Date
11.08.2025
Les principes de base concernant la désignation d’un Délégué à la Protection des Données (DPD) sont clairement définis par le RGPD. Et pourtant, dans la pratique, on constate encore trop souvent que certaines organisations se prennent les pieds dans le tapis dès ces premiers fondements. Dans cet article, nous revenons sur les trois piliers essentiels du rôle de DPD : l’indépendance, l’engagement et la compétence.
Un DPD doit être indépendant
L’indépendance du DPD signifie avant tout l’absence de conflit d’intérêts dans l’exercice de sa fonction. Ce n’est pas une simple formalité : le RGPD prévoit bien que le DPD peut cumuler sa fonction avec d’autres responsabilités, mais il y a une limite à ne pas franchir.
Cette frontière a été précisée par la Cour de justice de l’Union européenne (CJUE) dans l’affaire C-453/21 : si ces autres fonctions impliquent que le DPD détermine lui-même les finalités ou les moyens du traitement de données à caractère personnel au sein de l’organisation, il y a un problème. À ce moment-là, on entre en terrain glissant : le DPD devrait alors surveiller ou conseiller sur des décisions qu’il a lui-même contribué à prendre.
En d’autres termes, le DPD ne peut pas être juge et partie. Toute fonction de direction où le DPD aurait une influence directe sur les traitements de données n’est donc pas compatible avec son rôle.
L’indépendance ne va pas sans protection : un DPD ne peut pas être sanctionné ou licencié pour l’exercice de ses missions. Ce principe a également été confirmé par la CJUE et par un jugement d’un tribunal du travail francophone en Belgique, dans une affaire où un DPD avait obtenu une indemnisation après son licenciement abusif.
Un DPD doit être impliqué et en mesure de rendre compte
Indépendance ne signifie pas isolement. Le DPD ne doit pas opérer en vase clos, mais être activement impliqué dans tout ce qui concerne la protection des données. Il ne peut pas conseiller ou superviser depuis sa tour d’ivoire, cela n’aurait aucun sens. Cette responsabilité est partagée : c’est à l’organisation d’intégrer pleinement le DPD dans ses processus internes.
La position de l’Autorité de protection des données (APD) est claire à ce sujet : elle a déjà insisté, dans plusieurs décisions, sur l’obligation d’informer le DPD des incidents de sécurité, et de solliciter son avis en amont — pas après coup.
Mais l’implication ne suffit pas si le DPD ne peut pas rapporter ses observations au bon niveau. Les projets à fort enjeu en matière de données sont souvent aussi des projets stratégiques. Il est donc indispensable que le DPD puisse rendre compte à l’organe de direction le plus élevé de l’organisation, comme le prévoit expressément le RGPD.
L’APD a d’ailleurs rappelé que rapporter à un directeur général ne suffit pas nécessairement. Dans une décision relative à une commune, l’organe compétent était considéré comme étant le Collège des Bourgmestre et Échevins, et non le directeur communal seul.
Un DPD doit avoir les compétences requises
Conseiller et superviser la conformité au RGPD, ce n’est pas de l’improvisation. Le législateur européen l’a bien compris : le RGPD impose que le DPD possède les qualifications professionnelles adéquates. Il ne s’agit pas d’une formalité administrative.
L’APD l’a déjà confirmé : une organisation doit être en mesure de démontrer que la personne qu’elle désigne comme DPD a les connaissances et l’expérience nécessaires pour assumer ce rôle.
Un bon indicateur de cette compétence, c’est bien entendu la formation. Une offre d’emploi mentionnant que la “connaissance du RGPD est un atout” ne suffit pas — cela laisse entendre que cette connaissance est accessoire, voire facultative. L’APD ne partage pas du tout cette interprétation.
Envie d’en savoir plus sur le rôle de DPD ?
Vous envisagez de devenir DPD ou souhaitez mieux comprendre les enjeux liés à cette fonction essentielle ? Data Protection Institute vous accompagne !
En ce moment, nous proposons une offre combinée spéciale :
Suivez notre formation certifiante DPD et recevez gratuitement un abonnement d’un an à Stay Tuned !
Inscrivez-vous via ce lien.
Date
11.08.2025
