Confidentialité et sécurité

Délégué à la protection des données (DPO)

Le délégué à la protection des données (DPO) est la fonction qui supervise la conformité au RGPD au sein de votre organisation, conseille la direction et fait office d'interlocuteur avec l'Agence espagnole de protection des données (AEPD). Le RGPD et la LOPDGDD espagnole imposent sa désignation dans certains cas — et de nombreuses entreprises qui se croient exemptées ne le sont pas. Summum Calidad situe le DPO au sein du système de management de la sécurité de l'information : non pas comme une fonction isolée dotée d'un simple tampon, mais comme un rôle formé et positionné réellement au sein du SMSI et du PIMS de confidentialité (ISO 27701).

RéglementationRGPD art. 37 à 39 · LOPDGDD espagnole art. 34 à 37
ApprocheDPO intégré au SMSI/PIMS (ISO 27001/27701)
ModalitéFormation, positionnement organisationnel et accompagnement continu

L'article 37 du RGPD définit le délégué à la protection des données comme la personne disposant de connaissances spécialisées en droit et en pratiques de protection des données, qui informe et conseille le responsable ou le sous-traitant, contrôle le respect du Règlement, coopère avec l'autorité de contrôle et fait office de point de contact avec elle. L'article 38.3 exige qu'il exerce ses missions en toute indépendance : il ne peut recevoir d'instructions sur la façon de les exercer, ne peut être relevé de ses fonctions ni pénalisé pour les avoir exercées, et doit rendre compte directement au niveau le plus élevé de la direction. Ce n'est pas une fonction décorative ni un poste ajouté à un organigramme pour cocher une case ; c'est une mission assortie de garanties légales concrètes.

L'obligation de le désigner comporte deux niveaux. L'article 37.1 du RGPD l'impose dans trois cas généraux : lorsque le traitement est effectué par une autorité ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ; lorsque les activités de base du responsable ou du sous-traitant consistent en des opérations qui, de par leur nature, leur portée ou leurs finalités, exigent un suivi régulier et systématique des personnes concernées à grande échelle ; ou lorsque les activités de base consistent en un traitement à grande échelle de catégories particulières de données (art. 9 RGPD) ou de données relatives à des condamnations et infractions pénales (art. 10 RGPD). L'article 34 de la LOPDGDD espagnole étend cette obligation, en Espagne, à une liste supplémentaire de responsables, indépendamment du respect ou non des critères généraux du RGPD : les ordres professionnels, les entités exploitant des réseaux de communications électroniques à grande échelle, les prestataires de services de la société de l'information qui établissent des profils à grande échelle, les entités du secteur financier, de l'assurance et des services d'investissement, les distributeurs d'électricité et de gaz, les entités responsables de fichiers de solvabilité, les entreprises de publicité et de prospection commerciale qui établissent des profils, les établissements de santé légalement tenus de conserver des dossiers médicaux, et — le cas le plus souvent mal interprété — les établissements d'enseignement.

L'erreur la plus fréquente consiste à penser que l'obligation des établissements scolaires dépend du traitement de données de mineurs. Il n'en est rien : l'article 34.1.b) de la LOPDGDD désigne comme entités obligées « les établissements d'enseignement proposant des enseignements réglementés par la Loi organique 2/2006 du 3 mai relative à l'Éducation, ainsi que les universités publiques et privées ». Le critère légal est que l'enseignement soit réglementé au sens de la LOE, et non l'âge des élèves : l'obligation couvre les écoles maternelles, primaires et secondaires, les centres de formation professionnelle, ainsi que les universités publiques et privées, dont les étudiants sont pourtant majoritairement majeurs. C'est l'une des catégories de l'article 34 de la LOPDGDD les plus souvent négligées, précisément à cause de ce malentendu.

Summum Calidad ne traite pas le DPO comme une nomination isolée assortie d'un cachet notarié, mais comme une fonction intégrée au système de management de la sécurité de l'information et, lorsqu'il existe, au PIMS de confidentialité de l'ISO/IEC 27701:2025. Cela signifie définir sa position dans l'organigramme, documenter ses responsabilités comme l'exige la norme elle-même, garantir qu'il dispose des ressources nécessaires à l'exercice de sa mission, assurer la ligne de reporting direct à la direction imposée par l'article 38.3 du RGPD, et l'associer à l'analyse des risques, à l'audit interne et à la revue de direction du système. Un DPO sans système de management derrière lui a peu de choses à superviser ; un DPO intégré au SMSI/PIMS cesse d'être une figure réactive pour devenir un acteur du cycle d'amélioration continue.

La formation spécifique compte tout autant que le positionnement organisationnel. Le DPO doit connaître en profondeur le RGPD, la LOPDGDD et le système de management sur lequel il s'appuie, et actualiser ces connaissances au fil de l'évolution réglementaire. Il est tout aussi important d'éviter le conflit d'intérêts : l'article 38.6 du RGPD, lu conjointement avec le principe d'indépendance de l'article 38.3, rend la fonction de DPO incompatible avec tout poste déterminant les finalités et les moyens du traitement des données — il ne devrait pas, par exemple, être simultanément la personne qui décide des outils marketing ou informatiques déployés. Nous documentons également ces garanties au sein du système, ainsi que la nomination formelle et sa notification à l'AEPD.

Si votre entreprise a besoin précisément du service de DPO externe pur — la personne désignée, formée et enregistrée auprès de l'AEPD qui exerce cette fonction pour vous — c'est exactement le service de DPO externe de notre division sœur, Summum Consultoría. Summum Calidad intervient lorsque vous souhaitez que cette fonction, interne ou externe, s'appuie sur un véritable système de management de la protection des données — registre des traitements, procédures et audit — plutôt que sur la seule nomination.

Le processus Délégué à la protection des données (DPO).

Le processus · quatre étapes
01

Diagnostic d'obligation

Nous analysons si votre organisation relève de l'un des cas prévus par l'article 37.1 du RGPD ou l'article 34 de la LOPDGDD, en portant une attention particulière au véritable critère d'« enseignement réglementé » pour les établissements scolaires, plutôt qu'au critère plus restrictif, et souvent mal appliqué, des « données de mineurs ».

02

Positionnement du DPO

Nous définissons si le DPO sera interne ou externe, sa place dans l'organigramme, les ressources dont il disposera, la ligne de reporting direct à la direction et les garanties d'indépendance exigées par l'article 38 du RGPD.

03

Formation et nomination

Formation spécifique au RGPD, à la LOPDGDD et au système de management (ISO 27701/27001), rédaction de la nomination formelle et notification/enregistrement de la désignation auprès de l'AEPD.

04

Intégration au SMSI/PIMS et suivi

Le DPO participe à l'audit interne, à la revue de direction et à l'analyse des risques, avec des preuves documentées de son activité de supervision tout au long de l'année.

Ce qui est inclus

Ce qu'inclut Délégué à la protection des données (DPO).

Le détail opérationnel : ce que nous livrons dans le cadre de la mission et ce que nous maintenons vivant par la suite.

  • Diagnostic d'obligation de désignation

    Analyse motivée au regard de l'article 37.1 du RGPD et de l'article 34 de la LOPDGDD, avec le détail de chaque cas applicable.

  • Définition des missions et garanties d'indépendance

    Les articles 38 et 39 du RGPD documentés au sein du système : reporting direct, absence d'instructions et absence de conflit d'intérêts.

  • Notification et enregistrement du DPO auprès de l'AEPD

    Traitement du formulaire spécifique de l'AEPD et preuve documentaire de la notification.

  • Formation spécifique du DPO

    RGPD, LOPDGDD et système de management ISO 27701/27001, avec mise à jour au fil des évolutions réglementaires.

  • Intégration à l'organigramme du SMSI/PIMS

    Position, ressources et ligne de reporting du DPO documentées au sein du système de management.

  • Participation à l'audit interne et à la revue de direction

    Preuve annuelle de l'activité de supervision du DPO au sein du cycle d'amélioration continue.

Questions fréquentes sur Délégué à la protection des données (DPO).

Quand est-il obligatoire de désigner un délégué à la protection des données ?

L'article 37.1 du RGPD impose de désigner un DPO dans trois cas : lorsque le traitement est effectué par une autorité ou un organisme public (à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle) ; lorsque l'activité de base du responsable ou du sous-traitant consiste en des opérations exigeant un suivi régulier et systématique des personnes concernées à grande échelle ; ou lorsque l'activité de base consiste en un traitement à grande échelle de catégories particulières de données (art. 9 RGPD) ou de données relatives à des condamnations et infractions pénales (art. 10 RGPD). En outre, l'article 34 de la LOPDGDD espagnole étend cette obligation, en Espagne, à des catégories supplémentaires de responsables, indépendamment du respect des critères généraux du RGPD.

Est-ce obligatoire pour tous les établissements scolaires, ou seulement ceux qui traitent des données de mineurs ?

C'est une erreur fréquente de penser que l'obligation dépend du fait que les élèves soient mineurs. Il n'en est rien : l'article 34.1.b) de la LOPDGDD désigne comme entités obligées « les établissements d'enseignement proposant des enseignements réglementés par la Loi organique 2/2006 du 3 mai relative à l'Éducation, ainsi que les universités publiques et privées ». Le critère est que l'enseignement soit réglementé au sens de la LOE, et non l'âge des élèves : cela inclut les écoles maternelles, primaires et secondaires, les centres de formation professionnelle, ainsi que les universités publiques et privées, indépendamment du fait que leurs étudiants soient majeurs.

Le DPO peut-il être un salarié interne, ou doit-il être externe ?

Le RGPD permet les deux options. L'article 37.6 établit que le DPO peut être un membre du personnel du responsable ou du sous-traitant, ou exercer ses missions sur la base d'un contrat de service (DPO externe). Ce qui compte n'est pas sa relation contractuelle, mais qu'il dispose de connaissances spécialisées, qu'il agisse en toute indépendance conformément à l'article 38.3, et qu'il n'exerce pas de fonction créant un conflit d'intérêts — il ne devrait pas, par exemple, être simultanément la personne qui décide des finalités et des moyens du traitement dans le domaine informatique ou marketing.

Que se passe-t-il si mon entreprise n'est pas obligée d'avoir un DPO, mais que je souhaite en désigner un quand même ?

Rien ne l'empêche : l'article 37.4 du RGPD permet de désigner un DPO à titre volontaire même si aucun des cas d'obligation ne s'applique. Une fois désigné volontairement, le DPO reste toutefois soumis aux mêmes exigences et garanties d'indépendance que si sa désignation était obligatoire. C'est une décision fréquente chez les entreprises qui souhaitent envoyer un signal clair de maturité en matière de protection des données à leurs clients et partenaires, même sans y être légalement tenues.

Le DPO est-il personnellement responsable si l'entreprise ne respecte pas le RGPD ?

Non. Le DPO exerce une fonction de conseil et de supervision, et n'est pas le responsable du traitement. La responsabilité du respect du RGPD incombe au responsable ou au sous-traitant — l'organisation elle-même —, conformément au principe de responsabilité de l'article 24 du RGPD. Le DPO informe, conseille et supervise ; il ne prend pas les décisions relatives aux finalités et aux moyens du traitement et ne se substitue pas à la responsabilité juridique de la direction.

Comment la désignation du DPO est-elle notifiée à l'Agence espagnole de protection des données ?

L'article 37.7 du RGPD impose de notifier l'identité et les coordonnées du DPO à l'autorité de contrôle. L'AEPD met à disposition un formulaire de notification spécifique sur son portail électronique ; ces informations doivent être tenues à jour et également publiées de façon facilement accessible aux personnes concernées — généralement au sein de la politique de confidentialité du responsable.