ángelortega · aoc

Protection des données · article

DPO (Délégué à la Protection des Données) : obligation et fonctions

Conseil independant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y Leon) pour toute l'Espagne.

Conseil indépendant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y León) pour toute l'Espagne.

Publié le 2026-05-06 · Mis à jour le 2026-05-21 · Aranda de Duero · Espagne

Le DPO (Délégué à la Protection des Données) est obligatoire pour les administrations publiques, pour les traitements à grande échelle de données sensibles et pour la surveillance systématique, selon l'article 37 du RGPD.

La figure du DPO (Délégué à la Protection des Données) est l'une des innovations majeures du RGPD. Obligatoire dans de nombreux contextes et précisée par la LOPDGDD en Espagne, sa désignation engage l'organisation et ses dirigeants. Ce guide complet présente les cas où le DPO est obligatoire, ses fonctions, son statut, son profil et les coûts réels en Espagne.

TL;DR · résumé
  • Qu'est-ce qu'un DPO ?
  • Quand le DPO est-il obligatoire ?
  • Fonctions principales du DPO
  • Indépendance et statut

Qu'est-ce qu'un DPO ?

Le DPO (Délégué à la Protection des Données) est la figure définie par les articles 37 à 39 du RGPD pour veiller au respect de la réglementation sur les données personnelles dans l'organisation. En Espagne, la LOPDGDD (loi organique 3/2018) précise les cas où sa désignation est obligatoire et impose son enregistrement auprès de l'AEPD (Agencia Española de Protección de Datos).

Le DPO informe, conseille, surveille la conformité au RGPD, coopère avec l'autorité de contrôle et sert de point de contact pour les personnes concernées. Il ne décide pas des traitements mais éclaire la décision et alerte sur les risques.

Quand le DPO est-il obligatoire ?

Le RGPD impose la désignation d'un DPO dans trois cas : autorités publiques et organismes publics (à l'exception des juridictions dans l'exercice de leur fonction juridictionnelle), organisations dont l'activité de base consiste en un suivi régulier et systématique à grande échelle de personnes, et organisations dont l'activité de base implique le traitement à grande échelle de données sensibles (santé, biométrie, données pénales).

La LOPDGDD ajoute en Espagne d'autres cas obligatoires : ordres professionnels, centres éducatifs, établissements financiers, prestataires de communications électroniques, opérateurs de jeux, distributeurs et fournisseurs d'énergie, et entreprises de sécurité privée, parmi d'autres.

Fonctions principales du DPO

Les fonctions du DPO sont fixées à l'article 39 du RGPD. Informer et conseiller le responsable du traitement et les employés sur leurs obligations. Surveiller la conformité au RGPD et aux politiques internes. Conseiller sur l'analyse d'impact relative à la protection des données (AIPD/DPIA) et en vérifier l'exécution. Coopérer avec l'AEPD et servir de point de contact pour les personnes concernées.

Au-delà du texte, le DPO doit construire et maintenir le registre des activités de traitement, animer le programme de sensibilisation et coordonner la réponse en cas de violation de données personnelles.

Indépendance et statut

L'indépendance est l'attribut central du DPO. L'article 38 du RGPD interdit toute instruction qui compromettrait son jugement. Le DPO ne peut être sanctionné ni licencié pour avoir exercé ses missions. Il rend compte directement au plus haut niveau de la direction.

Le DPO ne peut occuper aucun poste qui définirait les finalités et les moyens des traitements : direction informatique, marketing, RH ou direction générale créent un conflit d'intérêts incompatible avec la fonction.

Profil professionnel et compétences

Le DPO doit posséder des connaissances spécialisées en droit et en pratiques de la protection des données. La LOPDGDD reconnaît la certification AEPD (Schéma de certification de DPD) comme preuve de qualification. Les compétences attendues couvrent quatre axes : juridique (RGPD, LOPDGDD, jurisprudence), technique (sécurité de l'information, méthodologies d'AIPD), métier (compréhension des activités de l'organisation) et relationnel (capacité de pédagogie et de négociation).

L'expérience pratique en projets de mise en conformité, en gestion d'incidents et en relation avec les autorités fait souvent la différence entre un DPO efficace et un DPO formel.

DPO interne ou externe ?

Le RGPD admet les deux modalités. Un DPO interne convient aux organisations de taille suffisante pour justifier un poste à temps plein, avec une bonne connaissance du contexte. Un DPO externe convient aux PME, aux groupes mutualisant la fonction ou aux organisations cherchant l'indépendance maximale et l'expertise diversifiée.

Le coût d'un DPO externe en Espagne se situe habituellement entre 8.000 € et 35.000 € par an selon la taille de l'organisation, la sensibilité des traitements et l'intensité du service (visites, formations, gestion d'incidents).

Relation avec l'AEPD

La désignation du DPO doit être communiquée à l'AEPD via la procédure officielle. Le DPO devient point de contact pour les inspections, les demandes d'information et la coopération en cas d'incident. La qualité de cette relation influence directement la capacité de l'organisation à anticiper et à éviter les sanctions.

L'AEPD publie des guides et des critères dont la veille fait partie des obligations du DPO. Ignorer ces publications expose l'organisation à des positions désuètes lors des contrôles.

Sanctions en cas de manquement

L'absence de DPO lorsqu'il est obligatoire constitue une infraction sanctionnable par l'AEPD. Les sanctions du RGPD peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel. La LOPDGDD précise les sanctions applicables aux infractions liées à la figure du DPO et à son indépendance.

Au-delà de la sanction directe, un défaut de DPO accentue toutes les autres sanctions, l'AEPD considérant l'absence comme une circonstance aggravante.

Erreurs fréquentes des organisations

La première erreur est de désigner un DPO de pure forme, sans temps ni autorité. La deuxième erreur est d'attribuer le rôle à une personne en conflit d'intérêts (direction informatique, RH, marketing). La troisième erreur est de ne pas équiper le DPO d'outils, de budget ni de formation continue. Ces trois erreurs convergent vers le même résultat : sanction et perte de confiance lors d'un incident.

Vous avez besoin d'un DPO externe ou de structurer le rôle en interne ? Contactez-moi pour évaluer l'obligation, le périmètre et le modèle adapté à votre organisation.

Auteur : Ángel Ortega Castro · consultant indépendant en stratégie, qualité et numérisation pour PME.

Poursuivez votre lecture sur Protection des données

Besoin d'aide sur ce sujet ?

Travaillez avec moi sur la conformité RGPD

Conseil sur mesure en protection des données et fonction de DPO. Première session sans frais.

Réserver une session →

Foire aux questions

Comment cela s'applique a ma PME ?

Cela s'applique si vous traitez des clients ou des données espagnols; le cadre est obligatoire au-dela de seuils que nous resumons dans le tableau.

Quel est le coût en 2026 ?

Fourchettes indicatives pour les PME de 10-50 salariés : 2 500-12 000 EUR pour la documentation + honoraires d'audit AENOR / BV / SGS / LRQA.

Quelle réglementation espagnole s'applique ?

BOE reference RD 311/2022 (ENS), Reglement UE 2016/679 (RGPD), LOPDGDD, NIS2, DORA et le reglement IA 2024/1689 selon le périmètre.

Combien de temps prend la mise en oeuvre ?

En moyenne 4-7 mois pour une seule norme ISO. Un SGI intégré (9001+14001+27001) prend habituellement 8-12 mois.

Peut-on cofinancer via Kit Digital ou Kit Consulting ?

Oui, Kit Consulting 2026 couvre jusqu'à 24 000 EUR d'heures-conseil; Kit Digital couvre les outils (CRM, ERP, cybersécurité) jusqu'à 29 000 EUR.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro