DPO obligatoire : cas, missions et risques en 2026

Mise à jour du 5 avril 2026 - Le DPO n'est pas obligatoire pour toutes les structures. Le RGPD impose sa désignation dans certains cas précis, mais dans beaucoup d'entreprises la vraie question est plutôt : vos traitements de données sont-ils suffisants pour rendre un DPO obligatoire, ou simplement utile ? En 2026, il faut raisonner par nature des traitements, échelle, sensibilité des données et niveau de pilotage interne.

Le DPO est obligatoire si votre organisme est une autorité ou un organisme public, si votre activité de base implique un suivi régulier et systématique des personnes à grande échelle, ou si vous traitez à grande échelle des données sensibles, des données de santé ou des données relatives à des condamnations et infractions. Hors de ces cas, le DPO reste facultatif, mais souvent pertinent.

L'article 37 du RGPD vise trois grandes familles de situations. La CNIL rappelle qu'il ne faut pas raisonner uniquement par nombre de salariés : une petite structure peut être concernée si son cœur d'activité repose sur des traitements à forte intensité de données.

1. Les autorites et organismes publics#

Les autorités publiques et la plupart des organismes publics doivent désigner un DPO. Cela couvre, par exemple, une mairie, un établissement public, une agence publique ou un organisme chargé d'une mission de service public qui traite des données personnelles dans le cadre de sa mission.

2. Les traitements dont l'activité de base repose sur un suivi régulier et systématique#

Le DPO devient obligatoire lorsque l'activité principale de l'organisme consiste à suivre des personnes de façon régulière et systématique à grande échelle. On pense ici à des activités où la collecte et l'analyse de données sont au cœur du modèle économique : profilage, mesure comportementale, géolocalisation permanente, ciblage publicitaire très structuré, ou exploitation de données clients à grande échelle.

3. Les traitements à grande échelle de données sensibles#

Le RGPD vise aussi les traitements à grande échelle de catégories particulières de données, comme les données de santé, les données biométriques, les opinions politiques, les croyances religieuses, l'origine raciale ou ethnique, ou encore les données relatives aux condamnations et infractions.

Tableau de lecture rapide#

Une erreur fréquente consiste à croire que seul le nombre de salariés déclenche l'obligation. En pratique, la taille aide à estimer l'ampleur du traitement, mais elle ne dit pas tout. Une petite structure peut être très exposée si elle traite des données sensibles, suit ses utilisateurs en continu ou base son activité sur l'analyse de comportements.

Inversement, une entreprise de taille moyenne peut très bien fonctionner sans DPO obligatoire si ses traitements sont plus classiques : gestion commerciale, paie, comptabilité, suivi fournisseurs, relation clients et marketing non intrusif.

Conseil Hayot Expertise : la bonne question n'est pas seulement « combien de personnes ont accès aux données ? » mais « quelle est la place des données dans le modèle d'affaires et dans les outils utilisés au quotidien ? ».

Pour trancher, il faut analyser le traitement dans son ensemble. La CNIL et le RGPD regardent notamment :

• la nature de l'activité ;
• la fréquence des traitements ;
• le nombre de personnes concernées ;
• le volume de données ;
• la durée de conservation ;
• la sensibilité des données ;
• le recours à des sous-traitants et à des outils SaaS ;
• le risque pour les droits et libertés des personnes.

Les bonnes questions à se poser#

1. Vos données sont-elles sensibles ou quasi sensibles ? 2. Votre cœur d'activité repose-t-il sur le suivi ou le profilage des personnes ? 3. Avez-vous beaucoup de données RH, santé, clients ou patients ? 4. Utilisez-vous plusieurs outils connectés qui croisent les informations ? 5. Êtes-vous capable de prouver votre conformité en cas de contrôle ?

Si une ou plusieurs réponses sont inquiétantes, il faut documenter l'analyse et envisager un DPO, interne ou externe, même si la désignation n'est pas imposée de façon automatique.

Le DPO n'est pas seulement un « référent RGPD ». Son rôle est précis et utile au quotidien. Il doit :

• informer et conseiller le responsable de traitement et les employés ;
• vérifier le respect du RGPD et des règles internes ;
• sensibiliser les équipes ;
• participer à l'analyse d'impact quand elle est nécessaire ;
• servir de point de contact avec la CNIL et avec les personnes concernées ;
• aider à structurer les registres, les procédures, les mentions et la gestion des incidents.

Le DPO doit aussi rester indépendant dans l'exercice de sa mission. En pratique, il ne devrait pas se retrouver juge et partie, par exemple en validant lui-même les finalités ou les moyens principaux des traitements dont il contrôle ensuite la conformité.

Le RGPD n'impose pas que le DPO soit salarié. En 2026, beaucoup de PME et de groupes préfèrent une solution externe ou mutualisée.

Le bon choix dépend de votre maturité RGPD, du volume de données traitées et de votre capacité à maintenir une gouvernance durable.

Beaucoup d'entreprises n'ont pas l'obligation formelle de désigner un DPO, mais gagnent clairement à le faire. C'est souvent le cas lorsque :

• l'entreprise utilise un CRM, des outils d'automation ou de scoring ;
• les RH manipulent beaucoup de données personnelles ;
• l'activité implique des données clients sensibles ou récurrentes ;
• la société utilise de l'IA, de la vidéosurveillance ou du géotracking ;
• plusieurs sous-traitants interviennent sur les mêmes flux de données ;
• la direction veut pouvoir répondre vite à la CNIL, à un client ou à un audit.

Dans ces contextes, le DPO agit comme un pilote de confiance. Il ne remplace pas la direction, mais il structure les décisions, limite les angles morts et évite de découvrir les problèmes trop tard.

Avant de désigner un DPO, ou de ne pas le faire, gardez quatre réflexes :

• cartographier les traitements réels ;
• identifier les données sensibles ou les usages à risque ;
• vérifier qui décide vraiment des finalités et des moyens ;
• documenter votre analyse et la revoir chaque année.

En 2026, cette révision périodique est essentielle : nouveaux outils, IA générative, plateformes marketing et sous-traitants multiplient vite les points d'attention.

• raisonner uniquement par effectif ;
• confondre DPO et responsable informatique ;
• nommer un DPO sans lui donner de moyens ;
• oublier de documenter l'analyse de l'obligation ;
• créer un conflit d'intérêts en confiant le DPO à une personne qui décide déjà des finalités du traitement ;
• croire qu'un logiciel RGPD remplace la gouvernance humaine.

Le DPO obligatoire ou pas ne se décide pas au feeling. En 2026, la bonne méthode consiste à partir de vos traitements réels, à vérifier les critères du RGPD et à documenter votre choix. Si l'obligation est remplie, il faut désigner un DPO avec de vrais moyens. Sinon, un DPO externe ou une gouvernance RGPD plus simple peut rester une excellente option.

Pour compléter, voyez IA comptable : automatiser sans renoncer à l'expertise, Comment un expert-comptable indépendant peut-il tirer profit d'un CRM ? et Expert-comptable digital.

(Sources officielles : RGPD - EUR-Lex, CNIL - désignation d'un DPO, CNIL - guide pratique des DPO)