La désignation d'un Délégué à la Protection des Données (DPO) est une obligation du RGPD. Notre service de protection des données prend en charge la désignation et les fonctions du DPO. pour certaines catégories d'organisations. Pour beaucoup d'entreprises espagnoles, la question n'est pas de savoir si elles doivent désigner un DPO, mais si elles doivent le faire et si l'externalisation du DPO est la meilleure option. Ce guide clarifie les critères légaux et pratiques.
Les trois situations d’obligation légale
L’article 37 du RGPD impose la désignation d’un DPO dans trois situations cumulativement bien délimitées :
Situation 1 : organismes publics
Toute autorité publique ou tout organisme public est tenu de désigner un DPO, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle. En Espagne, cela comprend toutes les administrations publiques, les organismes autonomes et les entités de droit public.
Situation 2 : suivi régulier et systématique à grande échelle
La désignation est obligatoire lorsque les activités principales du responsable ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées.
Les notions clés à interpréter sont « activités principales » (l’activité principale de l’organisation, non pas une activité accessoire), « grande échelle » (nombre important de personnes concernées, volume significatif de données, durée étendue) et « suivi régulier et systématique » (observation, profilage, surveillance continue).
Exemples typiques en Espagne : plateformes de commerce en ligne qui analysent les comportements d’achat, opérateurs téléphoniques, réseaux sociaux, sociétés d’assurance qui analysent les données de conduite via des objets connectés, systèmes de vidéosurveillance à grande échelle, applications de santé et de bien-être.
Situation 3 : traitement à grande échelle de données sensibles
La désignation est obligatoire lorsque les activités principales consistent en un traitement à grande échelle de catégories particulières de données (art. 9 RGPD) : données de santé, données biométriques, données génétiques, origines raciales ou ethniques, convictions religieuses ou philosophiques, appartenance syndicale, orientation sexuelle, données relatives à des condamnations pénales.
Exemples typiques : hôpitaux et cliniques, médecins gérant un nombre significatif de patients, laboratoires pharmaceutiques, employeurs qui traitent des données de santé de nombreux salariés.
Quand la désignation est facultative mais recommandée
En dehors des trois situations d’obligation légale, la désignation d’un DPO reste facultative. Elle est néanmoins fortement recommandée pour : les entreprises qui traitent des données personnelles à une échelle modérée mais croissante, les entreprises qui développent de nouveaux produits ou services impliquant des traitements innovants, les PME souhaitant démontrer leur engagement en matière de conformité à leurs clients et partenaires, et les entreprises opérant dans des secteurs soumis à une surveillance accrue de la AEPD (télémarketing, ressources humaines, commerce en ligne).
DPO interne vs DPO externe : le choix pratique pour les PME
Pour la majorité des PME espagnoles, l’externalisation du DPO est la solution la plus efficiente. Les raisons : un DPO interne compétent requiert une formation spécialisée coûteuse et une mise à jour continue ; les PME n’ont généralement pas un volume de travail suffisant pour justifier un poste à temps plein ; et un DPO externe apporte une indépendance structurelle et une expertise actualisée à un coût bien inférieur.
Les coûts indicatifs en Espagne : un DPO externe coûte entre 3 000 et 10 000 euros annuels pour une PME, selon le volume de traitements et la complexité de la situation. Un DPO interne à temps plein représente 40 000 à 70 000 euros de coût employeur annuel.
Les fonctions du DPO
Que le DPO soit interne ou externe, ses fonctions légales sont les mêmes :
- Informer et conseiller le responsable, le sous-traitant et leurs employés sur les obligations découlant du RGPD.
- Contrôler le respect du RGPD, des autres dispositions du droit de l’UE et du droit national en matière de protection des données.
- Conseiller sur les analyses d’impact relatives à la protection des données (AIPD/EIPD).
- Coopérer avec l’autorité de contrôle (AEPD en Espagne) et servir de point de contact.
- Tenir compte des risques associés aux opérations de traitement eu égard à la nature, à la portée, au contexte et aux finalités du traitement.
BMC propose un service de DPO externe pour les entreprises espagnoles tenues de désigner un délégué ou souhaitant consolider leur conformité RGPD.
Cadre réglementaire : désignation du DPO selon le RGPD et la LOPDGDD
L’obligation de désigner un DPO s’inscrit dans un cadre normatif à deux niveaux — européen et espagnol — dont l’articulation détermine les obligations concrètes pesant sur les organisations établies en Espagne.
Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), articles 37 à 39 : Ces trois articles constituent le socle légal de l’institution du DPO. L’article 37 définit les trois situations d’obligation (organismes publics, traitement à grande échelle impliquant un suivi régulier et systématique, traitement à grande échelle de données sensibles) et autorise la mutualisation du DPO entre plusieurs organisations au sein d’un groupe d’entreprises. L’article 38 établit les garanties d’indépendance : impossibilité de recevoir des instructions dans l’exercice de la mission, protection contre la révocation ou toute sanction liée à l’exercice de cette mission, accès direct à la direction générale, obligation de confidentialité. L’article 39 énumère les missions légales du DPO : information et conseil, contrôle du respect du RGPD, conseil sur les AIPD, coopération avec l’autorité de contrôle (AEPD en Espagne). Ces articles s’appliquent directement dans tous les États membres sans besoin de transposition.
Loi Organique 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) : La LOPDGDD est la loi nationale espagnole qui complète et adapte le RGPD. Son article 34 étend l’obligation de désigner un DPO au-delà des trois situations du RGPD, en l’imposant à des catégories spécifiques d’acteurs espagnols : les opérateurs de réseaux et les prestataires de services de communications électroniques, les établissements financiers de crédit, les compagnies d’assurance et de réassurance, les établissements de santé obligés à tenir des dossiers de patients cliniques, les centres éducatifs traitant des données d’élèves mineurs, et les entreprises de publicité et de surveillance comportementale sur internet. Cette extension de la LOPDGDD est spécifique à l’Espagne et s’applique indépendamment des seuils de « grande échelle » du RGPD — une entreprise espagnole qui ne tomberait pas sous les critères du RGPD peut néanmoins être tenue de désigner un DPO en vertu de la LOPDGDD.
Lignes directrices du Comité Européen de la Protection des Données (CEPD) sur le DPO : Le CEPD a publié des lignes directrices (WP 243 rev. 01, adoptées le 5 avril 2017) qui constituent la référence d’interprétation des articles 37 à 39 RGPD. Ces lignes directrices précisent notamment la notion de « grande échelle » en proposant des facteurs d’évaluation (nombre de personnes concernées, volume de données, durée, étendue géographique) et définissent les conditions d’indépendance du DPO avec des exemples concrets de conflits d’intérêts. L’AEPD se fonde sur ces lignes directrices dans ses décisions de sanction, ce qui en fait une référence pratique essentielle pour les DPO externes et les conseils juridiques.
Erreurs fréquentes dans la désignation et le fonctionnement du DPO
Erreur 1 : Nommer un DPO sans lui accorder les ressources nécessaires à l’exercice de sa mission. L’article 38.2 RGPD exige que l’organisation fournisse au DPO les ressources nécessaires — temps, budget, accès à l’information, formation continue. L’AEPD a sanctionné plusieurs organisations espagnoles pour avoir désigné un DPO « sur le papier » sans lui allouer le temps ou les ressources suffisants pour remplir ses fonctions. Pour un DPO externe, le contrat de prestation doit préciser le nombre d’heures minimum dédiées à la mission, les accès aux systèmes d’information et aux registres de traitement, et les modalités de participation aux réunions des instances dirigeantes.
Erreur 2 : Créer un conflit d’intérêts en cumulant les fonctions de DPO avec d’autres responsabilités incompatibles. L’article 38.6 RGPD interdit au DPO d’exercer des fonctions susceptibles de créer un conflit d’intérêts. Dans la pratique, les conflits les plus fréquents sont : le directeur informatique qui est également DPO (il aurait à contrôler ses propres décisions de traitement), le responsable marketing qui est DPO (les finalités commerciales des campagnes peuvent entrer en conflit avec les principes de minimisation des données), ou le prestataire externe qui conseille l’entreprise sur sa stratégie commerciale et assume simultanément la fonction de DPO (il contrôlerait ses propres recommandations). En cas de doute sur la compatibilité des fonctions, l’AEPD recommande une analyse documentée des conflits potentiels avant toute nomination.
Erreur 3 : Ne pas documenter les cas dans lesquels la désignation facultative a été écartée. Les organisations qui concluent qu’elles ne sont pas soumises à l’obligation de désigner un DPO — que ce soit au titre du RGPD ou de la LOPDGDD — devraient documenter cette analyse. En cas d’inspection ou de plainte, l’AEPD peut demander à voir les éléments qui ont conduit à cette conclusion. L’absence de documentation sur ce point peut être interprétée comme une absence de réflexion sur la conformité, ce qui aggrave la position de l’organisation si l’autorité conclut à l’obligation.
