionner les organismes qui passent à côté de cette obligation — plusieurs communes en ont fait l’expérience, jusqu’à l’amende assortie d’une astreinte journalière.

Voici comment déterminer, en quelques minutes et sans jargon, si votre organisme est concerné, ce que fait concrètement un DPO une fois désigné, et ce que vous risquez en cas de manquement.

Les 3 cas de désignation obligatoire (Art. 37 RGPD)

L’article 37(1) du RGPD identifie trois situations dans lesquelles la désignation d’un délégué à la protection des données est obligatoire. Il suffit de remplir un seul de ces critères pour que l’obligation s’applique, que vous soyez responsable de traitement ou sous-traitant.

Cas Critère (art. 37.1) Qui est typiquement concerné
1 Autorité publique ou organisme public État, collectivités, hôpitaux, universités, offices HLM
2 Suivi régulier et systématique de personnes à grande échelle Régie publicitaire, plateforme de profilage, réseau de vidéosurveillance
3 Traitement à grande échelle de données sensibles ou pénales Hôpitaux, assureurs santé, laboratoires génétiques

1. Autorité publique ou organisme public

Toute autorité publique ou tout organisme public doit désigner un DPO, quelle que soit sa taille. Cela concerne :

  • L’État et ses administrations centrales ;
  • Les collectivités territoriales : communes, départements, régions, intercommunalités ;
  • Les établissements publics : hôpitaux, universités, offices HLM, chambres de commerce ;
  • Les organismes de droit privé chargés d’une mission de service public.

La seule exception vise les juridictions agissant dans l’exercice de leur fonction juridictionnelle.

En pratique, cela signifie que toutes les communes de France sont tenues de désigner un DPO. La CNIL l’a rappelé de manière très concrète en 2022 en mettant en demeure 22 communes qui n’avaient pas procédé à cette désignation. La grande majorité s’est conformée dans le délai imparti. Une commune ayant persisté dans son refus a été sanctionnée par une amende de quelques milliers d’euros, assortie d’une astreinte journalière liquidée par la suite — le mécanisme qui transforme une amende symbolique en pression financière continue.

Le message est clair : la taille de la collectivité n’est pas un facteur exonératoire.

2. Suivi régulier et systématique à grande échelle

Votre organisme doit désigner un DPO si ses activités de base l’amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Décortiquons chaque terme, car c’est leur combinaison qui déclenche l’obligation.

« Activités de base » : il s’agit des opérations principales de l’organisme, pas des fonctions support. La gestion de la paie des salariés n’est pas une activité de base au sens de l’article 37 — c’est une fonction accessoire. En revanche, pour une société de marketing digital, le profilage des internautes est une activité de base.

« Suivi régulier et systématique » : les lignes directrices européennes précisent que « régulier » signifie continu ou à intervalles réguliers, et que « systématique » implique un caractère méthodique, organisé, selon un système prédéfini. Les exemples incluent :

  • Le suivi comportemental sur Internet (cookies, fingerprinting) ;
  • La géolocalisation de personnes (flottes de véhicules, applications mobiles) ;
  • Les programmes de fidélité à grande échelle ;
  • La vidéosurveillance ;
  • Le profilage pour la notation de crédit ou la prévention de la fraude.

« Grande échelle » : le RGPD ne fixe pas de seuil numérique. Le considérant 91 mentionne un « volume considérable de données au niveau régional, national ou supranational ». Les lignes directrices européennes recommandent de prendre en compte quatre facteurs :

  • Le nombre de personnes concernées (en valeur absolue ou en proportion de la population) ;
  • Le volume et la variété des données traitées ;
  • La durée du traitement ;
  • L’étendue géographique.

Un cabinet médical individuel ne traite pas à grande échelle. Un réseau de cliniques ou un prestataire de télémédecine couvrant une région entière, si. Une PME de 50 salariés qui gère un fichier clients de 2 000 contacts ne traite pas à grande échelle. Une plateforme e-commerce avec 500 000 utilisateurs et un système de recommandation personnalisée, oui.

3. Traitement à grande échelle de données sensibles

Le troisième cas concerne les organismes dont les activités de base consistent en un traitement à grande échelle de données sensibles au sens de l’article 9 du RGPD, ou de données relatives aux condamnations pénales et aux infractions (article 10).

Les données sensibles comprennent notamment :

  • Les données de santé ;
  • Les données biométriques aux fins d’identification ;
  • Les données révélant l’origine raciale ou ethnique ;
  • Les opinions politiques, les convictions religieuses ou philosophiques ;
  • L’appartenance syndicale ;
  • Les données relatives à la vie sexuelle ou à l’orientation sexuelle.

Sont typiquement concernés par ce critère :

  • Les hôpitaux et établissements de santé (données de santé à grande échelle) ;
  • Les compagnies d’assurance traitant des données de santé pour la gestion des sinistres ;
  • Les prestataires de tests génétiques ou de diagnostic biologique ;
  • Les organisations syndicales à échelle nationale ;
  • Les sociétés de sécurité privée utilisant la biométrie.

Le cas des PME et des associations : obligatoire ou recommandé ?

Pour la majorité des PME françaises, la désignation d’un DPO n’est pas juridiquement obligatoire. Une entreprise de services B2B de 30 salariés qui gère un fichier clients classique et une paie ne rentre dans aucun des trois cas de l’article 37. Il en va de même pour la plupart des associations, sauf celles qui traitent des données sensibles à grande échelle.

Mais la CNIL recommande fortement la désignation d’un DPO même en dehors des cas obligatoires. Et dans mon expérience de conseil, cette recommandation est pertinente dès que l’organisme :

  • Traite des données à caractère personnel de manière significative (milliers de contacts, données comportementales) ;
  • Opère dans un secteur régulé (santé, finance, éducation) ;
  • Fait l’objet de demandes d’exercice de droits fréquentes ;
  • Envisage de nouveaux traitements impliquant des technologies de suivi.

Dans ces situations, un DPO — même à temps partiel ou externalisé — structure la gouvernance des données et réduit significativement le risque de non-conformité. L’appui d’un logiciel RGPD permet par ailleurs d’industrialiser la tenue du registre, le suivi des AIPD et le pilotage des sous-traitants dans un seul outil, ce qui allège considérablement la charge d’un DPO à temps partiel.

Les missions du DPO une fois désigné (Art. 39)

Beaucoup d’organismes se focalisent sur la question « faut-il un DPO ? » et négligent la suivante, tout aussi importante : que doit-il faire ? L’article 39 fixe un socle minimal de missions :

  • Informer et conseiller le responsable de traitement, le sous-traitant et les employés sur leurs obligations ;
  • Contrôler le respect du RGPD et du droit national, y compris la répartition des responsabilités et la sensibilisation du personnel ;
  • Conseiller sur l’analyse d’impact et en vérifier l’exécution ;
  • Coopérer avec la CNIL et être son point de contact ;
  • Tenir compte du risque associé aux traitements dans l’exercice de ses missions.

Un DPO n’est pas responsable de la conformité — c’est le responsable de traitement qui l’est. Le DPO conseille, contrôle et alerte. Cette distinction est fondamentale : désigner un DPO ne transfère pas la responsabilité juridique.

L’indépendance et la protection du DPO (Art. 38)

L’article 38 entoure la fonction de garanties destinées à préserver son indépendance. Elles sont souvent ignorées et pourtant essentielles :

  • Le DPO doit être associé en temps utile à toutes les questions relatives à la protection des données ;
  • Il doit disposer des ressources nécessaires et d’un accès aux données et aux traitements ;
  • Il ne peut recevoir aucune instruction dans l’exercice de ses missions ;
  • Il ne peut être relevé de ses fonctions ni pénalisé pour l’exercice de celles-ci ;
  • Il fait directement rapport au niveau le plus élevé de la direction.

Le conflit d’intérêts est le point de vigilance majeur. Le DPO peut exercer d’autres fonctions, mais celles-ci ne doivent pas le conduire à déterminer les finalités et les moyens d’un traitement. En pratique, le DPO ne peut donc pas être le DSI, le DRH, le directeur marketing ou le dirigeant, car ces fonctions décident précisément de la manière dont les données sont traitées. Une désignation qui ignore cette règle est fragile et peut être remise en cause par la CNIL.

Comment désigner un DPO : la procédure

Compétences requises

L’article 37(5) exige que le DPO soit désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données ». Il n’existe pas de diplôme obligatoire, mais la CNIL valorise les certifications conformes au référentiel qu’elle a publié.

Le DPO doit combiner :

  • Une connaissance juridique solide du RGPD et du droit national applicable ;
  • Une compréhension des opérations de traitement de l’organisme ;
  • Une capacité à communiquer avec la direction et les équipes opérationnelles.

DPO interne ou externe

Le DPO peut être un salarié de l’organisme ou un prestataire externe intervenant sur la base d’un contrat de service (Art. 37.6). Chaque option a ses avantages :

  • DPO interne : connaissance approfondie de l’organisme, disponibilité immédiate. Attention au conflit d’intérêts évoqué plus haut.
  • DPO externe : expertise spécialisée, indépendance structurelle, adaptée aux PME sans ressources pour un poste dédié. Les tarifs d’un DPO externalisé varient généralement entre 500 et 3 000 € par mois selon la taille et la complexité de l’organisme.

Formaliser la désignation auprès de la CNIL

La désignation se fait en ligne sur le site de la CNIL via un formulaire dédié. Vous devez fournir :

  • Les coordonnées de l’organisme ;
  • Les coordonnées du DPO (nom, prénom, adresse email professionnelle) ;
  • La nature de la désignation (interne ou externe).

Cette formalité est essentielle : sans notification à la CNIL, la désignation n’est pas effective au regard du règlement. C’est précisément ce qui a été reproché à plusieurs des communes mises en demeure.

Les sanctions en cas de non-désignation

L’absence de désignation d’un DPO lorsqu’elle est obligatoire constitue un manquement à l’article 37. Les suites possibles, dans l’ordre de gravité :

  • Rappel à l’ordre : première mesure, souvent accompagnée d’un délai de mise en conformité ;
  • Mise en demeure : avec un délai impératif (généralement quelques mois dans la pratique de la CNIL) ;
  • Amende administrative : jusqu’à 10 000 000 € ou 2 % du chiffre d’affaires annuel mondial (Art. 83.4.a RGPD) ;
  • Astreinte : en complément, un montant par jour de retard tant que la conformité n’est pas atteinte.

La pratique de la CNIL sur ce point est désormais établie : après les mises en demeure de communes en 2022, la sanction assortie d’une astreinte journalière montre qu’elle ne se contente pas d’avertissements. Les montants restent modérés pour les petites collectivités, mais le mécanisme d’astreinte crée une pression continue. Pour les entreprises privées, les montants seraient proportionnés au chiffre d’affaires. Pour approfondir, consultez notre guide des sanctions RGPD et l’actualité RGPD 2026.

Arbre de décision : devez-vous désigner un DPO ?

Pour clarifier votre situation, posez-vous ces questions dans l’ordre :

Question 1 — Êtes-vous une autorité publique ou un organisme public ? → Si oui : DPO obligatoire. Désignez immédiatement.

Question 2 — Vos activités de base impliquent-elles un suivi régulier et systématique de personnes à grande échelle ? → Si oui : DPO obligatoire.

Question 3 — Vos activités de base impliquent-elles un traitement à grande échelle de données sensibles ou de données relatives aux infractions pénales ? → Si oui : DPO obligatoire.

Si non aux trois questions : la désignation n’est pas obligatoire, mais elle reste recommandée si vous traitez des données personnelles de manière significative.

Arbre de décision indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 2026-07.

Ce qu’il faut retenir

  • Le DPO est obligatoire dans 3 cas définis par l’article 37 : organisme public, suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles. Un seul suffit.
  • Toutes les collectivités territoriales sont concernées, quelle que soit leur taille — la CNIL l’a confirmé par plusieurs mises en demeure et une sanction assortie d’astreinte.
  • La notion de « grande échelle » n’a pas de seuil chiffré : elle s’évalue au cas par cas (nombre de personnes, volume de données, durée, portée géographique).
  • Pour les PME et associations, la désignation est rarement obligatoire mais souvent pertinente — un DPO externalisé coûte moins cher qu’une non-conformité.
  • La désignation doit être notifiée à la CNIL pour être effective, et le DPO doit être indépendant et sans conflit d’intérêts.

Questions fréquentes

Un DPO est-il obligatoire pour une PME de moins de 250 salariés ?

Le seuil de 250 salariés n’existe pas dans l’article 37 pour l’obligation de désigner un DPO (ce seuil concerne, avec des exceptions, la tenue du registre des traitements). La question n’est pas la taille de l’entreprise, mais la nature de ses traitements. Une startup de 15 personnes qui opère une application de santé connectée avec 100 000 utilisateurs doit désigner un DPO. Une PME industrielle de 200 salariés qui ne fait que de la gestion commerciale classique, non.

Peut-on mutualiser un DPO entre plusieurs organismes ?

Oui. L’article 37(3) permet explicitement à un groupe d’entreprises de désigner un DPO unique, à condition qu’il soit « facilement joignable à partir de chaque lieu d’établissement ». De même, plusieurs collectivités territoriales peuvent mutualiser un DPO — c’est la solution la plus courante pour les petites communes. Les intercommunalités ou les centres de gestion proposent fréquemment ce service.

Le DPO est-il responsable en cas de non-conformité ou de sanction ?

Non. La responsabilité juridique de la conformité incombe au responsable de traitement, pas au DPO. Le rôle du DPO est de conseiller, contrôler et alerter. L’article 38 le protège d’ailleurs : il ne peut être pénalisé pour avoir exercé ses missions. Cette répartition explique pourquoi désigner un DPO ne « décharge » pas la direction de ses obligations.

Un cabinet médical doit-il désigner un DPO ?

Un professionnel de santé exerçant seul ou en petit cabinet ne traite généralement pas de données de santé « à grande échelle » et n’est donc pas obligé de désigner un DPO. Un centre de santé, un réseau de cliniques ou une structure de télémédecine, en revanche, entrent dans le troisième cas de l’article 37. Nous détaillons ces situations dans notre guide RGPD pour cabinet médical.

Quelles sont les missions du DPO une fois désigné ?

L’article 39 liste les missions minimales : informer et conseiller, contrôler le respect du RGPD, conseiller sur l’analyse d’impact quand elle est nécessaire, coopérer avec la CNIL et servir de point de contact. Le DPO doit disposer de moyens suffisants et être associé en temps utile aux projets impliquant des données personnelles.

Que risque-t-on si on ne désigne pas de DPO alors que c’est obligatoire ?

Vous vous exposez à une procédure de la CNIL pouvant aller d’un simple rappel à l’ordre jusqu’à une amende de 10 millions d’euros ou 2 % du CA mondial (Art. 83.4.a). En pratique, la CNIL procède d’abord par mise en demeure avec un délai de conformité. Si vous ne réagissez pas, elle peut prononcer une amende assortie d’une astreinte journalière. Un audit RGPD permet d’identifier en amont si vous êtes concerné et d’éviter cette situation.


Inscrivez-vous à notre newsletter pour recevoir nos analyses conformité et ne manquer aucune évolution réglementaire.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →