Le DPO RGPD : périmètre historique

Le DPO est défini par les articles 37 à 39 du Règlement (UE) 2016/679 — le RGPD. Sa désignation est obligatoire dans trois cas : autorité publique, traitement à grande échelle de données particulières, surveillance systématique à grande échelle.

Missions historiques

  • Informer et conseiller la direction et les opérationnels.
  • Contrôler la conformité au RGPD et aux politiques internes.
  • Conduire ou superviser les analyses d'impact relatives à la protection des données (AIPD, article 35).
  • Coopérer avec l'autorité de contrôle (CNIL en France).
  • Servir de point de contact pour les personnes concernées.

La CNIL maintient une page dédiée à la désignation et au rôle du DPO avec un référentiel de certification volontaire.

Indépendance et garanties

L'article 38 du RGPD garantit l'indépendance du DPO : pas d'instructions sur l'exercice de ses missions, pas de sanction pour cet exercice, accès direct au plus haut niveau de management. Cette protection s'étend aux missions IA quand elles sont attribuées au DPO.

Les 3 nouvelles missions imposées par l'AI Act

Mission 1 — Cartographier les systèmes d'IA

L'AI Act ne mentionne pas le DPO comme acteur obligatoire. Mais en pratique, le registre des systèmes d'IA (équivalent du registre article 30 RGPD) est porté par le DPO ou son équipe dans 80 % des PME-ETI. Le registre AI Act liste : nom du système, fournisseur, version, finalité, catégorie de risque AI Act, données traitées (croisement RGPD), responsable métier.

Volume typique : 5-15 entrées en PME, 20-40 en ETI services, 50+ en grand groupe. Investissement : 2-5 jours-DPO la première année, 1 jour-DPO en révision annuelle. Voir notre hub AI Act.

Mission 2 — Coordonner AIPD et FRIA

L'AIPD (RGPD article 35) et la FRIA (AI Act article 27) ont des grilles d'analyse partiellement disjointes. Le DPO conduit naturellement les AIPD ; sur les systèmes haut risque traitant des données personnelles, il coordonne la FRIA avec le référent IA et le métier. Voir notre grille AI Act vs RGPD.

Sur les missions IAPRO, on consolide AIPD et FRIA en un document maître de 35-80 pages, signé conjointement par DPO et direction. Cette pratique convient à la doctrine CNIL et facilite les contrôles.

Mission 3 — Co-piloter le plan article 4

L'article 4 du règlement (UE) 2024/1689 impose un plan de formation IA pour tous les salariés et prestataires exposés. La RH porte la mise en œuvre, la DSI fournit l'inventaire des systèmes, le DPO assure la cohérence avec le RGPD (notamment sur les biais et la supervision humaine). Voir notre article AI Act article 4 — plan de formation modèle.

Le DPO contribue typiquement à 15-25 h par an sur le plan article 4 : rédaction des modules juridiques, validation des supports, animation de la session « DPO et risques IA ».

La fiche de poste actualisée — modèle IAPRO

Intitulé

Délégué à la Protection des Données et Référent Conformité IA

(Pour les structures ≤ 250 salariés. Au-delà, on sépare DPO et Référent IA en deux fiches distinctes.)

Mission générale

Garantir la conformité de l'organisation au RGPD et au Règlement (UE) 2024/1689 (AI Act), conseiller les opérationnels et la direction, conduire les analyses d'impact, animer le plan de formation IA, servir de point de contact avec la CNIL et la DGCCRF.

Activités principales (10 axes)

  1. Tenir le registre des traitements RGPD art. 30 et le registre des systèmes d'IA.
  2. Conduire les AIPD et FRIA consolidées sur les systèmes haut risque.
  3. Conseiller sur la qualification AI Act (fournisseur vs déployeur, catégorie de risque).
  4. Co-piloter le plan article 4 avec RH et DSI, animer les modules juridiques.
  5. Vérifier la documentation annexe IV des systèmes fournis ou intégrés.
  6. Auditer la supervision humaine art. 14 et son effectivité.
  7. Surveiller les contrats fournisseurs IA (clauses RGPD + clauses AI Act).
  8. Tenir le journal des incidents IA (art. 73 du règlement, signalement 15 jours).
  9. Animer la veille réglementaire (Commission, AI Office, CNIL, EDPB, ACPR…).
  10. Préparer le reporting annuel au CODIR et au Conseil d'administration.

Compétences requises

  • Diplôme niveau bac+5 droit ou data ou sécurité, ou expérience équivalente.
  • Maîtrise du RGPD (référentiel CNIL DPO recommandé).
  • Maîtrise du Règlement (UE) 2024/1689 — formation 35h minimum.
  • Compréhension des architectures IA (LLM, RAG, fine-tuning, MLOps).
  • Compétences relationnelles : facilité à parler avec dev, RH, juristes, dirigeants.
  • Idéalement : pratique des outils de gouvernance (registres, AIPD, audits).

Positionnement hiérarchique

Rattachement direct au plus haut niveau (DG, DGA, Secrétaire général). Indépendance garantie par l'article 38 RGPD. Accès libre au CODIR pour escalade. Visite mensuelle au Comité d'audit si organisation cotée.

Charge de travail estimée

  • PME 50-150 salariés avec usage IA modéré : 0,3 à 0,5 ETP la première année, 0,2 ETP en croisière.
  • ETI 250-500 salariés avec systèmes haut risque : 0,8 à 1 ETP la première année, 0,5 à 0,7 ETP en croisière.
  • Grand groupe : 2 à 5 ETP coordonnés par un Chief Privacy & AI Officer.

DPO interne vs DPO externalisé : arbitrage en 2026

Modèle 1 — DPO interne

Avantage : connaissance fine de l'organisation, disponibilité, intégration dans les comités. Inconvénient : charge supplémentaire en année 1, risque de saturation si l'organisation ne libère pas le temps. Adapté aux ETI ≥ 250 salariés avec systèmes haut risque.

Modèle 2 — DPO externalisé (cabinet)

Avantage : expertise mutualisée, veille active, accès à un réseau. Inconvénient : moindre intégration interne, dépendance contractuelle. Tarif moyen 2026 : 800 à 2 500 €/mois pour PME, 3 000 à 8 000 €/mois pour ETI. Recommandé pour les PME ≤ 100 salariés sans expertise interne.

Modèle 3 — DPO interne + référent IA externalisé

Avantage : DPO interne sur le RGPD historique, expertise externe sur l'AI Act. Recommandé pour les ETI 100-250 salariés en montée en compétence. C'est le modèle que propose IAPRO via notre partenaire Regulia.fr.

Formation continue du DPO sur l'AI Act

Socle initial (35 h)

  • 7 h : architecture du règlement (UE) 2024/1689, calendrier, sanctions.
  • 7 h : qualification des systèmes (annexes I, III, GPAI).
  • 7 h : obligations fournisseur (annexe IV, déclaration UE, marquage CE).
  • 7 h : obligations déployeur (supervision humaine, plan art. 4, FRIA).
  • 7 h : articulation AI Act – RGPD – sectoriel (ACPR, ANSM, ARCOM).

Mise à jour annuelle (14 h)

  • Évolutions des lignes directrices AI Office et CNIL.
  • Premières affaires de sanction et leçons.
  • Évolutions des normes ISO/IEC 42001, 23894, 5338.

Financements

  • OPCO : prise en charge jusqu'à 100 % selon branche.
  • CPF : éligible si formation inscrite au RNCP/Répertoire spécifique.
  • FNE-Formation : pour les DPO en mutation économique.
  • Bpifrance Université : modules dirigeants et DPO.

Voir notre hub aides et la formation gratuite IA et règlementation de France Num (26 minutes, dirigée par Sarah Lenoir, cabinet Alkeemia Avocat).

Les outils du DPO 2026

Outils RGPD historiques

  • Registre des traitements (article 30 RGPD).
  • Modèles d'AIPD (CNIL, EDPB).
  • Procédures d'exercice des droits.
  • Journal des violations de données.

Nouveaux outils AI Act

  • Registre des systèmes d'IA (article 60 du règlement pour la base européenne ; en interne, un tableur ou un outil dédié).
  • Modèles de FRIA (publications EDPB et CNIL).
  • Tableau de bord des sanctions encourues (provisionnement).
  • Modèles de clauses contractuelles IA fournisseurs.
  • Modèle de journal des incidents IA (article 73).

Intégration outillée

Plusieurs éditeurs proposent en 2026 des plateformes de gouvernance combinées RGPD + AI Act (DPO Connect, OneTrust, BigID…). Évaluer le ROI : pour une ETI ≤ 500 salariés, un fichier consolidé maintenu rigoureusement coûte généralement moins cher qu'un SaaS dédié.

Les pièges à éviter

Piège n°1 — Confondre RGPD et AI Act

Un DPO compétent en RGPD ne couvre pas automatiquement l'AI Act. La formation 35h est indispensable. Sans elle, le DPO peut donner des avis erronés sur la qualification fournisseur/déployeur.

Piège n°2 — Cumul DPO + RSSI sans temps

Beaucoup de PME cumulent DPO et RSSI sur la même personne avec 0,1 ETP. C'était déjà tendu pour le RGPD. C'est intenable avec l'AI Act. Soit on libère 0,3-0,5 ETP, soit on externalise une partie.

Piège n°3 — DPO sans accès au CODIR

L'article 38 RGPD prévoit l'accès direct au plus haut niveau. Pour les arbitrages AI Act (choix de systèmes, provisionnement de sanctions, refus d'un cas d'usage), cet accès est vital. Un DPO maintenu au niveau intermédiaire ne pourra pas escalader à temps.

Piège n°4 — Confier l'AI Act au seul DSI

La DSI a la maîtrise technique mais pas le réflexe droits fondamentaux. Le DPO apporte ce regard. Sur les systèmes haut risque, le binôme DSI + DPO est indispensable.

Cas pratique — ETI services 320 salariés

Pour un cabinet de conseil 320 salariés CA 38 M€, l'audit AI Act IAPRO 2025 a abouti à une fiche de poste DPO consolidée comme suit :

  • 0,8 ETP DPO interne (auparavant 0,4 ETP pur RGPD).
  • 14 h/mois de référent IA externalisé (cabinet Regulia.fr) pour les questions techniques pointues.
  • 35h de formation initiale OPCO, 14h annuelles.
  • 5 systèmes IA cartographiés dont 1 haut risque (scoring CV).

Coût total surcoût année 1 : 28 000 € (formation, externalisation, mission cadrage) — cofinancé à 65 % par OPCO Atlas + diagnostic Bpifrance Data IA.

Articulation avec les autres rôles

  • DSI : porte l'inventaire technique et l'architecture. Binôme indispensable.
  • RSSI : porte la cybersécurité du système (art. 15). Coopération sur les tests adverses.
  • RH : porte la mise en œuvre du plan article 4. Coopération sur la sensibilisation.
  • Direction juridique : porte les contrats fournisseurs et la doctrine. Avis sur les cas litigieux.
  • Direction métier : porte la finalité et l'usage. Co-signature des FRIA.

Le DPO orchestre ces interactions sans absorber toutes les compétences.

FAQ — Rôle du DPO face à l'AI Act

Le DPO est-il légalement obligé de couvrir l'AI Act ?

Non, l'AI Act ne désigne pas le DPO comme acteur obligatoire. Mais en pratique, dans 80-90 % des PME et ETI, c'est le DPO qui porte la conformité AI Act parce qu'il a déjà la culture de la conformité, l'accès aux dirigeants, et la coopération avec la CNIL. La doctrine CNIL et EDPB encourage cette extension naturelle du rôle.

Faut-il créer un poste de Chief AI Officer distinct ?

Pour les organisations ≥ 500 salariés avec plusieurs systèmes haut risque, oui. Le Chief AI Officer porte la gouvernance IA globale, le DPO reste centré sur la protection des données. En PME et ETI ≤ 250 salariés, une fiche consolidée DPO + Référent IA reste plus efficace économiquement, à condition de libérer 0,3-0,8 ETP.

Le DPO peut-il refuser un système haut risque ?

Non, le DPO conseille mais ne décide pas. Sa mission est d'informer la direction des risques juridiques et de proposer des mesures d'atténuation. La décision finale appartient à la direction. En cas de désaccord persistant, le DPO doit pouvoir saisir directement la CNIL (article 38(4) RGPD). Cette protection s'étend aux questions AI Act.

Combien de temps passe un DPO sur l'AI Act ?

En année 1 d'audit AI Act, 25-40 % du temps DPO total (cartographie initiale, AIPD-FRIA, plan article 4). En régime de croisière à partir de l'année 2-3, 15-20 % du temps (mises à jour, surveillance post-marché, formation continue). Ces ratios sont stables sur les missions IAPRO 2025-2026.

Quelle formation AI Act recommander pour un DPO existant ?

Un socle 35h structuré en 5 modules (architecture du règlement, qualification, obligations fournisseur, obligations déployeur, articulation sectorielle). Plusieurs organismes proposent ces parcours en 2026 : ABILWAYS, Lefebvre Dalloz, Cegos, EFE. Tarif moyen 1 800-3 200 € HT, cofinançable OPCO et CPF.

Le DPO doit-il maîtriser les LLM techniquement ?

Pas au niveau ingénieur, mais à un niveau « comprendre les concepts ». Il doit savoir ce qu'est un LLM, un RAG, un fine-tuning, une quantization, pour dialoguer avec la DSI. Notre glossaire IA IAPRO est calibré pour cette montée en compétence opérationnelle. 14 h de formation technique adaptée suffisent.

Comment le DPO doit-il interagir avec l'AI Office européen ?

L'AI Office anime un service desk et publie des lignes directrices. Le DPO suit ces publications via la page officielle de l'AI Office. Il peut soumettre des questions au service desk pour clarification — les réponses ne sont pas contraignantes mais éclairent. Cette coopération renforce la posture en cas de contrôle CNIL ou DGCCRF.

Le DPO externalisé est-il pertinent pour l'AI Act ?

Oui, particulièrement pour les PME ≤ 100 salariés. Le DPO externalisé d'un cabinet spécialisé apporte une expertise mutualisée et une veille active. Tarif 2026 : 800-2 500 €/mois selon volume. Le DPO externalisé doit avoir suivi la formation 35h AI Act et maintenir sa veille mensuelle. Notre partenaire Regulia.fr propose ce service.

Que faire si un système IA est non conforme à l'AI Act ?

Le DPO documente l'écart, propose un plan de mise en conformité, escalade au CODIR avec un calendrier. Si la non-conformité concerne une pratique interdite art. 5, recommandation de suspendre immédiatement le système. Pour un manquement haut risque, un délai de 3-9 mois de mise en conformité est tolérable. La transparence vis-à-vis de la CNIL est appréciée par les contrôleurs.

Combien coûte un audit DPO + AI Act IAPRO ?

Pour une PME 50 salariés avec 3-5 systèmes IA, un audit consolidé RGPD + AI Act + fiche de poste DPO actualisée coûte 9 000 à 18 000 € HT, livré en 4-6 semaines. Cofinancement Bpifrance Diag Data IA jusqu'à 80 % d'un diagnostic préalable. Notre formule inclut la trame de fiche de poste, le plan de formation 35h, et la trame de FRIA.

Pour aller plus loin avec IAPRO

Vous voulez actualiser la fiche de poste de votre DPO pour intégrer l'AI Act, dérouler une montée en compétence 35h cofinancée OPCO et bâtir vos premières FRIA ? Notre formule Audit DPO + Formation AI Act + Trame FRIA se livre en 4 à 6 semaines. Cadrage 30 minutes via le formulaire IAPRO.

Liens utiles