← Retour aux ressources
Qui est le DPO et quelles sont ses missions légales ?
Le délégué à la protection des données (DPO) est une fonction instituée par l'article 37 du RGPD. Obligatoire pour certaines catégories d'organisations — autorités et organismes publics, structures traitant des données sensibles à grande échelle, organismes effectuant un suivi régulier et systématique des personnes — elle est recommandée pour toutes les autres. Pour en savoir plus sur la mise en conformité RGPD, voir la page protection des données personnelles.
Ses missions sont définies à l'article 39 du RGPD. Elles couvrent cinq domaines : informer et conseiller le responsable du traitement, le sous-traitant et les employés sur leurs obligations ; contrôler le respect du règlement, des autres dispositions du droit de l'Union ou des États membres en matière de protection des données, ainsi que des règles internes de l'organisation ; dispenser des conseils sur la réalisation des analyses d'impact relatives à la protection des données (AIPD) et en vérifier l'exécution ; coopérer avec l'autorité de contrôle ; faire office de point de contact pour l'autorité de contrôle sur toute question relative au traitement.
Article 39, RGPD · Missions du délégué à la protection des données
Le délégué à la protection des données est chargé, au moins : a) d'informer et de conseiller le responsable du traitement ou le sous-traitant ainsi que les employés ; b) de contrôler le respect du présent règlement [...] ; c) de dispenser des conseils [...] en ce qui concerne les analyses d'impact relatives à la protection des données et d'en vérifier l'exécution ; d) de coopérer avec l'autorité de contrôle ; e) de faire office de point de contact pour l'autorité de contrôle.
Dans la pratique, le DPO consacre une part importante de son activité à la tenue du registre des traitements, à l'analyse des contrats de sous-traitance, à la gestion des demandes d'exercice de droits et à la rédaction des politiques internes. Ce travail est indispensable. Il est cependant souvent perçu, à tort, comme exclusivement technique ou juridique. Ce périmètre, aussi rigoureux soit-il, est en train de devenir insuffisant au regard des transformations du paysage numérique.
Un contexte réglementaire profondément transformé depuis 2018
En 2018, lors de l'entrée en application du RGPD, l'intelligence artificielle n'était pas encore un sujet opérationnel pour la grande majorité des organisations. Le numérique responsable relevait d'une démarche volontaire et confidentielle. L'accessibilité numérique restait, dans beaucoup de structures, une obligation de façade. La souveraineté numérique n'avait pas encore acquis le statut d'enjeu stratégique.
En 2026, la situation est radicalement différente. Les organisations déploient des outils d'intelligence artificielle dans des processus décisionnels qui touchent directement les personnes. Le règlement européen sur l'intelligence artificielle (RIA / IA Act — règlement UE 2024/1689) est en vigueur et crée de nouvelles obligations de documentation, de gouvernance et de supervision humaine. L'empreinte environnementale du numérique est désormais mesurée, publiée et intégrée dans les critères d'évaluation des marchés publics. Les directions cherchent un interlocuteur capable de les accompagner dans la gestion cohérente de ces enjeux réglementaires et éthiques.
Pourquoi le DPO est naturellement positionné pour élargir son périmètre
Le DPO réunit des compétences que peu d'autres fonctions possèdent simultanément : une culture juridique solide, une vision transversale des systèmes d'information, une capacité à traduire des exigences réglementaires en actions concrètes, et une posture d'indépendance garantie par le règlement lui-même. Ces compétences sont précisément celles qui sont nécessaires pour traiter les nouveaux enjeux du numérique.
La protection des données personnelles et la gouvernance de l'intelligence artificielle partagent les mêmes fondements méthodologiques : cartographie des risques, documentation des décisions, garantie de la transparence, protection des droits des personnes. Le DPO qui maîtrise le RGPD dispose déjà d'une grande partie du socle conceptuel et opérationnel pour aborder le RIA.
💡 À retenir : le DPO n'a pas besoin de tout réapprendre. Il a besoin d'élargir son périmètre de regard et d'affirmer sa légitimité sur des sujets où il est déjà compétent.
Les nouveaux territoires du DPO
Le règlement européen sur l'IA (RIA / IA Act)
Le RIA crée des obligations structurellement proches de celles du RGPD : cartographie des systèmes à haut risque, analyse d'impact sur les droits fondamentaux (article 27 du RIA pour certains déployeurs), documentation technique, gouvernance et supervision humaine. La CNIL a indiqué dans ses recommandations que le DPO constitue l'interlocuteur naturel pour articuler RGPD et RIA au sein des organisations.
Le DPO est en effet le mieux placé pour cartographier les usages d'IA, identifier les traitements de données personnelles impliqués et s'assurer que les analyses d'impact requises sont effectivement réalisées.
L'accessibilité numérique
L'accessibilité numérique est une obligation légale issue de la loi du 11 février 2005 et de la directive européenne 2016/2102. Elle garantit que les services numériques sont utilisables par l'ensemble des personnes, y compris celles en situation de handicap. C'est également une question de non-discrimination et de respect des droits fondamentaux — deux dimensions qui relèvent directement de la mission du DPO.
L'impact environnemental du numérique
L'empreinte carbone des systèmes d'information, la consommation énergétique des centres de données, l'obsolescence des équipements : ces sujets figurent désormais dans les rapports de durabilité au titre de la CSRD, dans les critères d'achat des grandes organisations et dans les cahiers des charges des collectivités. Le DPO qui intègre cette dimension devient l'interlocuteur commun du responsable RSE, de la DSI et de la direction générale.
La souveraineté numérique
La localisation des données, les conditions d'accès par des tiers, les dépendances technologiques critiques : ces questions touchent directement à la protection des données (transferts hors UE, clauses contractuelles types, hébergement certifié SecNumCloud) mais aussi à la résilience de l'organisation dans son ensemble. Le DPO est déjà impliqué dans ces arbitrages ; il peut en devenir le pilote.
Du DPO au Digital Ethics Officer : un changement de posture
L'idée n'est pas de créer un nouveau poste ni de rebaptiser le DPO. Il s'agit de lui reconnaître un positionnement élargi : celui d'un référent de l'éthique numérique, capable d'accompagner la direction dans ses décisions à caractère numérique au-delà de la seule protection des données.
Ce changement de posture repose sur trois constats. Les enjeux numériques sont désormais indissociables les uns des autres : données personnelles, IA, environnement, accessibilité et souveraineté se croisent dans chaque projet. Les organisations ont besoin d'un interlocuteur unique, capable d'en assurer la cohérence. Le DPO est la fonction la mieux positionnée pour jouer ce rôle.
| Domaine | Mission du DPO élargi |
|---|---|
| Protection des données (RGPD) | Registre des traitements, AIPD, droits des personnes, contrats de sous-traitance, relations CNIL |
| IA responsable (RIA / IA Act) Nouveau | Cartographie des usages IA, analyse d'impact droits fondamentaux, gouvernance algorithmique, charte IA |
| Numérique responsable Nouveau | Mesure de l'empreinte environnementale, éco-conception, politique d'achat responsable |
| Accessibilité numérique Nouveau | Conformité RGAA, déclaration d'accessibilité, suivi des services numériques |
| Souveraineté numérique Nouveau | Cartographie des hébergements, gestion des transferts hors UE, identification des dépendances critiques |
| Appui à la direction | Veille réglementaire, éclairage sur les arbitrages numériques, interlocuteur transversal DSI / RSE / DG |
Comment engager cette transition ?
La transition ne s'opère pas du jour au lendemain. Elle commence par un diagnostic honnête : quels sujets le DPO ne couvre pas encore ? Où des angles morts existent-ils dans la gouvernance numérique de l'organisation ? Quelles réglementations sont en vigueur sans être encore prises en charge ?
Elle se poursuit par une montée en compétences ciblée et un élargissement progressif du périmètre, domaine par domaine. Elle se traduit enfin par un repositionnement dans l'organigramme : le DPO élargi ne peut pas rester cantonné à un rôle d'expert isolé. Il doit être consulté en amont des projets numériques, avoir accès à la direction et disposer d'une vision transversale de l'organisation.
Pour les organisations qui ne disposent pas de DPO en interne — ou dont le DPO interne n'a pas encore la capacité de couvrir ce périmètre élargi — c'est précisément ce que propose un DPO externe de nouvelle génération : non pas un prestataire chargé de gérer le registre et de traiter les demandes de droits, mais un partenaire qui accompagne la direction sur l'ensemble des enjeux de l'éthique numérique.
💡 En résumé : le DPO de demain ne sera pas évalué sur sa seule maîtrise du RGPD. Il sera évalué sur sa capacité à aider son organisation à naviguer dans un écosystème numérique complexe, réglementé et en évolution permanente.
Vous souhaitez en discuter ?
Que vous soyez DPO en poste souhaitant élargir votre périmètre, ou organisation cherchant à structurer sa gouvernance numérique, je suis disponible pour en parler.