Article 39 RGPD : les missions du DPO décryptées

L’article 39 du RGPD ferme la trilogie qui structure la fonction DPO — désignation à l’Art. 37, statut à l’Art. 38, missions à l’Art. 39. Cinq missions énumérées au paragraphe 1, un principe général d’approche par les risques au paragraphe 2 : voilà l’intégralité du périmètre opposable du délégué à la protection des données. Dans mon expérience de conseil, c’est précisément cette concision qui cause les difficultés. Les organisations construisent souvent une fiche de poste DPO qui dépasse largement l’Art. 39 — et le DPO se retrouve à porter une responsabilité opérationnelle qui n’est pas la sienne, créant un conflit d’intérêts au sens de l’Art. 38(6). À l’inverse, certaines organisations sous-dimensionnent les missions et n’assurent ni le contrôle, ni la coopération avec la CNIL prévus par le règlement. Cet article décrypte l’Art. 39 paragraphe par paragraphe, replace chaque mission dans la pratique du contrôle CNIL, et fournit un plan opérationnel en six chantiers pour structurer la fonction.

Ce que dit l’article 39 du RGPD

Le texte de l’Art. 39 comporte deux paragraphes :

« 1. Les missions du délégué à la protection des données sont au moins les suivantes :

a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ;

b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;

c) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35 ;

d) coopérer avec l’autorité de contrôle ;

e) faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet. »

« 2. Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement. »

Deux observations textuelles structurent toute l’analyse. D’abord, la formule « au moins » au paragraphe 1 : la liste est un plancher, pas un plafond. L’organisation peut ajouter des missions au DPO — sous réserve qu’elles ne créent pas de conflit d’intérêts au sens de l’Art. 38(6). Ensuite, les verbes utilisés : informer, conseiller, contrôler, vérifier, coopérer, faire office de point de contact. Aucun verbe ne fait du DPO un décideur. Le DPO conseille, contrôle, alerte — il ne décide ni des finalités, ni des moyens, ni des mesures correctrices. Cette ligne de partage avec la fonction de responsable du traitement est la clef de voûte du dispositif.

Art. 39(1)(a) : informer et conseiller

La première mission est la plus large et la plus quotidienne. Le DPO doit informer et conseiller trois cercles distincts :

• le responsable du traitement (et son équipe dirigeante) — sur les obligations générales du RGPD, sur les évolutions réglementaires, sur les implications conformité des décisions stratégiques (acquisition d’un outil, externalisation, transfert hors UE) ;
• le sous-traitant — lorsque l’organisation agit comme sous-traitant pour ses clients, le DPO doit informer la direction sur les obligations propres au statut de sous-traitant (Art. 28 RGPD) ;
• les employés qui procèdent au traitement — équipes IT, marketing, RH, service client, commerce. Ces équipes manipulent quotidiennement des données et doivent comprendre leurs obligations.

Cette mission d’information et de conseil prend des formes variées. Les Lignes directrices WP243 du Comité européen de la protection des données (CEPD, ex-G29) précisent qu’elle peut s’appuyer sur des notes internes, des guides pratiques, des sessions de formation, des permanences ou des outils de self-service (FAQ interne, formulaires d’auto-évaluation pour les chefs de projet). Le DPO n’est pas un service après-vente : il anticipe les questions plutôt que d’attendre qu’elles arrivent.

Sur le plan probatoire, la traçabilité de cette mission est essentielle. La CNIL examine systématiquement, lors des contrôles approfondis :

• les notes et avis rendus par le DPO sur les principaux projets de l’année ;
• les plans de formation et les attestations de participation des équipes opérationnelles ;
• les canaux de saisine ouverts aux collaborateurs (mail dédié, formulaire intranet) ;
• les contenus de sensibilisation (intranet conformité, lettres internes, modules e-learning).

Une organisation qui ne dispose d’aucune trace d’information ou de sensibilisation se trouve en défaut sur l’Art. 39(1)(a) — et cumule presque toujours, en pratique, un défaut sur l’Art. 24 RGPD (mesures organisationnelles d’accountability) et sur l’Art. 32 RGPD (sensibilisation à la sécurité).

Art. 39(1)(b) : contrôler le respect du RGPD

La deuxième mission est la plus politiquement sensible. Le DPO doit contrôler le respect du règlement, des autres textes pertinents et des règles internes. Le verbe « contrôler » porte ici sur quatre objets explicitement énumérés :

• la conformité au RGPD lui-même — bases légales, exercice des droits, sécurité, transferts ;
• la conformité aux autres textes de protection des données — loi Informatique et Libertés française, secteur santé, secteur bancaire, secteur RH, réglementations sectorielles ;
• la conformité aux règles internes — politique de confidentialité, charte informatique, procédures de gestion des violations, procédures de réponse aux droits ;
• la répartition des responsabilités, la sensibilisation et la formation, les audits.

Ce que « contrôler » veut dire en pratique

Trois précisions s’imposent. Premièrement, contrôler n’est pas décider. Le DPO constate, alerte, recommande — il ne dispose pas du pouvoir d’imposer une mesure correctrice. Si le responsable du traitement ignore l’alerte, la responsabilité juridique reste celle du responsable, et le DPO conserve son devoir de conseil. Deuxièmement, le contrôle suppose un accès aux données et aux opérations garanti par l’Art. 38(2) RGPD : sans accès aux bases, aux logs, aux contrats, aux registres, le contrôle est purement formel. Troisièmement, le contrôle implique un plan d’audit documenté, périodique, articulé avec les risques de l’organisation.

Programme d’audit type

Un plan d’audit DPO bien structuré couvre, sur un cycle de 12 à 24 mois :

• audit du registre des traitements (exhaustivité, mise à jour, qualité des bases légales) ;
• audit des contrats de sous-traitance (clauses, sous-traitance ultérieure, transferts) ;
• audit des procédures de réponse aux droits (délais, traçabilité, complétude) ;
• audit des violations de données (procédure d’alerte, délai de notification, registre des violations) ;
• audit des mesures de sécurité (chiffrement, gestion des accès, sauvegardes, plan de continuité) ;
• audit des politiques de cookies et traceurs ;
• audit des transferts hors UE ;
• audit des AIPD réalisées dans l’année.

Chaque audit donne lieu à un rapport, une recommandation et un suivi. La CNIL apprécie particulièrement, en contrôle, l’existence d’un tableau de suivi des recommandations classées par criticité et avec dates de clôture. C’est ce type de cartographie continue que Legiscope automatise pour la fonction DPO — registre vivant, suivi des AIPD, tableau de bord des recommandations.

Art. 39(1)© : conseiller l’AIPD et vérifier son exécution

La troisième mission articule l’Art. 39 avec l’Art. 35 RGPD (analyse d’impact relative à la protection des données). Le DPO doit, sur demande, dispenser des conseils sur l’AIPD et vérifier son exécution.

La rédaction « sur demande » a une portée précise : la décision de réaliser une AIPD relève du responsable du traitement (Art. 35(1)), mais sa consultation du DPO est obligatoire au titre de l’Art. 35(2). En pratique, cela signifie :

• le DPO est consulté en amont sur l’opportunité de réaliser une AIPD lorsqu’il y a doute ;
• il conseille sur la méthodologie (cadre PIA de la CNIL, méthode interne, outil dédié) ;
• il valide le périmètre, les acteurs consultés, les risques retenus ;
• il vérifie l’exécution — c’est-à-dire la mise en œuvre effective des mesures correctrices identifiées par l’AIPD.

Cette dernière obligation est régulièrement sous-estimée. Vérifier l’exécution de l’AIPD ne se limite pas à signer le document final : il faut s’assurer que les mesures de réduction du risque ont été déployées, que les indicateurs de suivi sont en place, et que la révision périodique de l’AIPD est planifiée. C’est typiquement sur ce point que les contrôles CNIL approfondis détectent un écart entre l’AIPD documentaire et la réalité opérationnelle.

Pour les traitements à fort risque — IA générative, scoring, vidéosurveillance augmentée, traitements de masse de données sensibles — le DPO doit également vérifier si une consultation préalable de la CNIL au titre de l’Art. 36 RGPD s’impose. Voir aussi notre analyse pratique de l’AIPD et l’analyse d’impact appliquée aux systèmes d’IA.

Art. 39(1)(d) : coopérer avec l’autorité de contrôle

La quatrième mission est brève — quelques mots — mais structurante. Le DPO coopère avec l’autorité de contrôle. En France, cela vise principalement la CNIL, mais aussi, le cas échéant, les autorités sectorielles (ACPR, ANSSI, ARCOM, agences nationales de santé) lorsque leur action croise la protection des données.

La coopération recouvre plusieurs registres concrets :

• veille réglementaire sur les délibérations, les recommandations, les référentiels et les lignes directrices publiés par la CNIL ;
• réponse aux demandes de la CNIL en cours d’instruction d’une plainte ou d’une procédure ;
• transmission spontanée d’éléments lorsque le DPO identifie un sujet qui mérite l’attention de la CNIL (par exemple, la difficulté d’application d’une recommandation dans un secteur particulier) ;
• participation aux consultations publiques de la CNIL — sur les AIPD, les référentiels sectoriels, les recommandations IA.

La coopération suppose une culture institutionnelle : le DPO est l’interlocuteur de l’autorité, pas l’avocat de la défense de l’organisation. Cette posture est parfois mal comprise par les directions juridiques opérationnelles qui voient dans la CNIL un adversaire à éviter. Le DPO doit, dans l’intérêt même de l’organisation, maintenir un dialogue ouvert et transparent — c’est généralement la meilleure stratégie de réduction du risque de sanction.

Art. 39(1)(e) : point de contact de la CNIL et consultation préalable

La cinquième mission complète la précédente : le DPO fait office de point de contact pour l’autorité de contrôle. Cette désignation est doublement opérationnelle.

D’abord, lors de la consultation préalable de l’Art. 36 RGPD : lorsqu’une AIPD révèle un risque résiduel élevé que le responsable du traitement ne peut pas réduire par des mesures appropriées, la CNIL doit être consultée avant la mise en œuvre. C’est le DPO qui prépare, formalise et transmet la consultation préalable. La CNIL répond dans un délai de huit semaines, prolongeable de six semaines pour les sujets complexes (Art. 36(2)).

Ensuite, en cas de contrôle CNIL (sur place, en ligne, sur pièces ou sur audition), le DPO est l’interlocuteur principal. Il prépare les documents, coordonne les services concernés, formalise les réponses et assure le suivi des engagements pris. La qualité de cette interface conditionne largement l’issue du contrôle. Une organisation qui présente, dès la première mission, un DPO maîtrisant son sujet, un registre à jour et un plan d’audit documenté gagne immédiatement en crédibilité.

L’Art. 39(1)(e) prévoit également que le DPO mène, le cas échéant, des consultations sur tout autre sujet. Cette formulation ouverte couvre par exemple : consultation d’organismes de normalisation, dialogue avec les CIL (correspondants informatique et libertés) d’autres organisations, échanges avec l’EDPB, participation à des groupes de travail sectoriels.

Art. 39(2) : l’approche par les risques

Le second paragraphe est probablement la disposition la plus moderne du chapitre IV. Le DPO doit tenir dûment compte du risque associé aux opérations de traitement, en considération de la nature, de la portée, du contexte et des finalités du traitement. C’est la traduction directe, dans la fonction DPO, du principe d’approche par les risques qui irrigue l’ensemble du RGPD (Art. 24, Art. 25, Art. 32, Art. 35).

En pratique, l’Art. 39(2) impose au DPO de prioriser :

• ses actions de contrôle vers les traitements les plus risqués (santé, mineurs, scoring, vidéosurveillance, IA) ;
• ses actions de conseil vers les projets stratégiques et les changements à fort impact (refonte CRM, externalisation cloud, déploiement IA) ;
• ses actions de sensibilisation vers les fonctions les plus exposées (commerce, marketing, RH, service client) ;
• son temps disponible vers les sujets où la défaillance créerait le risque le plus élevé pour les personnes concernées et pour l’organisation.

Cette logique de priorisation est une protection juridique pour le DPO. Si une défaillance survient sur un traitement à faible risque qui n’a pas été audité, le DPO peut justifier de la cohérence de son plan d’audit et de l’allocation raisonnable de ses ressources. Inversement, si la défaillance survient sur un traitement à fort risque qui aurait dû être audité en priorité, l’absence de plan structuré devient un facteur aggravant — pour le DPO comme pour le responsable de traitement.

Plan opérationnel en six chantiers

Pour structurer la fonction DPO conformément à l’Art. 39, six chantiers complémentaires.

Chantier 1 — Cartographie et registre

Construire et maintenir un registre des traitements exhaustif, à jour, avec bases légales documentées et durées de conservation justifiées. Ce registre est le socle de toutes les autres missions du DPO : sans cartographie, le contrôle n’est pas possible.

Chantier 2 — Plan d’audit annuel

Définir un plan d’audit fondé sur l’analyse des risques (Art. 39(2)). Le plan couvre, sur 12 à 24 mois, les huit familles d’audits listées plus haut. Chaque audit donne lieu à un rapport, des recommandations classées par criticité et un suivi documenté.

Chantier 3 — Procédures internes

Formaliser les procédures qui structurent l’application du RGPD : procédure de réponse aux droits, procédure de gestion des violations (Art. 33 et Art. 34), procédure d’AIPD (Art. 35), procédure de qualification des sous-traitants (Art. 28), procédure de gestion des transferts hors UE (Art. 44 et suivants).

Chantier 4 — Formation et sensibilisation

Construire un plan de formation différencié : module générique pour l’ensemble des collaborateurs, modules spécialisés pour les fonctions à risque (RH, marketing, IT, juridique), formation approfondie pour les privacy champions. Documenter les sessions, les attestations, les contenus.

Chantier 5 — Veille et conseil

Organiser la veille sur les évolutions du RGPD, les nouvelles décisions CNIL et CJUE, les recommandations EDPB, les textes connexes (AI Act, NIS2, DORA, CSRD). Restituer cette veille en notes internes et en sessions de mise à jour pour la direction et les équipes opérationnelles.

Chantier 6 — Interface CNIL

Préparer en amont la posture de l’organisation en cas de contrôle : dossier permanent de conformité, documentation des décisions stratégiques, contacts des correspondants CNIL, modèles de réponse aux demandes types. Tenir à jour les coordonnées du DPO publiées sur le site de la CNIL (Art. 37(7)).

Articulation avec les autres articles

L’Art. 39 forme un système cohérent avec le reste du chapitre IV et plusieurs articles structurants :

• avec l’Art. 37 RGPD sur la désignation : sans désignation valable, les missions de l’Art. 39 n’ont pas de titulaire ;
• avec l’Art. 38 RGPD sur la fonction : sans ressources, sans indépendance, sans accès, les missions de l’Art. 39 ne peuvent pas être exercées ;
• avec l’Art. 24 RGPD sur l’accountability : la documentation des missions du DPO fait partie des mesures organisationnelles attendues du responsable de traitement ;
• avec l’Art. 35 RGPD sur l’AIPD : le conseil et la vérification d’exécution constituent le cœur de la mission AIPD du DPO ;
• avec l’Art. 36 RGPD sur la consultation préalable : le DPO prépare et transmet la consultation lorsque l’AIPD révèle un risque résiduel élevé ;
• avec les Art. 33 et Art. 34 RGPD sur les violations : la coopération avec l’autorité passe par le DPO comme point de contact ;
• avec l’Art. 28 RGPD sur la sous-traitance : l’audit des contrats et la qualification des sous-traitants relèvent du contrôle exercé par le DPO ;
• avec l’Art. 32 RGPD sur la sécurité : le DPO contrôle la sensibilisation et la formation à la sécurité du personnel.

Sanctions encourues en cas de manquement

Un manquement à l’Art. 39 relève du régime de l’Art. 83(4)(a) : jusqu’à 10 millions d’euros, ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Voir l’analyse détaillée des sanctions RGPD et des priorités CNIL pour 2025.

Plus précisément, les manquements typiques caractérisés en sanctions :

• Défaut d’information et de conseil — les équipes opérationnelles n’ont reçu ni formation ni note méthodologique, le manquement se cumule avec un défaut d’accountability (Art. 24) ;
• Défaut de contrôle — le DPO n’a réalisé aucun audit, le registre n’est pas tenu à jour, les procédures internes ne sont pas vérifiées (typique des sanctions SAN-2024-001 Hubside.Store 525 000 € et SAN-2022-009 Discord 800 000 €, où l’absence de moyens dévolus au DPO empêche en pratique l’exercice du contrôle) ;
• Défaut de conseil AIPD — l’AIPD a été réalisée sans le DPO, ou n’a pas été suivie d’une vérification d’exécution ;
• Défaut de coopération avec la CNIL — les demandes de l’autorité restent sans réponse, ou les réponses sont incomplètes et tardives. Dans le cas CNIL — commune de Kourou (clôture 2024), la défaillance de coopération s’est traduite par une astreinte journalière de 200 € en plus de la sanction initiale.

À ces sanctions financières s’ajoutent classiquement : injonction de mise en conformité, astreinte journalière, publication de la décision sur le registre des sanctions de la CNIL, et un coût réputationnel souvent plus dissuasif que l’amende.

Ce qu’il faut retenir

• L’Art. 39(1)(a) RGPD impose au DPO d’informer et conseiller trois cercles : direction, opérationnels qui traitent les données, équipe sous-traitance. La traçabilité (notes, formations, sessions) est un élément de défense central en contrôle.
• L’Art. 39(1)(b) impose le contrôle — par audits documentés, fondé sur un plan annuel articulé aux risques. Contrôler n’est pas décider : le DPO alerte, recommande, ne sanctionne pas.
• L’Art. 39(1)© articule l’Art. 39 avec l’Art. 35 : conseil sur l’AIPD et vérification d’exécution. La vérification est le point le plus régulièrement défaillant en pratique.
• L’Art. 39(1)(d) et (e) font du DPO l’interlocuteur de la CNIL : coopération continue, point de contact, consultation préalable de l’Art. 36, gestion des contrôles. Posture institutionnelle, pas posture défensive.
• L’Art. 39(2) impose une approche par les risques — priorisation des audits, du conseil, de la sensibilisation et du temps disponible vers les traitements les plus risqués.
• La fonction DPO doit être structurée par un plan en six chantiers : cartographie et registre, plan d’audit, procédures internes, formation, veille et conseil, interface CNIL.
• Sanctions : plafond bas de l’Art. 83(4)(a) — 10 M€ ou 2 % du CA mondial, cumulables avec injonction et astreinte (Discord 800 k€, Hubside 525 k€).

FAQ

Le DPO peut-il prendre des décisions opérationnelles ?

Non. L’Art. 39 utilise les verbes informer, conseiller, contrôler, vérifier, coopérer, faire office de point de contact — jamais décider. Le DPO n’est pas le responsable du traitement et n’a pas le pouvoir de fixer les finalités, les moyens ou les mesures correctrices. Lui confier un pouvoir de décision opérationnelle créerait par ailleurs un conflit d’intérêts au sens de l’Art. 38(6) RGPD, ce qui invaliderait sa désignation. Le partage des rôles est clair : le responsable décide et endosse la responsabilité juridique ; le DPO conseille, contrôle et alerte.

Le DPO peut-il refuser de signer une AIPD ?

L’Art. 39(1)© prévoit que le DPO « dispense des conseils, sur demande, en ce qui concerne l’analyse d’impact ». Il ne valide pas formellement l’AIPD — la décision finale appartient au responsable du traitement. Le DPO peut en revanche émettre un avis défavorable documenté, qui doit être joint à l’AIPD et présenté à la direction. En cas de risque résiduel élevé non réductible, le DPO recommandera une consultation préalable de la CNIL au titre de l’Art. 36. Si le responsable du traitement passe outre l’avis défavorable, la responsabilité juridique repose sur lui — le DPO est protégé par son devoir de conseil, à condition que celui-ci soit tracé.

Quelle est la différence entre les missions de l’Art. 39 et la fiche de poste du DPO ?

L’Art. 39 fixe un plancher de missions opposable juridiquement. La fiche de poste interne peut ajouter des missions complémentaires — animation d’un comité conformité, contribution à la politique RSE, participation à la stratégie data — à condition qu’elles ne créent pas de conflit d’intérêts. Le périmètre fixé par l’Art. 39 est ce qui sera examiné par la CNIL en cas de contrôle ou de sanction. La fiche de poste sert l’organisation interne et la gestion RH ; l’Art. 39 sert la qualification juridique.

Comment articuler la mission de contrôle du DPO avec le contrôle interne ou l’audit interne ?

Les fonctions sont complémentaires, pas redondantes. Le contrôle interne vérifie l’application des procédures de l’organisation. L’audit interne examine l’efficacité du dispositif global de maîtrise des risques. Le DPO contrôle spécifiquement la conformité au RGPD et aux règles internes en matière de protection des données. Les trois fonctions doivent coopérer : le DPO peut s’appuyer sur les équipes d’audit interne pour conduire des missions à grande échelle, tout en conservant la responsabilité juridique du contrôle au titre de l’Art. 39(1)(b). Pour les groupes, un protocole de coordination DPO / audit interne / contrôle interne est recommandé.

Que doit faire le DPO si la direction refuse d’allouer les ressources nécessaires à ses missions ?

Le DPO doit d’abord documenter sa demande de moyens (note formalisée à la direction, chiffrage du temps, du budget et des accès nécessaires) et l’éventuel refus. Cette documentation est essentielle : elle déplace la responsabilité du défaut de ressources sur le responsable du traitement et protège le DPO en cas de contrôle. Le DPO peut ensuite, en application de l’Art. 38(3) RGPD, faire rapport directement au plus haut niveau de la direction (DG, conseil d’administration). En dernier ressort — et c’est rare — le DPO peut signaler la situation à la CNIL au titre de l’Art. 39(1)(d). Voir aussi l’analyse pratique du DPO obligatoire et celle du DPO externalisé lorsque le manque de ressources internes oriente vers un DPO externe.

---

Vous structurez la fonction DPO de votre organisation et cherchez à articuler proprement les missions de l’Art. 39 avec votre dispositif de conformité ? Recevez nos analyses conformité chaque semaine pour rester à jour des décisions CNIL, des arrêts CJUE et des recommandations EDPB qui font évoluer la fonction délégué à la protection des données.