Article 38 du RGPD : Fonction du délégué à la protection des données
Sommaire
Introduction
L’article 38 du RGPD définit les conditions d’exercice du délégué à la protection des données (DPO) au sein des organisations. Il consacre son indépendance et son accès direct à la direction, tout en précisant les garanties nécessaires pour qu’il puisse accomplir ses missions sans conflit d’intérêts.
Explication de l’article
L’article 38 du RGPD encadre les conditions d’exercice du délégué à la protection des données (DPD ou DPO). Il précise les garanties dont celui-ci doit bénéficier pour exercer ses missions de manière indépendante et efficace.
Le DPO doit être associé à toutes les questions liées à la protection des données personnelles dès les premières étapes des projets. Il doit disposer des ressources suffisantes (temps, budget, accès à l’information, appui d’une équipe, etc.) pour remplir son rôle.
Il ne peut recevoir aucune instruction concernant l’exécution de ses missions, que ce soit de la part du responsable de traitement ou du sous-traitant. Il doit pouvoir rendre compte directement à la direction, sans pression hiérarchique intermédiaire.
Le DPO doit être facilement accessible par les personnes concernées, notamment pour toute question relative à l’exercice de leurs droits (accès, rectification, opposition, etc.).
Il est également soumis au secret professionnel ou à une obligation de confidentialité dans le cadre de ses fonctions.
Enfin, s’il cumule d’autres fonctions au sein de l’organisation, le responsable de traitement ou le sous-traitant doit veiller à éviter toute situation de conflit d’intérêts.
Texte original du RGPD
1. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
2. Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d’entretenir ses connaissances spécialisées.
3. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.
4. Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le présent règlement.
5. Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres.
6. Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts.
Équivalent directive 95/45 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
Article 18
2. Les États membres ne peuvent prévoir de simplification de la notification ou de dérogation à cette obligation que dans les cas et aux conditions suivants:
– lorsque, pour les catégories de traitement qui, compte tenu des données à traiter, ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, ils précisent les finalités des traitements, les données ou catégories de données traitées, la ou les catégories de personnes concernées, les destinataires ou catégories de destinataires auxquels les données sont communiquées et la durée de conservation des données
et/ou
– lorsque le responsable du traitement désigne, conformément au droit national auquel il est soumis, un détaché à la protection des données à caractère personnel chargé notamment:
– d’assurer, d’une manière indépendante, l’application interne des dispositions nationales prises en application de la présente directive,
– de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l’article 21 paragraphe 2,
et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte faux droits et libertés des personnes concernées.
Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)
Article 57
Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018
En application de l’article 24 du règlement (UE) 2016/679 du 27 avril 2016, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément à ce même règlement et à la présente loi.
Le responsable du traitement et, le cas échéant, son représentant tiennent le registre des activités de traitement dans les conditions prévues à l’article 30 de ce règlement. Ils désignent un délégué à la protection des données dans les conditions prévues par la section 4 du chapitre IV du même règlement.
Analyse des 3 textes qui précèdent
Le RGPD pose un cadre détaillé et renforcé pour les fonctions du DPO. Il impose que le DPO soit associé en temps utile et de manière appropriée à toutes les questions relatives à la protection des données. Le responsable du traitement ou le sous-traitant doit mettre à disposition les ressources nécessaires au DPO, garantir son indépendance sans instruction ni sanction possible, assurer l’accès aux données et traitements, et préserver la confidentialité. Il prévoit aussi la possibilité pour les personnes concernées de contacter directement le DPO et encadre les possibles missions supplémentaires, en évitant tout conflit d’intérêts. L’article 38 représente une avancée normative majeure visant à garantir l’efficacité, l’indépendance et le rôle stratégique du DPO.
La directive 95/46 CE, document antérieur au RGPD, était plus succincte et moins précise quant aux fonctions du délégué. L’article 18 indiquait principalement que la mission du délégué était de veiller de manière indépendante à ce que les traitements de données ne portent pas atteinte aux droits et libertés des personnes, en assurant la conformité aux règles nationales transposant la directive. La directive soulignait un rôle de surveillance mais sans détailler les conditions d’indépendance, d’attribution des ressources, ni la relation directe avec la direction. La tenue d’un registre des traitements était une de ses missions concrètes mentionnées, ce qui reste une obligation dans le RGPD par ailleurs.
La Loi Informatique et Libertés, avant la mise en œuvre du RGPD, était relativement minimaliste sur le sujet. Elle imposait simplement la nomination d’un DPO pour certains responsables de traitement. Elle ne précisait ni ses fonctions, ni ses modalités de travail, ni son cadre d’indépendance ou d’association aux traitements, laissant une marge d’interprétation et une application variable. Cette absence de cadre précis reflétait une approche plus souple mais aussi moins contraignante comparée au RGPD
Jurisprudences
Européennes
Affaire Pologne (McDonald’s Polska) (2025-07-21)
Sanction de 3,955,000 euros d’amende
Dans cette affaire, McDonald’s Polska reçoit une lourde amende (de l’ordre de 3,955 millions d’euros) pour plusieurs infractions RGPD, dont le non-respect explicite de l’article 38(1). L’enquête a révélé que le DPO n’avait pas été impliqué dans les processus clés tels que la sélection du sous-traitant, l’évaluation des risques ou les procédures de notification de violation. Ce manquement à l’obligation de faire participer le DPO dans la gouvernance des traitements a été considéré comme un facteur aggravant. L’article 38 impose en effet que le DPO soit consulté pour les questions relatives à la protection des données et bénéficie de conditions de travail appropriées pour exercer ses missions. Le cas souligne l’importance d’intégrer le DPO dans le contrôle interne et la conformité au RGPD
Françaises
Affaire FRANCE (Samaritaine SAS) (2025-09-18)
Sanction de 100,000 euros d’amende
L’affaire concerne une amende de 100 000 euros infligée par la CNIL à la société Samaritaine SAS pour la dissimulation de caméras et plusieurs non-conformités RGPD, notamment relatives à l’article 38(1). Bien que l’article 38 précise surtout le rôle du DPO, le manquement constaté ici porte notamment sur l’insuffisance de la gouvernance interne et la non-application des principes de protection des données par l’entreprise, ce qui inclut indirectement le rôle du DPO dans le pilotage et le suivi des mesures de conformité. L’amende sanctionne une gouvernance défaillante où le DPO n’a visiblement pas joué son rôle en amont ou en contrôle. La CNIL rappelle que le DPO doit pouvoir alerter et conseiller efficacement sur les traitements à risque
Recommandations
CEPD
Designation and Position of Data Protection Officers (16 January 2024) – (english)
G29
CNIL
Guide pratique: délégués à la protection des données
Référentiel: Certification des compétences du DPO (20 septembre 2018)
Le RGPD peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne de A à Z.