Délégué à la Protection des Données (DPO/DPD)

1. Une mission, pas un grade Le DPO peut être interne (salarié) ou externe (prestataire mutualisé). Il rapporte au plus haut niveau de l'organisation et agit en toute INDÉPENDANCE — aucune sanction pour ses avis.

2. Obligatoire dans 3 cas Le RGPD l'impose dans 3 cas. Toute autorité ou organisme public en désigne un. Idem pour les acteurs dont l'activité de base implique un SUIVI à grande échelle. Idem pour un traitement à grande échelle de données SENSIBLES (santé, opinions...).

3. Quatre missions clés Deux missions internes : INFORMER et conseiller la direction et les salariés, CONTRÔLER le respect du RGPD. Deux missions externes : COOPÉRER avec la CNIL (point de contact), CONSEILLER sur l'analyse d'impact (DPIA). Il tient aussi à jour le registre des traitements.

4. Pourquoi un DPO ? Une organisation traite des centaines de données quotidiennement (paye, clients, vidéosurveillance). Le DPO est le garde-fou interne qui évite les sanctions de la CNIL (jusqu'à 20 M€ ou 4 % du CA mondial).

5. Pièges courants À ne pas confondre : DPO (juridique + RGPD, conseille) ≠ RSSI (technique, sécurise le SI) ≠ CIL (ancien correspondant, supprimé par le RGPD en 2018). Le DPO n'est pas le DSI, et il ne décide pas, il alerte.