Article 37 RGPD : la désignation du DPO décryptée

L’article 37 du RGPD ouvre la section consacrée au délégué à la protection des données. Sept paragraphes brefs qui paraissent simples — désigner un DPO quand c’est obligatoire, choisir un profil compétent, communiquer ses coordonnées — mais qui cachent en réalité la quasi-totalité des contentieux DPO portés devant la CJUE et la CNIL ces cinq dernières années. Dans mon expérience de conseil auprès de PME et d’établissements publics, le contentieux n’est presque jamais sur l’existence de l’obligation : il porte sur le choix du profil, sur la mutualisation entre entités d’un même groupe, et sur la publication des coordonnées. Cet article décrypte l’Art. 37 paragraphe par paragraphe, avec les Lignes directrices WP243 du Comité européen de la protection des données (CEPD, ex-G29) et la jurisprudence récente de la CJUE.

Ce que dit l’article 37 du RGPD

Le texte de l’Art. 37 comporte sept paragraphes :

« 1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque : a) le traitement est effectué par une autorité publique ou un organisme public (…) ; b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui (…) exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. »

« 2. Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement. »

« 3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille. »

« 4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement, le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, désignent un délégué à la protection des données. »

« 5. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39. »

« 6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service. »

« 7. Le responsable du traitement ou le sous-traitant publie les coordonnées du délégué à la protection des données et les communique à l’autorité de contrôle. »

Sept paragraphes, sept logiques distinctes. L’Art. 37 n’est pas un texte d’options : c’est un texte d’obligations conditionnelles, dont chaque condition a généré un volume significatif de contentieux. Je détaille chaque paragraphe ci-dessous.

Art. 37(1) : les trois cas de désignation obligatoire

Le premier paragraphe est de loin le plus connu. Il fixe trois situations dans lesquelles la désignation d’un DPO est obligatoire — il suffit qu’une seule soit remplie pour que l’obligation s’applique.

Les trois cas sont les suivants :

• (a) Autorité publique ou organisme public : toutes les communes, collectivités, hôpitaux, établissements publics, ministères, à l’exception des juridictions dans l’exercice de leur fonction juridictionnelle.
• (b) Suivi régulier et systématique à grande échelle : tracking publicitaire, géolocalisation de flottes, programmes de fidélité à grande échelle, vidéosurveillance étendue, profilage de notation de crédit.
• © Traitement à grande échelle de données sensibles ou pénales : laboratoires biomédicaux, hôpitaux privés, plateformes de santé connectée, assurances santé, fichiers anti-blanchiment ou de prévention de la fraude.

Je ne reviens pas sur ces trois cas — j’ai consacré un article entier à l’analyse pratique des seuils et des décisions CNIL : voir DPO obligatoire : 3 cas où vous devez en désigner un. Le point essentiel à retenir ici est que l’Art. 37(1) s’impose aussi bien au responsable de traitement qu’au sous-traitant. Les sociétés de service informatique, les éditeurs SaaS, les hébergeurs, les BPO marketing peuvent donc être tenus de désigner un DPO indépendamment de leurs clients. Ce point est largement sous-estimé : un sous-traitant qui héberge un million de profils utilisateurs pour le compte d’un client doit désigner un DPO, même si le responsable du traitement est lui-même dispensé.

La CNIL sanctionne avec constance la non-désignation. La commune de Kourou en est l’exemple emblématique : 5 000 € d’amende en décembre 2023, puis 6 900 € d’astreinte liquidée en juillet 2024 pour persistance dans le refus de désigner un DPO. Le message du régulateur est clair : ni la taille, ni le budget, ni l’absence de moyens internes n’exonère.

Art. 37(2) : le DPO mutualisé pour les groupes d’entreprises

Le deuxième paragraphe permet à un groupe d’entreprises de désigner un DPO unique pour l’ensemble du groupe, à une condition : que ce DPO soit « facilement joignable » depuis chaque établissement.

Cette condition est interprétée largement par les Lignes directrices WP243 du CEPD. Trois critères pratiques sont retenus par la CNIL :

• Accessibilité linguistique : le DPO doit pouvoir communiquer dans les langues utilisées par chaque établissement et par les autorités de contrôle compétentes. Un DPO unique pour un groupe franco-allemand-italien ne peut pas se contenter de l’anglais — la langue du salarié, du client et de l’autorité de contrôle locale doit être traitée.
• Disponibilité géographique : le DPO doit être joignable dans des délais raisonnables compatibles avec l’exercice des droits (un mois maximum au titre de l’Art. 12 RGPD) et avec les obligations de notification de violation à 72 heures (Art. 33). Le décalage horaire d’un DPO basé à Singapour pour un groupe européen pose un problème opérationnel.
• Centralisation suffisante : le DPO doit avoir une vue consolidée des traitements de chaque établissement. Cela suppose un accès au registre des traitements groupe et des canaux de remontée d’information.

Dans la pratique, beaucoup de groupes désignent un DPO « groupe » mais maintiennent des relais locaux — privacy champions, local privacy officers — qui ne sont pas des DPO au sens du règlement mais facilitent la circulation de l’information. Cette architecture est admise par le CEPD à condition que la responsabilité finale et le canal officiel soient bien centralisés sur le DPO unique.

Art. 37(3) : le DPO mutualisé pour les organismes publics

Le troisième paragraphe est le pendant public du paragraphe 2 : plusieurs autorités ou organismes publics peuvent désigner un seul DPO, à condition que cela soit cohérent avec leur structure organisationnelle et leur taille.

C’est ce qui permet aux EPCI (établissements publics de coopération intercommunale) de mutualiser le DPO entre la communauté et ses communes membres. C’est aussi ce qui rend possible les DPO mutualisés territoriaux que la CNIL encourage explicitement depuis 2018 — un seul DPO pour plusieurs petites communes, généralement portés par un syndicat informatique départemental ou un centre de gestion.

Les seuils de mutualisation acceptables ne sont pas chiffrés par le règlement, mais la CNIL retient en pratique un ratio approximatif d’un DPO pour 30 à 50 entités de petite taille (communes de moins de 3 500 habitants, petits syndicats, EHPAD publics). Au-delà, le DPO ne peut plus exercer sa mission de manière indépendante et complète.

J’ai accompagné plusieurs centres de gestion dans la mise en place de ces architectures mutualisées : la difficulté principale est rarement juridique — elle est budgétaire et organisationnelle. Une mutualisation mal conçue se traduit par un DPO théorique qui ne voit jamais ses traitements et ne peut pas remonter d’alerte effective.

Art. 37(4) : la désignation volontaire

Le quatrième paragraphe ouvre la possibilité d’une désignation volontaire pour les organisations qui ne sont pas tenues par l’Art. 37(1). Cette possibilité est plus qu’anecdotique : elle change la qualification juridique du dispositif.

Le CEPD est très clair dans les Lignes directrices WP243 : le DPO volontairement désigné est soumis aux mêmes règles que le DPO obligatoire. Cela signifie que :

• les exigences de qualifications de l’Art. 37(5) s’appliquent intégralement ;
• les missions de l’Art. 39 doivent être réellement exercées ;
• les garanties d’indépendance de l’Art. 38 (absence de conflit d’intérêts, ressources, position hiérarchique, protection contre le licenciement) sont opposables ;
• les coordonnées doivent être publiées et communiquées à la CNIL au titre de l’Art. 37(7).

Cette « contamination » du régime obligatoire par la désignation volontaire surprend beaucoup d’organisations qui pensaient pouvoir nommer un « référent RGPD » avec une logique allégée. La CNIL ne fait pas de distinction : si la personne est désignée comme DPO et déclarée comme tel, le régime complet s’applique.

Pour les organisations qui ne veulent pas s’exposer, deux options existent :

• ne pas désigner de DPO du tout (si l’Art. 37(1) ne l’impose pas) et confier la conformité à un autre profil — privacy officer, référent RGPD, juriste protection des données — sans le déclarer DPO ;
• désigner un DPO en bonne et due forme et accepter le régime complet.

L’entre-deux — appeler quelqu’un « DPO » sans appliquer le régime — n’est juridiquement pas tenable.

Art. 37(5) : les qualifications du DPO

Le cinquième paragraphe pose les exigences de profil. Le DPO doit être désigné sur la base :

• de ses qualités professionnelles ;
• en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données ;
• et de sa capacité à accomplir les missions de l’Art. 39.

Le règlement ne fixe pas de diplôme requis, ni de certification obligatoire. Le CEPD insiste sur une approche fonctionnelle : le niveau d’expertise doit être proportionné à la sensibilité, à la complexité et au volume des traitements de l’organisation. Un DPO de groupe bancaire ou hospitalier n’a pas le même profil qu’un DPO de PME industrielle.

En pratique, trois familles de profils émergent :

• les juristes spécialisés (titulaires d’un master en droit des données, ancien avocat, ancien juriste d’entreprise) — profil dominant pour les structures juridiquement sensibles ;
• les profils mixtes droit/IT — privilégiés par les SSII, éditeurs SaaS, opérateurs de services numériques, où la dimension technique est centrale ;
• les DPO certifiés CNIL — depuis le référentiel CNIL de certification de 2018, plusieurs organismes accrédités délivrent des certifications de personnes (Bureau Veritas, AFNOR, LSTI, DPMS). La certification n’est pas obligatoire mais elle constitue une présomption de compétence opposable lors d’un contrôle.

Le critère discret mais essentiel est la capacité à accomplir les missions de l’Art. 39 : informer et conseiller, contrôler le respect du règlement, conseiller sur les analyses d’impact, coopérer avec l’autorité de contrôle, être point de contact des personnes concernées. Un DPO qui n’a ni le temps, ni l’autorité, ni les ressources pour exercer ces missions est juridiquement défaillant — et expose l’organisation à une sanction même si la désignation a bien été effectuée.

Art. 37(6) : DPO interne ou externalisé

Le sixième paragraphe consacre la liberté de structure : le DPO peut être un salarié de l’organisation ou exercer ses missions au titre d’un contrat de service (DPO externalisé).

L’option externalisée est massivement utilisée par les PME, professions réglementées et établissements de petite taille — elle représente, selon mes estimations basées sur les déclarations CNIL, environ 60 % des désignations en France. Elle permet de mutualiser le coût d’un profil expert sans devoir embaucher à temps plein. Voir mon analyse des tarifs du DPO externalisé pour les ordres de grandeur du marché.

L’option interne reste la norme dans les grands groupes, dans les établissements publics dotés de moyens internes, et dans les secteurs où la confidentialité du métier (défense, énergie, santé) rend l’externalisation difficile.

Quelle que soit l’option, deux exigences valent dans tous les cas :

• L’absence de conflit d’intérêts au sens de l’Art. 38(6). La CJUE l’a précisé dans son arrêt C-453/21 X-FAB Dresden GmbH & Co. KG du 9 février 2023 : le DPO ne peut pas exercer en parallèle des fonctions opérationnelles qui le conduiraient à déterminer les finalités et moyens des traitements. Il ne peut donc pas, simultanément, être DSI, RSSI, directeur juridique opérationnel ou directeur des ressources humaines. Cette interdiction s’applique aussi bien aux DPO internes (cumul de fonctions interdit) qu’aux DPO externes (le cabinet qui conseille sur les traitements ne peut pas auditer ses propres recommandations).
• L’indépendance fonctionnelle au sens de l’Art. 38(3). Le DPO ne peut pas recevoir d’instructions sur la manière d’exercer sa mission. Il rapporte au plus haut niveau de la direction.

Le profil cumulant DPO et fonction opérationnelle est le principal motif de redressement lors d’un contrôle CNIL portant sur la fonction DPO. La désignation existe, mais elle est juridiquement nulle car incompatible avec l’Art. 38(6).

Art. 37(7) : publication et communication des coordonnées

Le septième paragraphe impose deux obligations cumulatives :

• publier les coordonnées du DPO (généralement sur le site internet et dans les mentions légales) ;
• communiquer ces coordonnées à l’autorité de contrôle (la CNIL en France).

La publication doit permettre aux personnes concernées de contacter le DPO pour exercer leurs droits. En pratique, cela suppose : un libellé clair (« Délégué à la protection des données » ou « DPO »), une adresse de contact dédiée (idéalement dpo@nomdedomaine), et la mention de cette adresse dans la politique de confidentialité et dans les mentions légales RGPD.

L’identité personnelle du DPO n’a pas à être obligatoirement publiée : une adresse fonctionnelle suffit. Le CEPD recommande toutefois la publication du nom dans les communications avec l’autorité de contrôle, pour assurer la traçabilité interne.

La communication à la CNIL se fait via le portail dédié, en quelques minutes. Cette formalité est régulièrement oubliée : l’organisation a désigné un DPO, l’a publié sur son site, mais n’a jamais déposé la déclaration auprès de la CNIL. La déclaration est gratuite et n’engage à rien d’autre — son omission est cependant constitutive d’un manquement à l’Art. 37(7), sanctionné au titre de l’Art. 83(4)(a) (plafond bas : 10 M€ ou 2 % du CA mondial).

Articulation avec les autres articles

L’Art. 37 ne se lit jamais seul. Il s’articule avec un bloc cohérent d’obligations :

• Avec l’Art. 35 RGPD sur l’analyse d’impact : le DPO doit être consulté pour chaque AIPD (Art. 35(2)). Sans DPO désigné, la procédure est défaillante.
• Avec l’Art. 38 RGPD sur la fonction du DPO : indépendance, ressources, protection contre le licenciement, absence de conflit d’intérêts.
• Avec l’Art. 39 RGPD sur les missions du DPO : information, contrôle, conseil AIPD, coopération CNIL, point de contact des personnes concernées.
• Avec l’Art. 24 RGPD sur l’accountability : la désignation du DPO fait partie des mesures organisationnelles attendues du responsable de traitement.
• Avec l’Art. 33 RGPD sur la notification de violation : le DPO est l’interlocuteur naturel de la cellule de crise et de la CNIL.

Sanctions encourues en cas de manquement

Un manquement à l’Art. 37 relève du régime de l’Art. 83(4)(a) : jusqu’à 10 millions d’euros, ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Les manquements typiquement sanctionnés :

• absence pure et simple de désignation alors que l’Art. 37(1) l’imposait (CNIL — commune de Kourou, 2023-2024) ;
• désignation incompatible avec l’Art. 38(6) — DPO en conflit d’intérêts ;
• défaut de publication des coordonnées ou défaut de déclaration à la CNIL ;
• DPO « fictif » dépourvu des moyens et de l’autorité pour exercer ses missions de l’Art. 39 — ce qui revient juridiquement à une absence de désignation effective.

À ces sanctions financières s’ajoutent classiquement : injonction de mise en conformité, astreinte journalière, publication de la décision sur le registre des sanctions de la CNIL, et — pour les acteurs privés concurrentiels — un coût réputationnel souvent plus dissuasif que l’amende.

Ce qu’il faut retenir

• L’Art. 37(1) RGPD impose la désignation d’un DPO dans trois cas : autorité publique, suivi régulier et systématique à grande échelle, traitement à grande échelle de données sensibles ou pénales — tant pour le responsable de traitement que pour le sous-traitant.
• L’Art. 37(2) autorise un DPO unique pour un groupe d’entreprises à condition qu’il soit facilement joignable depuis chaque établissement (linguistiquement, géographiquement, organisationnellement).
• L’Art. 37(3) permet la mutualisation entre organismes publics — modèle largement utilisé par les EPCI et centres de gestion.
• L’Art. 37(4) ouvre la désignation volontaire mais sans régime allégé : les obligations restent identiques au DPO obligatoire.
• L’Art. 37(5) exige des qualités professionnelles proportionnées à la sensibilité des traitements — pas de diplôme imposé mais une compétence opposable.
• L’Art. 37(6) consacre la liberté de structure (DPO interne ou externalisé), sous réserve d’absence de conflit d’intérêts (CJUE C-453/21).
• L’Art. 37(7) impose la publication des coordonnées et la communication à la CNIL — formalité distincte régulièrement oubliée.
• Sanctions : plafond bas de l’Art. 83(4)(a) — 10 M€ ou 2 % du CA mondial.

FAQ

Une PME de 30 salariés doit-elle obligatoirement désigner un DPO ?

Non, sauf si elle remplit l’un des trois critères de l’Art. 37(1) : être un organisme public, faire un suivi régulier et systématique à grande échelle, ou traiter à grande échelle des données sensibles ou pénales. Pour la majorité des PME (industrie classique, services aux entreprises, artisanat), aucun de ces critères n’est rempli. La désignation reste possible au titre de l’Art. 37(4), mais elle entraîne alors le régime complet du DPO. Voir l’analyse pratique dans DPO obligatoire : 3 cas où vous devez en désigner un.

Le DPO peut-il cumuler sa fonction avec une autre fonction dans l’entreprise ?

Oui, mais uniquement si la fonction parallèle ne crée pas de conflit d’intérêts au sens de l’Art. 38(6). La CJUE l’a précisé dans l’arrêt X-FAB Dresden (C-453/21, 9 février 2023) : le DPO ne peut pas exercer en parallèle une fonction qui le conduit à déterminer les finalités et les moyens des traitements. Sont donc exclus : DSI, RSSI, directeur juridique opérationnel, DRH, responsable marketing. Sont en revanche compatibles : juriste sans portefeuille opérationnel sur les traitements, fonction RSE, fonction qualité, formation interne.

Quelle est la différence entre un DPO et un référent RGPD ?

Le DPO est une fonction définie par le RGPD (Art. 37 à 39) avec des qualifications, des missions, des garanties d’indépendance et une déclaration à la CNIL. Le « référent RGPD » n’a pas d’existence juridique : c’est un titre interne sans contenu réglementaire. Les organisations qui n’ont pas l’obligation de désigner un DPO peuvent confier la conformité à un référent RGPD sans déclencher le régime de l’Art. 37 — mais elles ne peuvent pas appeler cette personne « DPO » sans appliquer ce régime.

Faut-il désigner un DPO interne ou externalisé ?

L’Art. 37(6) laisse le choix. Le DPO externalisé est privilégié par les PME, professions réglementées et petites collectivités — il représente environ 60 % des désignations en France. Il permet de mutualiser le coût d’un profil expert sans embauche à temps plein. Le DPO interne reste la norme dans les grands groupes et les établissements publics dotés de moyens internes. Quelle que soit l’option, l’absence de conflit d’intérêts (Art. 38(6)) et l’indépendance fonctionnelle (Art. 38(3)) restent impératives. Pour les ordres de grandeur tarifaires, voir DPO externalisé : tarifs et coûts.

Comment communiquer la désignation du DPO à la CNIL ?

Via le portail dédié de la CNIL, en quelques minutes, gratuitement. La déclaration comprend l’identité du DPO, ses coordonnées, le périmètre couvert (entité unique, groupe d’entreprises, mutualisation publique), et le caractère interne ou externe de la désignation. L’omission de cette déclaration constitue un manquement à l’Art. 37(7), sanctionné au titre de l’Art. 83(4)(a). C’est une formalité régulièrement oubliée par les organisations qui ont désigné un DPO mais ne l’ont pas déclaré auprès de l’autorité de contrôle.

---

Vous mettez en place ou refondez votre fonction DPO ? Recevez nos analyses conformité chaque semaine pour rester à jour des décisions CNIL et des arrêts CJUE qui font évoluer la pratique du délégué à la protection des données.