Quel est le rôle du DPO dans la mise en œuvre de la surveillance en entreprise ?

Réponse courte

Le Délégué à la Protection des Données (DPO) doit être associé dès la conception de tout projet de surveillance en entreprise (article 38(1) du RGPD). Sa désignation est obligatoire lorsque l'activité principale consiste en un suivi régulier et systématique à grande échelle des personnes (article 37(1)(b) RGPD), ce qui inclut généralement les dispositifs de surveillance des salariés.

Le DPO conseille, contrôle et coopère avec la CNPD : il évalue la nécessité et la proportionnalité, supervise l'analyse d'impact, suit la conformité et traite les réclamations (articles 37 à 39 RGPD). Son avis n'est pas contraignant mais doit être documenté ; le passer outre engage la responsabilité de l'organe de direction. Le DPO bénéficie d'une indépendance fonctionnelle et rapporte au plus haut niveau hiérarchique.

Définition

Le DPO est un expert indépendant désigné en application des articles 37 à 39 du RGPD applicable en entreprise pour conseiller le responsable de traitement, contrôler la conformité interne et coopérer avec l'autorité de contrôle (CNPD). Sa désignation est obligatoire pour les autorités publiques et pour les organismes dont l'activité principale comporte un suivi régulier et systématique à grande échelle.

Il bénéficie d'une indépendance fonctionnelle : il rapporte directement au plus haut niveau de la direction, ne peut recevoir d'instructions sur l'exercice de ses missions et ne peut être sanctionné pour leur exécution.

Questions fréquentes

L'employeur peut-il passer outre l'avis du DPO ?

Oui, l'avis du DPO n'est pas contraignant : le responsable de traitement peut s'en écarter, mais la décision doit être motivée et documentée. Passer outre engage la responsabilité de l'organe de direction en cas de contrôle.

La désignation d'un DPO est-elle obligatoire pour les dispositifs de surveillance ?

Oui, lorsque l'activité principale consiste en un suivi régulier et systématique à grande échelle des personnes (article 37(1)(b) RGPD), ce qui inclut généralement les dispositifs de surveillance des salariés. Sinon, une désignation volontaire est recommandée.

Le DPO peut-il cumuler ses fonctions avec un autre poste RH ?

Non, il ne peut cumuler avec une fonction décidant des finalités du traitement. Cela créerait un conflit d'intérêts. Il doit disposer de ressources suffisantes et d'une expertise sur le droit et les pratiques de protection des données.

Quel est le rôle du DPO dans la mise en place d'un dispositif de surveillance ?

Le DPO doit être associé dès la conception du projet (article 38(1) RGPD). Il conseille, contrôle, supervise l'AIPD et coopère avec la CNPD. Son avis n'est pas contraignant mais doit être documenté (articles 37 à 39 RGPD).

Quelle indépendance doit avoir le DPO dans l'entreprise ?

Le DPO bénéficie d'une indépendance fonctionnelle (article 38(3) RGPD) : il ne reçoit aucune instruction sur ses missions, ne peut être sanctionné et rapporte directement au plus haut niveau de la direction.

Quelles sanctions pour absence de DPO lorsque sa désignation est obligatoire ?

Le défaut de désignation ou l'absence d'association du DPO est sanctionné jusqu'à 2 % du chiffre d'affaires mondial (article 83(4) RGPD). La désignation doit aussi être notifiée à la CNPD.

Conditions d’exercice

La désignation du DPO est obligatoire pour les entreprises dont les activités principales impliquent un suivi régulier et systématique des salariés à grande échelle ; les autres employeurs peuvent désigner un DPO volontairement, ce qui est recommandé pour tout dispositif de surveillance.

Condition	Exigence
Désignation	Obligatoire si suivi régulier et systématique à grande échelle (article 37 RGPD)
Expertise	Connaissance du droit et des pratiques de protection des données
Indépendance	Aucune instruction sur l'exercice des missions (article 38(3) RGPD)
Absence de conflit	Pas de cumul avec une fonction décidant des finalités du traitement
Notification	Désignation communiquée à la CNPD
Ressources	Moyens suffisants pour l'exercice des missions

Modalités pratiques

L'intervention du DPO s'articule autour de quatre temps : conseil amont, supervision de l'AIPD, suivi du déploiement, contrôle continu et traitement des réclamations.

Démarche	Précision
Consultation préalable	Information du DPO dès la conception du projet (article 38 RGPD)
Supervision de l'AIPD	Article 35(2) RGPD : conseil sur l'analyse d'impact
Avis documenté	Position formalisée, tracée dans le registre
Contrôle de la conformité	Article 39(1)(b) RGPD : audits réguliers
Coopération avec la CNPD	Point de contact pour les questions et contrôles
Traitement des réclamations	Réponse aux demandes des salariés et personnes concernées
Formation et sensibilisation	Article 39(1)(b) RGPD : information du personnel

Pratiques et recommandations

Associer le DPO dès les premières réflexions sur tout dispositif de surveillance.

Documenter chaque avis émis par le DPO et la décision prise par le responsable de traitement.

Garantir au DPO l'accès aux informations, aux locaux et aux moyens nécessaires à sa mission.

Articuler l'action du DPO avec celle du DPO et de la délégation du personnel sur les dispositifs RH.

Former régulièrement le personnel concerné aux règles de protection des données et au rôle du DPO.

Cadre juridique

Référence	Objet
Art. L.261-1 du Code du travail	Traitement de données pour surveillance des salariés
Art. L.414-9 du Code du travail	Consultation/co-décision de la délégation du personnel
Loi modifiée du 1er août 2018	Protection des données à caractère personnel
Règlement (UE) 2016/679 (RGPD)	Articles 35, 37, 38, 39, 88
Lignes directrices CEPD	Désignation et missions du DPO (anciennes G29 WP243)

Note

L'avis du DPO n'est pas contraignant : le responsable de traitement peut s'en écarter, mais cette décision doit être motivée et documentée. Le défaut de désignation lorsqu'elle est obligatoire ou l'absence d'association du DPO sont sanctionnables jusqu'à 2 % du chiffre d'affaires mondial (article 83(4) RGPD).