📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 37 du RGPD : Désignation du délégué à la protection des données

Sommaire

Introduction 

L’article 37 du Règlement général sur la protection des données (RGPD) traite de la désignation du Délégué à la Protection des Données (DPO). Il impose au responsable du traitement et au sous-traitant l’obligation de nommer un DPO dans certains cas spécifiques

Explication de l’article 

L’article 37 du RGPD précise les conditions de désignation d’un DPO (Data Protection Officer), aussi appelé DPD (Délégué à la Protection des Données) en français.

La désignation d’un DPO n’est pas systématique. Elle devient obligatoire dans les cas suivants :

  • Le traitement est effectué par une autorité publique ou un organisme public (hors juridictions dans l’exercice de leurs fonctions).
  • Les traitements exigent, par leur nature, leur portée ou leur finalité, un suivi régulier et systématique des personnes à grande échelle.
  • Les traitements portent sur des données sensibles ou relatives à des infractions ou condamnations pénales, également à grande échelle.

Le DPO doit être désigné en fonction de ses compétences professionnelles, de sa connaissance du droit en matière de protection des données et de sa capacité à remplir les missions qui lui incombent. Il n’existe pas de certification obligatoire pour exercer cette fonction.

Le DPO peut être un salarié interne ou un prestataire externe agissant dans le cadre d’un contrat de service.

Une fois désigné, ses coordonnées doivent être publiées et transmises à l’autorité de contrôle (en France, la CNIL).

Il est possible de mutualiser la fonction :

  • Un groupe d’entreprises peut nommer un DPO unique pour plusieurs entités, à condition qu’il reste facilement joignable pour chacune.
  • Les collectivités territoriales ou organismes publics peuvent également partager un DPO, en fonction de leur taille et organisation.

Enfin, même si la désignation n’est pas obligatoire, toute structure peut choisir de nommer un DPO à titre volontaire. Dans ce cas, la déclaration auprès de la CNIL reste facultative.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:

a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;

b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou

c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

2. Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement.

3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.

4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, sont tenus de désigner un délégué à la protection des données.

Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du traitement ou des sous-traitants.

5. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.

6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.

7. Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 18 

(…)

2. Les États membres ne peuvent prévoir de simplification de la notification ou de dérogation à cette obligation que dans les cas et aux conditions suivants:

et/ou

– lorsque le responsable du traitement désigne, conformément au droit national auquel il est soumis, un détaché à la protection des données à caractère personnel chargé notamment:

– d’assurer, d’une manière indépendante, l’application interne des dispositions nationales prises en application de la présente directive,

– de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l’article 21 paragraphe 2,

et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte faux droits et libertés des personnes concernées.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 57

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

En application de l’article 24 du règlement (UE) 2016/679 du 27 avril 2016, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément à ce même règlement et à la présente loi.

Le responsable du traitement et, le cas échéant, son représentant tiennent le registre des activités de traitement dans les conditions prévues à l’article 30 de ce règlement. Ils désignent un délégué à la protection des données dans les conditions prévues par la section 4 du chapitre IV du même règlement.

Analyse des 3 textes qui précèdent 

La désignation obligatoire d’un délégué à la protection des données (DPO) selon l’article 37 du RGPD a été source de débats entre États membres avant l’accord final. La version définitive impose la nomination d’un DPO dans trois cas principaux : traitement par une autorité ou organisme public (hors juridictions judiciaires), traitements impliquant un suivi régulier et systématique à grande échelle des personnes concernées, ou traitement à grande échelle de données sensibles ou relatives à des condamnations pénales. Cette précision est une avancée majeure par rapport à la directive 95/46/CE.

La directive 95/46/CE, dans son article 18, permettait au responsable de désigner un « détaché à la protection des données », avec un but surtout administratif et d’exonération partielle de notification auprès de l’autorité, et non une obligation stricte dans des cas définis comme le RGPD.

En France, la Loi Informatique et Libertés avait institué le statut de Correspondant Informatique et Libertés (CIL) chargé d’assurer de façon indépendante la conformité à la loi, avec des qualifications spécifiques (décret 2005-1309). Ce rôle préfigure largement celui du DPO mais sans cadre aussi structuré et étendu que le RGPD.

Le RGPD améliore la fonction du DPO en précisant ses qualités (compétences spécialisées en protection des données, capacité à effectuer des missions comme la sensibilisation, le contrôle de conformité, la correspondance avec l’autorité). Le DPO peut être salarié ou externe, et sa désignation est également possible pour des associations représentant plusieurs responsables ou sous-traitants.

La finalité est d’assurer une gouvernance renforcée et indépendante, en apportant un interlocuteur expert et référent dans la protection des données au sein des entités concernées. Le RGPD prévoit aussi la publication des coordonnées du DPO et sa communication à l’autorité de contrôle.

En résumé, le RGPD avec l’article 37 institue un cadre beaucoup plus clair, structuré et obligatoire dans certains cas pour la désignation d’un DPO, par rapport à la directive 95/46/CE et à la Loi Informatique et Libertés, répondant à une nécessité accrue de conformité et de protection dans un monde numérique complexe

Jurisprudences 

Européennes 

Affaire Telenor ASA

Sanction de 338,000 euros d’amende 

Cette affaire norvégienne concernant Telenor ASA, sanctionnée en mars 2025, fait référence à l’article 37 du RGPD, notamment au paragraphe 7, qui concerne les obligations relatives au Délégué à la Protection des Données (DPO).

L’infraction mentionne un manquement dans l’organisation du DPO et un défaut de contrôle interne.

Affaire commune di conversano

Sanction de 3,000 euros d’amende 

Cette affaire italienne concerne le Comune di Conversano sanctionné en juillet 2025 pour non-respect de l’article 37, paragraphe 1, du RGPD, relatif à l’obligation de désigner un Délégué à la Protection des Données (DPD ou DPO).

Le Garante per la Protezione dei Dati Personali (autorité italienne de protection des données) a constaté que le Comune n’avait pas communiqué à l’autorité ses données de contact du DPO, ni prouvé sa désignation effective. Malgré un recours ultérieur qui a montré la communication tardive ou partielle de ces données, cette absence initiale a confirmé la violation de l’obligation de désignation prévue à l’article 37, paragraphe 1.

Françaises 

Délibération SAN-2024-009 du 22 juillet 2024

Sanction de 6,900 euros d’amende 

L’affaire portant l’ID ETid-2410 concerne la commune de Kourou en France, sanctionnée en juillet 2024 pour non-respect notamment de l’article 37 du RGPD relatif à la désignation et l’implication du Délégué à la Protection des Données (DPO).

Selon la décision de la CNIL, la commune n’a pas suffisamment impliqué son DPO dans la mise en conformité et la gouvernance des traitements de données personnelles, alors que l’article 37 impose au responsable du traitement de désigner un DPO compétent, indépendant et activement impliqué dans le respect des règles de protection des données. Cette lacune a été jugée comme un manquement grave à l’obligation de gouvernance des données.

Cette sanction montre que la désignation du DPO ne suffit pas en soi ; son rôle doit être effectif, avec une implication réelle dans les processus internes de conformité. 

Recommandations 

CEPD 

Designation and Position of Data Protection Officers (16 January 2024) – (english)

G29 

Lignes directrices concernant les délégués à la protection des données (DPD ou DPO) – wp243rev.01 (5 avril 2017)

CNIL 

Guide pratique: délégués à la protection des données

Référentiel: Certification des compétences du DPO (20 septembre 2018)

Mon Expert RGPD accompagne les entreprises de toutes tailles. Trouvez votre DPO externe dès aujourd’hui.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.