La désignation d’un délégué à la protection des données est l’un des piliers du RGPD. Depuis 2018, la fonction s’est professionnalisée, structurée, multipliée. Pourtant, un vide persiste : le RGPD ne prévoit pas de mécanisme de suppléance, alors même que la continuité de la mission est essentielle pour les organisations comme pour les personnes concernées.
Aujourd’hui, lorsqu’un DPO part, tombe malade, se trouve en congé prolongé ou en conflit d’intérêts, la fonction se retrouve suspendue, parfois plusieurs semaines. Au regard du droit, un organisme sans DPO effectivement disponible est en situation de non-conformité, même si une nouvelle désignation est en cours. Ce décalage entre la lettre du texte et les réalités de terrain pose un problème juridique et opérationnel.
Il n’existe pas d’obstacle juridique à la création d’une fonction de suppléant. Le RGPD impose la désignation d’un DPO, mais n’interdit pas d’en prévoir la continuité. Il est d’ailleurs courant, dans les faits, que des organisations se dotent d’un adjoint officieux ou d’un relais local. La CNIL reconnaît elle-même qu’un DPO peut s’appuyer sur une équipe, tant que la personne officiellement désignée demeure identifiable.
Ce qui manque, c’est une reconnaissance formelle — non pas pour multiplier les DPO, mais pour clarifier la continuité de mission. Le modèle existe déjà dans d’autres régimes de conformité : commissaire aux comptes titulaire et suppléant, médecin du travail et remplaçant désigné, responsable unique de traitement et suppléant en cas d’absence. Ces fonctions ne sont pas doublées, elles sont sécurisées.
Reconnaître un DPO suppléant, c’est garantir trois bénéfices immédiats :
-
Continuité juridique : aucune vacance de fonction en cas d’indisponibilité.
-
Lisibilité pour les autorités et les personnes concernées : un point de contact toujours actif.
Publicité -
Sécurisation de la mission : le suppléant ne serait pas un “second DPO”, mais un professionnel habilité, formé, protégé et activable en cas de besoin.
Il ne s’agit pas d’imposer un second DPO, mais d’ouvrir la possibilité, pour les organismes qui le souhaitent, de déclarer un suppléant officiellement identifié, appelé uniquement en cas d’empêchement du titulaire. Exactement comme dans le commissariat aux comptes : un titulaire, un suppléant, un seul actif à la fois.
Une telle évolution pourrait prendre trois formes complémentaires :
- une recommandation de la CNIL encourageant la mise en place d’un dispositif de suppléance documenté ;
- une reconnaissance dans la doctrine européenne (EDPB) de la notion de “backup DPO” ;
- une évolution nationale, par exemple dans le Code des relations entre le public et l’administration ou dans le Code du travail, sans modification du RGPD.
Le rôle de suppléant ne remplacerait pas la fonction de DPO. Il l’honorerait. Il en garantirait la pérennité. Il répondrait à une réalité de terrain déjà pratiquée, mais encore invisible juridiquement.
Nous sommes nombreux à défendre l’indépendance et la montée en compétence des DPO. Travaillons maintenant à sécuriser leur continuité.
La maturité d’une fonction se mesure aussi à sa capacité à survivre à l’absence de ceux qui l’incarnent. Le DPO a sa place. Son suppléant doit désormais exister.
