Retour aux actualités
RGPD
Le DPO augmenté : quand le RGPD ne suffit plus

Le DPO augmenté : quand le RGPD ne suffit plus

Nicolas Ragot
Nicolas Ragot 10/09/2025
Le RGPD seul ne suffit plus. Avec l’AI Act, DORA et NIS 2 qui convergent vers lui, le Délégué à la protection des données (DPO) se retrouve au cœur d’un véritable hub de conformité numérique, où les flux normatifs menacent de saturer ses capacités jusqu’à soulever la question cruciale de son obsolescence. 

Aux autorités de contrôle qui ne cessent de techniciser leur doctrine et de créer des ponts normatifs avec les réglementations encadrant l'intelligence artificielle et la cybersécurité, s’ajoute l’impossibilité pour les organisations de recruter un spécialiste de chaque norme.

Le DPO est donc poussé à dépasser sa norme d’origine pour augmenter son champ d’action et devenir un véritable chef d’orchestre de la conformité numérique.

Mais comment mener la conformité numérique sans épuiser le DPO ?

Décryptage des transformations en cours.

1. La technicisation du DPO : du juriste RGPD au chargé de conformité numérique


Historiquement identifié comme un juriste en charge de la conformité RGPD, le DPO se trouve aujourd’hui projeté dans un écosystème où les frontières entre droit et technique s’effacent pour rendre la fonction hybride :
  • La CNIL, dans ses lignes directrices, adopte un ton de plus en plus technique et investit le DPO dans la conformité des traitements de données personnelles réalisés par les systèmes d’intelligence artificielle.
  • L’AI Act nécessite de comprendre la logique d’entraînement des modèles, la gestion des biais et la traçabilité des systèmes d’IA.
  • DORA et NIS 2 posent une culture de la cybersécurité et de la résilience numérique, avec un double impact juridique et technique.
Le DPO se voit ainsi imposer une montée en compétences sur des sujets jusqu’ici réservés aux RSSI ou aux data scientists.

Cette évolution n’est pas seulement théorique : elle se mesure aussi dans la pratique.

  • Dans son étude menée sur 3 625 répondants en 2024, l’AFPA nous apprend que 56 % des DPO sont consultés en amont d’un nouveau traitement et 62 % sont conviés lorsque la thématique RGPD est abordée en plus haute instance, signe d’une reconnaissance croissante.
  • Pourtant, cette légitimité se heurte à un manque criant de moyens : 85 % des DPO exercent à temps partiel, dont 61 % consacrent moins de 25 % de leur temps à leurs missions.
  • De plus, la place des DPO issus des domaines hors juridique et informatique est prépondérante (51% des DPO), ce qui limite leur technicité pour évaluer les risques émergents.

Ainsi se dessine un paradoxe : alors que la fonction de DPO se complexifie et se technicise à grande vitesse, elle reste majoritairement exercée avec peu de temps, peu de moyens et souvent par des professionnels qui n’ont pas été formés pour faire face à ce nouvel horizon de conformité numérique.

2. Le risque d’obsolescence : un rôle en tension face à l’inflation normative


Le DPO se trouve aujourd’hui dans une situation délicate : soumis à l'expansion des régulations (AI Act, DORA, NIS 2...), il est aussi confronté à la réalité de moyens limités, multipliant ainsi le risque d’obsolescence.

L’AFCDP confirme cette tension dans son baromètre trimestriel de mai 2025 : si 45 % des DPO se disent confiants dans la stratégie de protection des données de leur organisation (en légère hausse par rapport aux 42 % de janvier), près d’un tiers (31 %) jugent leur organisation encore insuffisamment fiable sur ce plan. Par ailleurs, 19 % pointent l’instabilité réglementaire comme facteur de fragilisation, signe que l’inflation normative continue de peser lourdement sur les capacités de projection et de priorisation des DPO.

Ces signaux convergent vers une conclusion sans appel : un DPO cantonné au seul RGPD est rapidement dépassé. Face à l’inflation réglementaire, l’absence de formation, d’accompagnement ou de reconnaissance expose à l’obsolescence, et à la marginalisation dans la gouvernance.

3. Les limites humaines : quand les DPO craquent sous la pression


Au-delà des enjeux techniques, l’humain reste au cœur du problème. La plupart des DPO gèrent leurs responsabilités dans des conditions éprouvantes.

D’abord, ils sont souvent seuls et multitâches : 85 % des DPO cumulent cette fonction avec une autre mission, un signe de l’insuffisance des ressources dédiées. 

La satisfaction globale est en recul : seuls 54 % se disent satisfaits de leur travail, un chiffre en baisse significative depuis les études précédentes. Parallèlement, 91 % déclarent être convaincus de l’utilité sociale de leur rôle, soulignant une motivation forte malgré les tensions. 

Le sentiment d’isolement et de surcharge se confirme dans les structures plus petites — souvent sous-dotées — où les profils DPO sont fréquemment hors juridique et hors IT, ce qui limite leur capacité à traiter les enjeux techniques. 

Le panorama est donc contrasté : les DPO sont convaincus de l’importance de leur rôle, mais largement mal armés pour le porter pleinement, et exposés à un épuisement professionnel tant organisationnel (temps, moyens) qu’émotionnel (charge mentale, isolement).

4. Vers un DPO augmenté : pistes d’action pour les organisations


L’évolution du rôle du DPO ne peut reposer uniquement sur la volonté ou la capacité individuelle du titulaire de la fonction. Elle nécessite une véritable stratégie organisationnelle, qui combine ressources internes et appuis externes.

a) Clarifier le mandat du DPO
  • Positionner explicitement le DPO comme Chargé de conformité numérique dans sa lettre de poste.
  • Définir clairement son périmètre de coordination, en s’appuyant sur des relais internes (RSSI, métiers).

b) Développer des synergies internes
  • Mettre à jour les instances de gouvernance pour y intégrer la conformité numérique et ses composantes (protection des données personnelles, sécurité des systèmes d’intelligence artificielle, sécurité des systèmes d’information, résilience numérique …).
  • Mettre à jour les circuits de coopération avec l’IT, la sécurité et les directions métiers pour fluidifier les échanges (politique Privacy by design).

c) S’appuyer sur un accompagnement externe
  • Recourir à des prestataires spécialisés pour former et sensibiliser le DPO aux aspects techniques ou sectoriels trop spécifiques.
  • Intégrer ces partenaires comme un complément au rôle interne du DPO, et non comme un substitut, afin de garantir cohérence et continuité.

5. Conclusion : du DPO augmenté vers la confiance numérique


Un DPO réduit au seul RGPD devient un DPO en sursis.

L’inflation normative transforme la fonction en pivot stratégique de la conformité numérique. Ignorer cette évolution, c’est exposer l’organisation à un triple risque : juridique (sanctions et contentieux), cyber (failles et crises non anticipées) et humain (épuisement ou départ du DPO).

Or, quand on sait l’apport structurel que le DPO offre à son organisation – en renforçant la gouvernance, en fluidifiant les échanges entre métiers et en anticipant les risques –, le soutenir apparaît comme un véritable investissement stratégique.

Les entreprises qui choisiront d’investir dans leurs DPO – par la formation, les outils et l’accompagnement – en tireront un avantage décisif : la confiance numérique.

Nos dernières actualités

RGPD
Loi anti-démarchage téléphonique : vers la culture de confiance ?

Loi anti-démarchage téléphonique : vers la culture de confiance ?

20/10/2025

NIS2
NIS2 : ce que change le projet de loi français

NIS2 : ce que change le projet de loi français

23/09/2025

NIS2
NIS2 : Les actions clés pour démarrer votre conformité

NIS2 : Les actions clés pour démarrer votre conformité

23/09/2025

RGPD
Retex : exercice de droits et défaut de consentement au démarchage

Retex : exercice de droits et défaut de consentement au démarchage

16/09/2025

RGPD
Jeux vidéo et RGPD : Essaye encore !

Jeux vidéo et RGPD : Essaye encore !

21/07/2025

Zéro cookies, zéro pistage.