Dans beaucoup d’entreprises, on entend encore la même chose : « Notre DPO s’occupe de tout ce qui touche à la privacy. » Sauf que cette phrase, aussi rassurante soit-elle, révèle souvent un malentendu profond. Le DPO et le responsable privacy ne font pas le même métier. Ils ne portent pas les mêmes responsabilités, ne se positionnent pas au même endroit dans l’organigramme, et surtout, ils n’ont pas la même marge de manœuvre. Les confondre, c’est un peu comme demander à un arbitre de football de jouer milieu de terrain en même temps. Sur le papier, les deux connaissent les règles. Dans la pratique, ça ne peut pas fonctionner.
Pourtant, la confusion est tenace. Elle s’explique en partie par le fait que le RGPD a mis le DPO sous les projecteurs sans vraiment parler du responsable privacy, qui est une création purement organisationnelle. Résultat : des entreprises qui pensent avoir coché toutes les cases en nommant un DPO, alors qu’il leur manque un maillon opérationnel essentiel. Et d’autres qui créent un poste de responsable privacy sans jamais clarifier où s’arrête son périmètre et où commence celui du délégué à la protection des données. Les zones grises qui en découlent ne sont pas anodines. Elles peuvent coûter cher, notamment lors d’un contrôle de la CNIL.
Alors, qu’est-ce qui distingue vraiment ces deux fonctions ? Et comment les faire cohabiter intelligemment ? C’est ce que nous allons décortiquer ici, sans jargon inutile mais sans simplification excessive non plus.
Le DPO : une fonction encadrée par le RGPD, pas un titre honorifique
Commençons par le commencement. Le délégué à la protection des données, ou Data Protection Officer, n’est pas un poste que l’on invente un lundi matin pour rassurer un client. Sa fonction est strictement définie par les articles 37 à 39 du RGPD, qui précisent dans quels cas sa désignation est obligatoire, quelles sont ses missions et quelles garanties encadrent son exercice.
La désignation d’un DPO s’impose dans trois situations :
- Le traitement est effectué par une autorité publique ou un organisme public
- Les activités de base de l’organisation impliquent un suivi régulier et systématique des personnes à grande échelle
- L’organisation traite à grande échelle des catégories particulières de données (santé, biométrie, opinions politiques, etc.)
En dehors de ces cas, la CNIL recommande fortement d’en désigner un. Et dans les faits, la plupart des entreprises de taille intermédiaire le font, ne serait-ce que pour démontrer leur bonne foi en matière d’accountability.
Ce que fait concrètement un DPO
Le DPO n’est pas celui qui met les mains dans le cambouis de la conformité. Son rôle tourne autour de trois axes bien définis.
Il informe et conseille. Il sensibilise la direction, les métiers et les sous-traitants aux obligations du RGPD. Il rend des avis sur les analyses d’impact, alerte sur les risques, recommande des mesures. Mais attention : il ne décide pas. Cette nuance est fondamentale et trop souvent ignorée.
Il contrôle la conformité. Le DPO vérifie que les traitements respectent le cadre légal. Il audite, examine, signale les écarts. C’est un rôle de vigie, pas de chef de chantier.
Il coopère avec la CNIL. En cas de contrôle, de violation de données ou de réclamation d’un particulier, c’est le DPO qui sert de point de contact officiel avec l’autorité de régulation.
L’indépendance, pierre angulaire du rôle
Voilà probablement le point le plus mal compris dans les organisations. L’article 38 du RGPD est pourtant limpide : le DPO ne doit recevoir aucune instruction concernant l’exercice de ses missions. Il ne peut être sanctionné pour avoir fait son travail. Il rend compte directement au plus haut niveau de la direction.
Concrètement, cela signifie qu’un DPO ne peut pas être juge et partie. Lui confier la responsabilité de construire le dispositif de conformité tout en lui demandant de le contrôler, c’est structurellement incompatible. C’est comme demander à un auditeur de rédiger les comptes qu’il va ensuite certifier. Personne ne trouverait ça normal dans le domaine financier, et pourtant, en matière de données personnelles, c’est monnaie courante.
Et c’est précisément pour combler ce vide opérationnel que le responsable privacy entre en scène.
Le responsable privacy : celui qui fait tourner la machine au quotidien
Contrairement au DPO, le responsable privacy ne figure dans aucun texte de loi. Pas d’article dédié, pas de notification à la CNIL, pas de protection statutaire particulière. C’est une fonction née du terrain, de la réalité quotidienne des organisations qui ont compris que la conformité RGPD ne se décrète pas depuis un bureau : elle se construit projet par projet, procédure par procédure, incident par incident. Pour comprendre la différence entre DPO et responsable privacy, il est d’ailleurs utile de se tourner vers des ressources spécialisées comme celles proposées par Phenix Privacy, qui aborde ces questions avec une approche pédagogique particulièrement claire.
On l’appelle parfois privacy manager, privacy officer ou responsable conformité RGPD. Peu importe l’intitulé : c’est la personne qui pilote concrètement la conformité. Elle coordonne les parties prenantes internes, alimente le registre des traitements, rédige les procédures, gère les demandes d’exercice de droits, orchestre les réponses aux violations de données.
Un périmètre d’action très large
Le quotidien du responsable privacy couvre plusieurs fronts en parallèle :
- Gouvernance des données : politiques internes, registre des traitements, cartographie des flux, animation du cadre de gouvernance
- Pilotage des projets : intégration du privacy by design, analyses d’impact, gestion contractuelle avec les sous-traitants
- Gestion opérationnelle : traitement des demandes de droits (accès, rectification, effacement, portabilité), gestion des incidents, reporting
- Acculturation : programmes de sensibilisation, accompagnement des métiers au quotidien
Là où le DPO conseille et contrôle, le responsable privacy exécute et coordonne. Cette différence de posture change absolument tout.
Un positionnement hiérarchique qui n’a rien à voir
Le responsable privacy s’inscrit dans une ligne managériale classique. Direction juridique, DSI, direction de la conformité, direction des risques : son rattachement varie selon les organisations. Il a des objectifs, des KPI, un budget. Il reçoit des instructions et rend des comptes sur l’avancement de ses chantiers. Cette subordination hiérarchique, qui serait problématique pour un DPO, est parfaitement normale et même nécessaire pour un responsable privacy. C’est elle qui lui donne les leviers pour mobiliser les équipes et faire avancer les projets.
Pourquoi la confusion entre les deux expose à des risques bien réels ?
On pourrait se dire que tout cela relève du pinaillage organisationnel. Ce serait une erreur. Quand une même personne cumule les deux fonctions, elle se retrouve à contrôler son propre travail. Le Comité Européen de la Protection des Données l’a dit clairement : le DPO ne peut pas exercer de fonction qui l’amènerait à déterminer les finalités et les moyens d’un traitement. Or, concevoir un dispositif de conformité, c’est exactement cela.
Ce n’est pas de la théorie. En 2020, l’autorité belge de protection des données a infligé une amende de 50 000 euros à une entreprise dont le DPO cumulait cette fonction avec celles de responsable conformité, audit interne et gestion des risques. Le signal envoyé est sans ambiguïté.
Au-delà du conflit d’intérêts, il y a la dilution des responsabilités. Quand personne ne sait exactement qui fait quoi, les tâches passent entre les mailles du filet. Le registre des traitements prend du retard parce que chacun pense que c’est l’autre qui s’en charge. Les demandes de droit d’accès dépassent le délai légal d’un mois. Les analyses d’impact restent dans les tiroirs. Ce genre de dysfonctionnement, la CNIL le repère vite lors d’un contrôle.
Il y a aussi un effet plus insidieux. Un DPO noyé dans l’opérationnel perd le recul nécessaire pour jouer son rôle de vigie. Il ne peut plus challenger les décisions avec la distance critique que le RGPD attend de lui. Le dispositif de conformité tourne alors en circuit fermé, sans le regard indépendant qui en garantit la crédibilité. Investir dans la formation en entreprise sur ces sujets permet justement d’éviter ce type de dérive en clarifiant les rôles dès le départ.
Comment faire cohabiter les deux fonctions intelligemment ?
Le schéma idéal : séparer clairement avec des points de liaison formalisés
L’articulation la plus robuste repose sur une règle simple : le responsable privacy construit et anime le dispositif, le DPO l’évalue et assure le lien avec la CNIL. Les deux échangent régulièrement, mais aucun n’est subordonné à l’autre.
Dans la pratique, leurs interactions se concentrent sur quatre moments clés :
- En amont des projets : le responsable privacy sollicite l’avis du DPO sur les nouveaux traitements. Le DPO rend un avis consultatif que le responsable privacy intègre dans son pilotage.
- Lors des analyses d’impact : le responsable privacy prépare et conduit l’analyse. Le DPO la revoit, la challenge et formule un avis documenté.
- En cas de violation de données : le responsable privacy gère l’incident opérationnellement. Le DPO évalue s’il faut notifier la CNIL et accompagne la démarche si nécessaire.
- Pour le reporting : le responsable privacy produit les indicateurs. Le DPO les exploite dans son rapport annuel à la direction.
Et quand on n’a pas les moyens de dédoubler les postes ?
Soyons réalistes : toutes les organisations ne peuvent pas se permettre deux profils dédiés. Les PME, en particulier, doivent composer avec des ressources limitées. Plusieurs options permettent malgré tout de préserver l’indépendance du DPO :
- DPO externalisé et responsable privacy interne : un cabinet ou un avocat assure la fonction de DPO en temps partagé, tandis qu’un collaborateur interne gère la conformité au quotidien. C’est le schéma le plus courant dans les PME qui prennent le sujet au sérieux.
- DPO mutualisé : le RGPD permet de désigner un DPO commun à plusieurs entités d’un même groupe, voire entre organisations distinctes. Cela libère des ressources pour un responsable privacy dédié dans chaque structure.
- Cumul avec garde-fous renforcés : si le cumul est inévitable, il faut au minimum documenter les mesures prises pour prévenir les conflits d’intérêts. Rattachement au plus haut niveau, comité de pilotage privacy distinct, audit externe régulier du dispositif.
Les signaux qui montrent que l’articulation fonctionne
Comment savoir si votre organisation a trouvé le bon équilibre ? Quelques indicateurs concrets. Le DPO est consulté en amont des projets, pas une fois que tout est ficelé. Il dispose du temps et des ressources nécessaires pour remplir sa mission de contrôle. Ses recommandations sont documentées et suivies d’effet, ou à défaut, les raisons du refus sont formalisées par écrit. De son côté, le responsable privacy a la légitimité suffisante pour mobiliser les métiers sans devoir batailler à chaque réunion.
À l’inverse, certains signaux doivent alerter : un DPO systématiquement mis devant le fait accompli, un responsable privacy sans accès à la direction, des recommandations qui finissent régulièrement au fond d’un tiroir, ou un flou persistant sur qui valide quoi. Si vous reconnaissez votre organisation dans cette description, il est probablement temps de remettre les choses à plat.
Au-delà de la conformité : un enjeu de maturité organisationnelle
Distinguer clairement DPO et responsable privacy, ce n’est pas un exercice de style réservé aux grandes entreprises. C’est le reflet d’une organisation qui a compris que la protection des données n’est pas une case à cocher sur un formulaire de conformité, mais un véritable enjeu de gouvernance, de confiance client et, de plus en plus, de compétitivité.
Les structures qui ont pris le temps de clarifier ces rôles en tirent des bénéfices très concrets. Les projets intègrent le privacy by design dès la conception au lieu de s’en préoccuper en mode rattrapage, toujours plus coûteux. Les relations avec la CNIL sont plus sereines grâce à un DPO qui peut réellement jouer son rôle d’interlocuteur indépendant. Et la culture de la protection des données finit par infuser naturellement dans les pratiques quotidiennes des équipes.
À l’heure où le cadre réglementaire européen se densifie avec le Digital Services Act, le Data Act et le règlement sur l’intelligence artificielle, cette structuration devient un avantage stratégique. Les entreprises capables de démontrer une gouvernance privacy solide, avec des rôles clairement distribués et une articulation fluide entre contrôle et opérationnel, se positionnent bien mieux face aux attentes croissantes des clients, des partenaires et des régulateurs.
La vraie question n’est donc plus de choisir entre un DPO et un responsable privacy. C’est de comprendre pourquoi votre organisation a besoin des deux, et surtout, comment les faire travailler ensemble sans que l’un n’empiète sur le territoire de l’autre.
