Gouvernance, violations et sanctions
Module 5 / 5
5.1 Le DPO et la gouvernance interne
Le Délégué à la Protection des Données est l'acteur central de la conformité. Pivot entre l'entreprise, les salariés et la CNIL, il joue un rôle d'expert, de contrôle interne et de point de contact. Comprendre son rôle aide à savoir vers qui se tourner et avec quelles attentes.
Quand la désignation d'un DPO est-elle obligatoire ?
L'article 37 RGPD impose la désignation d'un DPO dans trois cas — au-delà, elle reste recommandée.
Autorité publique
Toute administration, collectivité, établissement public (sauf juridictions agissant dans l'exercice de leur fonction juridictionnelle).
Suivi à grande échelle
Activité de base impliquant un suivi régulier et systématique à grande échelle (ex : opérateurs télécoms, plateformes en ligne, assureurs).
Données sensibles
Traitement à grande échelle de données sensibles (Art. 9) ou relatives aux condamnations pénales (santé, biométrie, recherche).
Hors de ces cas, la désignation reste un signal positif de maturité : la CNIL la recommande pour toute structure manipulant régulièrement des données personnelles. Le DPO peut être interne (un salarié) ou externe (cabinet, consultant) — voire mutualisé entre plusieurs entités.
Les missions du DPO (Art. 39 RGPD)
Conseil & sensibilisation
- Informer et conseiller le responsable et les salariés
- Sensibiliser les équipes (formation, communication)
- Accompagner les nouveaux projets dès la conception (privacy by design)
Contrôle
- Vérifier le respect du RGPD et des règles internes
- Tenir le registre des traitements
- Réaliser ou superviser les AIPD
- Auditer les sous-traitants
Point de contact
- Interlocuteur des personnes concernées (salariés, clients, candidats)
- Interlocuteur de la CNIL en cas de contrôle
- Coordination des notifications de violation
Indépendance garantie
- Rapporte directement au plus haut niveau hiérarchique
- Pas d'instructions sur l'exercice de ses missions
- Protection contre toute sanction liée à ses fonctions
- Pas de conflit d'intérêts (ne peut pas être DSI ou DRH)
Comment savoir qui est le DPO de votre entreprise ?
Lorsqu'un DPO est désigné, ses coordonnées doivent être publiquement accessibles et communiquées à la CNIL. En général :
Site internet
Rubrique « Politique de confidentialité » ou « Mentions légales »
Intranet RH
Page dédiée RGPD, livret d'accueil, charte informatique
Adresse générique
Et si l'entreprise n'a pas de DPO ?
L'absence de DPO ne dispense pas l'entreprise de respecter le RGPD. Les demandes des salariés s'adressent alors directement au responsable de traitement (généralement la DRH ou la direction). Tous les droits restent intégralement applicables.
Privacy by design & by default (Art. 25)
L'article 25 impose deux obligations corollaires : intégrer la protection des données dès la conception de tout nouveau projet, et garantir par défaut le réglage le plus protecteur.
By design
Avant de coder un nouvel outil ou de signer un contrat sous-traitant, on intègre les exigences RGPD : minimisation, sécurité, durées, droits. Beaucoup moins coûteux que de corriger après mise en production.
By default
Les paramètres par défaut doivent être les plus protecteurs : pas de partage activé d'office, accès restreint, pas de profil public, pas de cookie marketing automatique. L'utilisateur doit explicitement « ouvrir » plus, pas « fermer » moins.
Synthèse du chapitre
- →DPO obligatoire : autorités publiques, suivi à grande échelle, données sensibles à grande échelle
- →Missions : conseil, sensibilisation, contrôle, point de contact (CNIL et personnes)
- →Indépendance : pas d'instructions, protection contre les sanctions, pas de conflit d'intérêts
- →Privacy by design / by default : la protection s'intègre dès la conception