DPO, délégué à la protection des données, Data Protection Officer… Ce terme revient souvent quand on parle de RGPD. Mais est-ce vraiment obligatoire pour votre TPE ou PME ? La réponse est plus simple qu’on ne le croit. Et pour la majorité des petites entreprises, la réponse est non.
1. Qu’est-ce qu’un DPO ?
Le Délégué à la Protection des Données (DPO) — ou Data Protection Officer en anglais — est la personne chargée, au sein ou en dehors d’une organisation, de veiller au respect du RGPD. C’est un conseiller, un référent, et un interlocuteur de la CNIL.
Le DPO n’est pas le responsable légal de la conformité RGPD : cette responsabilité reste celle du dirigeant. Le DPO est un soutien technique et juridique.
Il peut être salarié de l’entreprise (DPO interne) ou prestataire externe (DPO mutualisé ou externalisé). Les petites structures qui ont besoin d’un DPO ont souvent recours à un DPO externe, moins coûteux.
2. Quand le DPO est-il obligatoire ?
L’article 37 du RGPD prévoit trois cas dans lesquels la désignation d’un DPO est obligatoire :
La grande majorité des TPE et PME françaises — commerce, artisanat, services, professions libérales, restauration — ne rentrent dans aucun de ces trois cas. Elles ne sont pas obligées de nommer un DPO.
3. Ce que dit concrètement la CNIL
La CNIL le confirme explicitement sur son site : la désignation d’un DPO n’est pas systématique et n’est pas liée à la taille de l’entreprise. Elle dépend de la nature des traitements effectués.
En revanche, la CNIL recommande fortement la désignation d’un DPO à toutes les structures, même celles qui n’y sont pas obligées. Un DPO — même externe, même mutualisé — peut être un atout précieux pour structurer la conformité.
Pour les petites structures, la désignation d’un DPO reste facultative. Elle ne remplace pas les obligations de base : tenir un registre des traitements, informer les personnes, répondre aux demandes de droits, sécuriser les données.
4. Pas de DPO obligatoire : quelles obligations restent en place ?
L’absence d’obligation de nommer un DPO ne signifie pas l’absence d’obligation RGPD. Voici ce qui s’applique à toutes les entreprises, quelle que soit leur taille :
Tenir un registre des activités de traitement (art. 30 RGPD).
Informer les personnes dont vous traitez les données.
Permettre l’exercice des droits des personnes (accès, rectification, effacement…).
Sécuriser les données personnelles.
Encadrer les sous-traitants par des accords de traitement de données (DPA).
Notifier la CNIL en cas de violation de données dans un délai de 72 heures.
Ces obligations sont les mêmes avec ou sans DPO. Le registre des traitements reste la pièce centrale de votre conformité.
Créez votre registre des traitements RGPD en 30 minutes, sans DPO, sans cabinet :
Obtenir mon registre RGPD — 149 EUR HT
5. Faut-il quand même désigner un référent RGPD en interne ?
Même sans obligation légale, il peut être utile de désigner en interne une personne de référence pour les questions RGPD. Cette personne n’a pas le titre ni les responsabilités d’un DPO officiel, mais elle centralise les demandes, tient le registre à jour, et fait le lien avec les éventuels prestataires.
Dans une TPE, c’est souvent le dirigeant lui-même qui remplit ce rôle. Dans une PME, ce peut être le responsable administratif ou le DSI.
6. Comment désigner un DPO si vous en avez besoin ?
Si votre activité entre dans l’un des trois cas d’obligation (ou si vous choisissez volontairement de nommer un DPO), voici la procédure :
Choisir la personne ou le prestataire : le DPO doit disposer de connaissances approfondies en droit et pratiques de protection des données.
Notifier sa désignation à la CNIL : via l’espace de notification en ligne sur cnil.fr. Cette notification est obligatoire.
Lui donner les moyens d’exercer ses missions : accès aux traitements, aux responsables métiers, et à la direction.
Publier ses coordonnées : les coordonnées du DPO (pas son nom s’il est salarié) doivent être rendues publiques et transmises à la CNIL.
7. FAQ
Mon cabinet d’expertise comptable peut-il être mon DPO ?
Non. Le DPO ne peut pas être dans une situation de conflit d’intérêts. Un prestataire qui traite des données pour vous dans le cadre de sa mission (comptabilité, paie…) ne peut pas être votre DPO.
Puis-je être mon propre DPO ?
Oui, si vous n’avez pas de conflit d’intérêts avec les traitements de données. Un dirigeant de TPE peut techniquement être son propre DPO. Cependant, cela exige une formation spécifique et une disponibilité pour répondre aux demandes de la CNIL.
Le DPO peut-il être sanctionné personnellement ?
Non. La responsabilité RGPD reste celle de l’organisme (et donc du dirigeant), pas du DPO. Le DPO conseille — il ne décide pas à la place de l’entreprise.
Sources : CNIL (cnil.fr — Le délégué à la protection des données) ; Règlement (UE) 2016/679, Article 37 ; Legalstart.fr (DPO guide 2026).