L'article 37 du RGPD définit le délégué à la protection des données comme la personne disposant de connaissances spécialisées en droit et en pratiques de protection des données, qui informe et conseille le responsable ou le sous-traitant, contrôle le respect du Règlement, coopère avec l'autorité de contrôle et fait office de point de contact avec elle. L'article 38.3 exige qu'il exerce ses missions en toute indépendance : il ne peut recevoir d'instructions sur la façon de les exercer, ne peut être relevé de ses fonctions ni pénalisé pour les avoir exercées, et doit rendre compte directement au niveau le plus élevé de la direction. Ce n'est pas une fonction décorative ni un poste ajouté à un organigramme pour cocher une case ; c'est une mission assortie de garanties légales concrètes.
L'obligation de le désigner comporte deux niveaux. L'article 37.1 du RGPD l'impose dans trois cas généraux : lorsque le traitement est effectué par une autorité ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ; lorsque les activités de base du responsable ou du sous-traitant consistent en des opérations qui, de par leur nature, leur portée ou leurs finalités, exigent un suivi régulier et systématique des personnes concernées à grande échelle ; ou lorsque les activités de base consistent en un traitement à grande échelle de catégories particulières de données (art. 9 RGPD) ou de données relatives à des condamnations et infractions pénales (art. 10 RGPD). L'article 34 de la LOPDGDD espagnole étend cette obligation, en Espagne, à une liste supplémentaire de responsables, indépendamment du respect ou non des critères généraux du RGPD : les ordres professionnels, les entités exploitant des réseaux de communications électroniques à grande échelle, les prestataires de services de la société de l'information qui établissent des profils à grande échelle, les entités du secteur financier, de l'assurance et des services d'investissement, les distributeurs d'électricité et de gaz, les entités responsables de fichiers de solvabilité, les entreprises de publicité et de prospection commerciale qui établissent des profils, les établissements de santé légalement tenus de conserver des dossiers médicaux, et — le cas le plus souvent mal interprété — les établissements d'enseignement.
L'erreur la plus fréquente consiste à penser que l'obligation des établissements scolaires dépend du traitement de données de mineurs. Il n'en est rien : l'article 34.1.b) de la LOPDGDD désigne comme entités obligées « les établissements d'enseignement proposant des enseignements réglementés par la Loi organique 2/2006 du 3 mai relative à l'Éducation, ainsi que les universités publiques et privées ». Le critère légal est que l'enseignement soit réglementé au sens de la LOE, et non l'âge des élèves : l'obligation couvre les écoles maternelles, primaires et secondaires, les centres de formation professionnelle, ainsi que les universités publiques et privées, dont les étudiants sont pourtant majoritairement majeurs. C'est l'une des catégories de l'article 34 de la LOPDGDD les plus souvent négligées, précisément à cause de ce malentendu.
Summum Calidad ne traite pas le DPO comme une nomination isolée assortie d'un cachet notarié, mais comme une fonction intégrée au système de management de la sécurité de l'information et, lorsqu'il existe, au PIMS de confidentialité de l'ISO/IEC 27701:2025. Cela signifie définir sa position dans l'organigramme, documenter ses responsabilités comme l'exige la norme elle-même, garantir qu'il dispose des ressources nécessaires à l'exercice de sa mission, assurer la ligne de reporting direct à la direction imposée par l'article 38.3 du RGPD, et l'associer à l'analyse des risques, à l'audit interne et à la revue de direction du système. Un DPO sans système de management derrière lui a peu de choses à superviser ; un DPO intégré au SMSI/PIMS cesse d'être une figure réactive pour devenir un acteur du cycle d'amélioration continue.
La formation spécifique compte tout autant que le positionnement organisationnel. Le DPO doit connaître en profondeur le RGPD, la LOPDGDD et le système de management sur lequel il s'appuie, et actualiser ces connaissances au fil de l'évolution réglementaire. Il est tout aussi important d'éviter le conflit d'intérêts : l'article 38.6 du RGPD, lu conjointement avec le principe d'indépendance de l'article 38.3, rend la fonction de DPO incompatible avec tout poste déterminant les finalités et les moyens du traitement des données — il ne devrait pas, par exemple, être simultanément la personne qui décide des outils marketing ou informatiques déployés. Nous documentons également ces garanties au sein du système, ainsi que la nomination formelle et sa notification à l'AEPD.
Si votre entreprise a besoin précisément du service de DPO externe pur — la personne désignée, formée et enregistrée auprès de l'AEPD qui exerce cette fonction pour vous — c'est exactement le service de DPO externe de notre division sœur, Summum Consultoría. Summum Calidad intervient lorsque vous souhaitez que cette fonction, interne ou externe, s'appuie sur un véritable système de management de la protection des données — registre des traitements, procédures et audit — plutôt que sur la seule nomination.