Désignation DPO : courrier CNIL et modèle 2026
Modèle de lettre de désignation DPO + procédure de notification CNIL en ligne 2026. Missions, moyens et indépendance du délégué détaillés.
L’essentiel. Désigner un délégué à la protection des données suppose deux actes : un acte interne (lettre de mission) qui définit missions, moyens et indépendance du DPO, et une notification à la CNIL, réalisée en ligne sur son téléservice. La désignation prend effet dès la notification, qui donne au DPO son numéro d’enregistrement. Ci-dessous, le modèle de lettre de mission et la procédure de notification pas à pas.
La désignation d’un DPO est souvent bâclée. On envoie la notification en ligne à la CNIL en cinq minutes, on note le numéro d’enregistrement, et on considère l’affaire réglée. Mais la notification n’est que la partie visible : elle ne dit rien des missions confiées, des moyens accordés, ni de l’indépendance garantie. Or c’est précisément là que se joue la conformité — et c’est là que la CNIL regarde en cas de contrôle.
Dans ma pratique de conseil, je vois régulièrement des DPO désignés « sur le papier » qui n’ont ni budget, ni accès à la direction, ni temps dédié. Un DPO fantôme ne protège personne et expose l’organisation : la CNIL a déjà sanctionné des responsables de traitement pour n’avoir pas donné à leur délégué les moyens d’exercer. La lettre de mission est le document qui matérialise ces moyens et cette indépendance. Elle est aussi importante que la notification elle-même.
Le cadre légal de la désignation
Quand la désignation est obligatoire
L’article 37 du RGPD impose la désignation d’un DPO dans trois cas : autorité ou organisme public ; activités de base consistant en un suivi régulier et systématique à grande échelle ; activités de base consistant en un traitement à grande échelle de données sensibles ou relatives à des condamnations. Hors ces cas, la désignation reste possible et recommandée. Notre guide dédié détaille les seuils du DPO obligatoire.
Les trois piliers imposés par le RGPD
Les articles 37 à 39 encadrent la fonction autour de trois exigences que la lettre de mission doit refléter :
| Pilier | Exigence RGPD | Article |
|---|---|---|
| Missions | Informer, conseiller, contrôler la conformité, coopérer avec la CNIL | Art. 39 |
| Moyens | Ressources nécessaires, accès aux données, maintien des connaissances | Art. 38.2 |
| Indépendance | Pas d’instruction sur l’exercice, pas de conflit d’intérêts, pas de sanction liée à la fonction | Art. 38.3 et 38.6 |
Ces trois piliers sont cumulatifs. Un DPO doté de missions claires mais sans moyens, ou sans indépendance, ne satisfait pas le RGPD.
Modèle de lettre de désignation / lettre de mission DPO
LETTRE DE DÉSIGNATION ET DE MISSION DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES
[Dénomination sociale], représentée par [nom, qualité] (ci-après « l’Organisme »),
DÉSIGNE
[Nom, prénom / fonction], en qualité de délégué à la protection des données (DPO) au sens des articles 37 à 39 du Règlement (UE) 2016/679, à compter du [date].
1. Missions du délégué Le délégué est chargé, conformément à l’article 39 du RGPD, de :
- informer et conseiller l’Organisme et ses salariés sur leurs obligations ;
- contrôler le respect du RGPD et des règles internes de protection des données ;
- dispenser des conseils sur les analyses d’impact et en vérifier l’exécution ;
- coopérer avec la CNIL et être son point de contact ;
- tenir à jour, ou faire tenir, le registre des activités de traitement.
2. Moyens alloués L’Organisme s’engage à fournir au délégué les ressources nécessaires à l’exercice de ses missions (article 38.2), notamment :
- un temps dédié estimé à [X %] de son temps de travail / [temps plein] ;
- un budget de [montant / à valider annuellement] pour la formation et les outils ;
- un accès à l’ensemble des traitements, données et documentation utiles ;
- le soutien des services et le concours des personnels concernés ;
- les moyens d’entretenir et d’actualiser ses connaissances.
3. Indépendance et absence de conflit d’intérêts L’Organisme garantit que le délégué :
- ne reçoit aucune instruction concernant l’exercice de ses missions (article 38.3) ;
- fait directement rapport au niveau le plus élevé de la direction ;
- ne peut être relevé de ses fonctions ni pénalisé pour l’exercice de celles-ci ;
- n’exerce aucune autre fonction susceptible de générer un conflit d’intérêts (notamment fonction déterminant les finalités et moyens des traitements : direction générale, DSI, RH, marketing) ;
- est tenu au secret professionnel dans l’exercice de ses missions.
4. Positionnement Le délégué est rattaché à [direction générale]. Ses coordonnées sont communiquées à la CNIL et publiées : [adresse e-mail dédiée], [adresse postale].
5. Durée La présente désignation est conclue pour une durée [indéterminée / de X ans renouvelable]. Elle sera notifiée à la CNIL via son téléservice.
Fait à [lieu], le [date]. Pour l’Organisme — Le délégué (pour acceptation)
Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 1.0 — 02/07/2026.
La notification à la CNIL, étape par étape
La désignation interne ne suffit pas : elle doit être notifiée à la CNIL, qui attribue au DPO un numéro d’enregistrement. La procédure est entièrement en ligne.
1. Accéder au téléservice. Rendez-vous sur le site de la CNIL, rubrique « Désigner un DPO ». La désignation se fait via un compte sur le téléservice dédié.
2. Renseigner l’organisme. SIREN/SIRET, dénomination, coordonnées, secteur d’activité.
3. Renseigner le DPO. Nom (ou fonction, si le DPO est mutualisé/externe), coordonnées de contact — impérativement une adresse permettant aux personnes concernées et à la CNIL de le joindre. Précisez s’il est interne ou externe.
4. Valider. La CNIL délivre un accusé de réception et un numéro d’enregistrement. Conservez-les : c’est la preuve de votre désignation.
5. Publier les coordonnées. Les coordonnées du DPO doivent être communiquées aux personnes concernées (mentions d’information, note d’information des salariés) et rester accessibles.
| Élément | Où le trouver / le mettre |
|---|---|
| Numéro d’enregistrement DPO | Accusé CNIL — à archiver |
| Coordonnées du DPO | Mentions légales, politiques de confidentialité |
| Lettre de mission | Dossier accountability interne |
| Actualisation | Nouveau passage sur le téléservice en cas de changement |
DPO interne, externe ou mutualisé
Le DPO interne
Un salarié se voit confier la fonction, souvent à temps partiel. Avantage : connaissance de l’organisation. Point de vigilance : le conflit d’intérêts. Un DPO qui est aussi DSI ou responsable marketing détermine les moyens et finalités des traitements qu’il est censé contrôler — situation prohibée par l’article 38.6.
Le DPO externe
La fonction est confiée à un prestataire. C’est une forme de sous-traitance particulière, encadrée par un contrat de service. Avantage : expertise, indépendance native, pas de conflit d’intérêts interne. Les tarifs du DPO externalisé varient selon la taille et la complexité de l’organisation. La lettre de mission est alors remplacée ou complétée par un contrat de prestation reprenant les mêmes garanties.
Le DPO mutualisé
Plusieurs organismes (groupe, réseau associatif) partagent un même DPO. L’article 37.2 l’autorise, à condition qu’il reste facilement joignable depuis chaque établissement. Chaque entité doit alors procéder à sa propre notification à la CNIL, en désignant le délégué commun, et lui garantir individuellement les moyens d’agir sur son périmètre.
Comment choisir entre les trois formules
Le choix se joue sur trois critères : la taille de l’organisation, la sensibilité des traitements et la disponibilité d’une compétence interne sans conflit d’intérêts. Une PME dont aucun salarié n’est disponible sans cumul incompatible a intérêt à externaliser. Un grand groupe traitant des données à grande échelle justifie souvent un DPO interne à temps plein, éventuellement épaulé par des relais. Le réseau d’entités homogènes se prête à la mutualisation. Dans tous les cas, la question décisive reste la même : le délégué disposera-t-il réellement des moyens et de l’indépendance exigés par les articles 38 et 39 ? Un audit RGPD préalable permet de dimensionner correctement la fonction avant de désigner.
Erreurs fréquentes
Désigner sans lettre de mission. La notification CNIL seule ne prouve ni les moyens ni l’indépendance. En cas de contrôle, la lettre de mission est le document attendu. Sans elle, la désignation paraît formelle.
Créer un conflit d’intérêts. Nommer le DSI, le DRH ou le dirigeant comme DPO est l’erreur la plus lourde. Ces fonctions déterminent les traitements ; le DPO doit pouvoir les contrôler en toute indépendance. La CNIL a sanctionné ce type de cumul.
Priver le DPO de moyens. Désigner puis ne rien donner — ni temps, ni budget, ni accès — vide la fonction. L’article 38.2 est explicite sur l’obligation de ressources.
Oublier de publier les coordonnées. Les personnes concernées doivent pouvoir contacter le DPO. Une adresse dédiée doit figurer dans vos mentions d’information. Reliez-la à votre procédure de gestion des droits.
Ne pas actualiser. Changement de DPO, de coordonnées, de périmètre : chaque évolution doit être re-notifiée via le téléservice.
Sanctions
L’absence de désignation lorsqu’elle est obligatoire, comme l’absence de moyens ou d’indépendance, constituent des manquements sanctionnables. La CNIL a prononcé des sanctions à l’encontre d’organismes qui, ayant désigné un DPO, ne lui avaient pas donné les moyens d’agir ou l’avaient placé en situation de conflit d’intérêts. Le message est constant : la désignation formelle ne suffit pas, c’est l’effectivité de la fonction qui compte.
Piloter le rôle du DPO au quotidien — suivi du registre, des analyses d’impact, des demandes de droits, des violations — représente une charge substantielle. Des plateformes comme Legiscope outillent cette fonction en centralisant registre, AIPD et suivi des actions, ce qui allège d’autant la démonstration de conformité que le délégué doit pouvoir produire.
FAQ
La désignation d’un DPO à la CNIL est-elle payante ?
Non. La notification via le téléservice de la CNIL est gratuite. Le coût du DPO tient à la fonction elle-même : temps dédié pour un DPO interne, honoraires pour un DPO externe. La formalité administrative de désignation, elle, ne coûte rien.
Faut-il une lettre de mission si le DPO est externe ?
Le DPO externe est encadré par un contrat de prestation qui joue le rôle de lettre de mission : il doit reprendre les mêmes garanties de missions, de moyens et d’indépendance. La substance est identique ; c’est la forme (contrat de service plutôt qu’acte interne) qui change. Ne signez pas un contrat de DPO externe muet sur l’indépendance.
Le dirigeant peut-il être son propre DPO ?
Non, c’est déconseillé et souvent prohibé. Le dirigeant détermine les finalités et les moyens des traitements ; il ne peut pas les contrôler de façon indépendante. Ce cumul crée un conflit d’intérêts au sens de l’article 38.6. La même incompatibilité vaut pour le DSI, le DRH ou le directeur marketing.
Combien de temps prend la notification CNIL ?
La saisie en ligne prend quelques minutes. La CNIL délivre un accusé de réception et un numéro d’enregistrement. La désignation est effective dès la notification. Préparez en amont le SIREN, les coordonnées de l’organisme et celles du DPO.
Que faire en cas de changement de DPO ?
Vous devez actualiser la désignation via le téléservice : retirer l’ancien DPO et notifier le nouveau. Mettez à jour en parallèle les coordonnées publiées dans vos mentions d’information et votre procédure de gestion des droits. La continuité doit être assurée : les personnes concernées doivent toujours pouvoir joindre un délégué.
La lettre de mission doit-elle être signée par le DPO ?
Il est vivement recommandé de la faire contresigner par le DPO « pour acceptation ». Cela matérialise son accord sur les missions et les moyens, et démontre que la fonction a été acceptée en connaissance de cause. C’est une pièce utile du dossier d’accountability.