DPO obligatoire ou pas : tout savoir sur cette fonction clé du RGPD (2026)

La question « mon entreprise doit-elle désigner un DPO ? » arrive régulièrement dans les cabinets d'expertise-comptable, souvent mélangée à une autre : « si je n'en désigne pas un, est-ce risqué ? ». La réponse n'est pas identique pour les deux. Le RGPD (règlement UE 2016/679) pose des critères d'obligation clairs à l'article 37, mais laisse une large zone grise où la désignation reste facultative tout en étant fortement conseillée par la CNIL. En 2026, avec la généralisation des outils SaaS, de l'IA et des plateformes marketing, cette zone grise s'élargit pour de nombreuses PME.

Ce qui a changé depuis les premières années d'application du RGPD, c'est moins la règle que la réalité des traitements. Une PME de vingt salariés qui utilise un CRM, un outil d'emailing, une solution RH en cloud, et qui commence à intégrer de l'IA dans ses processus commerciaux, traite davantage de données personnelles qu'une entreprise industrielle de deux cents personnes dont les traitements restent internes et peu sensibles. Le raisonnement par effectif est donc systématiquement trompeur.

En bref : le DPO est obligatoire pour les autorités publiques, pour les organismes dont l'activité de base repose sur un suivi régulier et systématique des personnes à grande échelle, et pour les traitements à grande échelle de données sensibles (santé, biométrie, opinions, etc.). Hors de ces trois cas, la désignation est facultative mais souvent pertinente. Il n'existe aucun seuil en nombre de salariés.

L'article 37 du RGPD identifie trois situations qui déclenchent l'obligation, indépendamment de la taille ou du statut juridique de l'organisme.

Cas 1 — Autorité ou organisme public. Toute autorité publique ou tout organisme public doit désigner un DPO. Cela couvre les collectivités territoriales, les établissements publics, les agences d'État et, en règle générale, les entités investies d'une mission de service public.

Cas 2 — Suivi régulier et systématique à grande échelle. L'obligation s'applique lorsque l'activité de base de l'organisme — c'est-à-dire son cœur de métier, pas une activité accessoire — consiste à observer, surveiller, profiler ou suivre des personnes de façon régulière et systématique. Le critère de « grande échelle » renvoie au volume de personnes concernées, à la portée géographique, à la durée et à l'étendue du traitement. Exemples typiques : une plateforme de ciblage publicitaire, une application de géolocalisation, un opérateur télécom qui analyse les comportements d'usage.

Cas 3 — Traitement à grande échelle de données sensibles ou de données relatives à des condamnations. Les données visées sont celles de l'article 9 du RGPD (santé, biométrie, données génétiques, opinions politiques, convictions religieuses, origine raciale ou ethnique, vie ou orientation sexuelle) et celles de l'article 10 (condamnations pénales, infractions). Une clinique, une mutuelle, un laboratoire d'analyses, un opérateur biométrique ou une structure qui gère des casiers judiciaires dans le cadre d'un contrôle d'accès sont directement concernés.

Une confusion persistante : beaucoup de dirigeants pensent que l'obligation de désigner un DPO est liée au seuil d'effectif, comme d'autres obligations légales en droit du travail. Ce n'est pas le cas. La CNIL est explicite : ce sont la nature des traitements, leur échelle et leur sensibilité qui comptent. Pas le nombre de salariés.

Une TPE de huit personnes qui développe une application de bien-être avec données de santé peut être soumise à l'obligation. Une ETI de quatre cents salariés qui gère une activité logistique classique avec des traitements RH et commerciaux standards peut ne pas l'être formellement — même si la prudence recommande d'aller au-delà du minimum légal.

Notre lecture (voix cabinet). Sur les dossiers que nous accompagnons, la confusion la plus fréquente concerne les start-ups en phase de croissance. À quinze ou vingt salariés, le dirigeant estime que son entreprise est « trop petite » pour être concernée. Or, dès lors que le modèle économique repose sur la collecte et l'exploitation de données utilisateurs — et que cette base commence à compter des dizaines de milliers de profils — les critères de l'article 37 peuvent être remplis sans que personne n'ait formalisé l'analyse. Le problème est qu'en cas de contrôle, l'absence de documentation de cette analyse est elle-même un manquement.

Avant de conclure que votre structure n'est pas concernée — ou qu'elle l'est —, documentez l'analyse. Voici la méthode recommandée.

1. Cartographier vos traitements réels. Listez l'ensemble des flux de données personnelles : clients, prospects, RH, sous-traitants, outils SaaS. Ne raisonnez pas sur vos contrats mais sur ce que vous faites concrètement.
2. Qualifier la nature des données. Parmi les données que vous traitez, certaines relèvent-elles de l'article 9 ou de l'article 10 du RGPD ? Si oui, évaluez l'échelle du traitement.
3. Évaluer l'intensité et la régularité du suivi. Votre activité consiste-t-elle, en tout ou partie, à observer, profiler ou suivre des personnes ? Est-ce un suivi passif ou actif, ponctuel ou continu ?
4. Estimer l'échelle. Combien de personnes sont concernées ? Sur quelle durée ? Dans quelle zone géographique ? Un traitement touchant plusieurs milliers de personnes de façon continue pèse différemment qu'un traitement ponctuel sur une centaine de dossiers.
5. Documenter la conclusion et la revoir chaque année. Que vous concluiez à l'obligation ou à son absence, formalisez le raisonnement par écrit. En cas de contrôle CNIL, cette documentation prouve votre démarche de conformité. Révisez-la à chaque changement significatif d'outil, de traitement ou d'activité.

Le rôle du DPO est défini à l'article 39 du RGPD. Ce n'est pas un poste formel ou un titre honorifique : c'est une fonction opérationnelle avec des responsabilités précises.

Le DPO doit exercer ses missions en toute indépendance : il ne peut pas être sanctionné pour les avis qu'il rend, et ses coordonnées doivent être communiquées à la CNIL et publiées (sur le site ou dans les mentions légales). Il doit être rattaché au plus haut niveau hiérarchique de l'organisme et disposer de moyens suffisants pour exercer sa mission.

Le RGPD laisse une liberté totale sur la forme. En 2026, la plupart des PME qui doivent désigner un DPO optent pour une solution externe ou mutualisée, pour des raisons à la fois économiques et pratiques.

Un ordre de grandeur indicatif (à vérifier selon le marché). Le recours à un DPO externe mutualisé pour une PME représente généralement une fourchette comprise entre quelques milliers et une dizaine de milliers d'euros par an, selon le nombre de traitements à couvrir, la fréquence des missions et le niveau de maturité RGPD de la structure. Ce coût est sans commune mesure avec les sanctions applicables en cas de manquement grave.

Notre lecture (voix cabinet). Parmi les dossiers PME que nous suivons, la solution DPO externe est souvent la plus adaptée pour les structures de dix à cent salariés. L'enjeu n'est pas uniquement de cocher une case réglementaire : c'est de disposer d'un interlocuteur capable de répondre concrètement quand un fournisseur SaaS modifie ses conditions, quand un salarié fait une demande de droit d'accès, ou quand un prospect pose des questions sur la sécurité des données dans un appel d'offres. La valeur d'un bon DPO externe se mesure autant dans ces situations ordinaires que dans la gestion des incidents.

Nombreuses sont les entreprises qui n'entrent dans aucun des trois cas d'obligation mais pour lesquelles l'absence de DPO crée un risque opérationnel réel.

La CNIL recommande explicitement la désignation dans les cas où l'entreprise :

• utilise un CRM, des outils d'automation ou de scoring commercial ;
• intègre des outils d'IA, de vidéosurveillance ou de géolocalisation dans son activité ;
• traite des données de santé ou des données sensibles même sans atteindre le seuil de « grande échelle » ;
• sous-traite des flux de données à des tiers (cloud, plateformes marketing, éditeurs SaaS) ;
• est soumise à des audits clients ou à des questionnaires de sécurité réguliers dans ses appels d'offres ;
• veut pouvoir répondre rapidement à la CNIL en cas d'incident ou de contrôle.

Dans ces situations, un DPO — même sans obligation légale — remplit une fonction de pilotage de la conformité que les équipes internes ne peuvent pas assurer seules, faute de temps, d'expertise ou d'indépendance.

L'absence de désignation d'un DPO lorsqu'elle est requise constitue un manquement au RGPD. En vertu de l'article 83, paragraphe 4, ce manquement est passible d'une amende administrative pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu).

Pour les manquements les plus graves — violation des principes fondamentaux, traitement illicite, violation des droits des personnes — le plafond monte à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (article 83, paragraphe 5).

En pratique, les sanctions CNIL prononcées en France au titre du RGPD se situent sur une plage très large selon la taille et la nature du manquement. Les grandes entreprises ont fait l'objet de sanctions de plusieurs dizaines de millions d'euros. Pour les PME, les sanctions sont généralement inférieures, mais elles peuvent s'accompagner d'injonctions de mise en conformité et d'une mise en demeure publique. Le coût réputationnel d'une mise en demeure publiée par la CNIL est souvent supérieur au montant de l'amende pour les structures qui travaillent en B2B.

Le risque sous-estimé. Au-delà des sanctions financières, l'absence de DPO se traduit souvent par une incapacité à répondre à des obligations connexes : absence de registre des traitements, AIPD non réalisées, contrats sous-traitants non conformes. Lors d'un contrôle, c'est l'ensemble de la chaîne de conformité qui est examinée.

• Raisonner uniquement par effectif ou par chiffre d'affaires sans analyser les traitements réels.
• Confondre le DPO avec le responsable informatique ou le RSSI : ce sont des fonctions distinctes avec des missions différentes.
• Nommer un DPO interne sans lui donner les moyens, l'accès aux informations et l'indépendance nécessaires.
• Ne pas communiquer les coordonnées du DPO à la CNIL et ne pas les publier.
• Créer un conflit d'intérêts en confiant la fonction DPO à une personne qui décide des finalités ou des moyens principaux des traitements.
• Penser qu'un logiciel de conformité RGPD remplace la gouvernance humaine et l'analyse de fond.
• Ne pas documenter la décision de ne pas désigner de DPO lorsque l'obligation n'est pas remplie.

Lors de ses contrôles, la CNIL vérifie en premier lieu l'existence et la qualité du registre des traitements, la désignation éventuelle d'un DPO et ses moyens d'action, la conformité des contrats avec les sous-traitants (notamment les clauses de traitement des données), la gestion des droits des personnes, et la traçabilité des incidents. L'absence de DPO obligatoire est un signal d'alerte immédiat sur la maturité de la gouvernance données.

Pour approfondir la dimension numérique et IA, voir IA comptable : automatiser sans renoncer à l'expertise et Expert-comptable digital. Sur la gouvernance des outils et des données commerciales, voir aussi Comment un expert-comptable indépendant peut-il tirer profit d'un CRM ?.

Notre cabinet accompagne les PME et start-ups sur leur structuration juridique et leur conformité dans le cadre de missions conseil juridique et transformation digitale.

Cet article constitue une information générale sur les critères du RGPD. La question de l'obligation de désigner un DPO dépend de la nature précise de vos traitements, de votre activité et de votre situation au moment de l'analyse. Il ne remplace pas un conseil juridique adapté à votre dossier. Pour toute décision de conformité, consultez un professionnel qualifié ou votre conseil juridique habituel.