Référent RGPD (ou DPO) : rôle, missions et formation

Avec la nouvelle réglementation pour la protection des données personnelles au niveau européen, les entreprises doivent assurer un traitement des données conforme aux exigences.

Cela suppose de coordonner les activités de sécurité des données. C’est le rôle du référent RGPD de l’entreprise.

Rôle d’un référent RGPD

Quel est le rôle et quelles sont les missions d’un référent RGPD ?

Le référent RGPD, ou référent de garantie de protection des données personnelles, est chargé de veiller au respect des obligations des contrôles et des procédures RGPD au sein d’une entreprise. 

Principalement, le référent RGPD agit en tant que point de contact entre l’entreprise et les autorités de contrôle.

Il est chargé de vérifier le respect des droits des personnes et de prévenir les risques de violation des données personnelles. 

Il peut s’agir d’un salarié ou d’un consultant extérieur.

Le référent RGPD a pour missions : 

  • Assister les entreprises dans la mise en œuvre des procédures et des processus nécessaires à la protection des données personnelles.
  • Conseiller la direction en matière de règlements applicables à la protection des données personnelles.
  • Évaluer et suivre les procédures mises en place.
  • Gérer les demandes de droit d’accès, de rectification et d’opposition des données personnelles.
  • Informer et former les employés de l’entreprise sur les bonnes pratiques et les obligations en matière de protection des données personnelles.
  • Surveiller et signaler tout risque lié à la protection des données.
  • Veiller à ce que les règles de protection des données personnelles soient appliquées 

Besoin d'une formation CSE / SSCT ? Billetterie ? Compte rendu ? Site Web ? Assistance ou un besoin spécifique ?

Qu’est-ce que le RGPD ?

Le RGPD est une réglementation de l'Union européenne (UE) adoptée en 2016 et entrée en vigueur en mai 2018.

Le RGPD (Règlement de protection des données) concerne tous les organismes qui procèdent au traitement de données à caractère personnel. Cela concerne donc les entreprises, quelle que soit leur taille, du fait qu'elles collectent et traitent des données des employés, fournisseurs et clients.

Les entreprises sont donc soumises à une obligation générale de sécurité et de confidentialité qui suppose des mesures de sécurité des locaux et des systèmes d'information

La collecte des données à caractère personnel doit être minimale, autorisée et leur accès réservé aux personnes désignées, avec une durée raisonnable de conservation.

Les entreprises doivent notamment : 

  • Recueillir l'accord préalable des clients
  • Informer les clients de leurs droits d'accès, de rectification, d'opposition et de suppression des informations collectées
  • Indiquer une durée de conservation des données
  • Etc.

En France, la réglementation RGPD est suivie par la CNIL (Commission Nationale de l'Informatique et des Libertés).

Quelles sont les lois encadrant le RGPD pour les entreprises ?

Formation référent RGPD

Quelles sont les différences entre DPO et référent RGPD ?

Aucune. Le référent RGPD est aussi le DPO (Data Protection Officer) de l’entreprise.

Cette mission peut être tenue par des collaborateurs internes ou externes à l’entreprise.

Est-ce obligatoire pour toutes les entreprises d’avoir un référent RGPD ?

Il est obligatoire de désigner un DPO ou référent RGPD pour : 

  • Les entreprises du secteur public
  • Les entreprises dont l’activité principale amène un suivi régulier et systématique de personnes à grande échelle
  • Les entreprises dont l’activité principale amène le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et infractions.

À noter  : Les entreprises de moins de 250 employés qui échappent à ces catégories doivent simplement se conformer au RGPD et bien souvent, ce sera un représentant de la direction ou le responsable informatique qui agira de fait comme DPO.

Quelles sont les compétences attendues pour un référent RGPD ?

Le référent RGPD ou DPO est un professionnel capable de : 

  • Avoir une expertise en matière de législations et pratiques
  • Avoir une bonne connaissance du secteur d'activité et des systèmes d'information (chiffrement, authentification forte, traçabilité, tests de pénétration, attaques Dos, base de données, Cloud, cookies, Machine learning, API, etc.)
  • Avoir une position efficace en interne 
  • Pouvoir animer une équipe d'experts en interne.

De par ses responsabilités, le référent RGPD sera considéré comme cadre.

La plupart des référents RGPD sont issus de formations continues dans le domaine juridique ou informatique. Il a besoin de compétences en gestion de projet et de communication.

Dans les grandes entreprises, cette fonction sera également une fonction de supervision d’équipe.

Le DPO devra être idéalement certifié sur la base du référentiel de compétences de la CNIL. Cette certification n’est accessible qu’après 2 ans d’expérience professionnelle en lien avec la protection des données, ou 2 ans en tout domaine et une formation sur le sujet d’au moins 35 heures. Elle est valable 3 ans.

 Attention : il est essentiel que le référent RGPD n’ait pas de conflit d'intérêts entre les intérêts de l’entreprise et ceux des propriétaires des données et de l’application du RGPD. La déontologie et la transparence sont essentielles.


Le référent RGPD (ou DPO) n’est pas personnellement responsable en cas de manquement aux obligations prévues par le RGPD. C’est l’entreprise qui est responsable du respect du RGPD.

Quelles sont les formations RGPD disponibles ?

La plupart des organismes de formation spécialisés proposent un vaste catalogue de formation RGPD, par niveaux (débutant, confirmé, spécialiste). On peut lister : 

  • Bonnes pratiques du RGPD 
  • Fondamentaux du RGPD
  • Formation au rôle du Délégué à la Protection des Données (DPO)
  • Formation au rôle du référent RGPD
  • Gérer les Consentements
  • Gérer une Violation de Données
  • Instaurer une Politique de Privacy By Design/By Default
  • Le Télétravail et le RGPD
  • Objectif Certification DPO
  • Réaliser une Analyse d’Impact
  • Registre de traitements
  • Se préparer à un Contrôle de la CNIL
  • etc.

Besoin d'une formation CSE / SSCT ? Billetterie ? Compte rendu ? Site Web ? Assistance ou un besoin spécifique ?

Exemples de bonnes pratiques du RGPD.

Le code de conduite et les bonnes pratiques en matière de RGPD s’appuient sur des principes fondamentaux de respect et de protection de données personnelles et confidentielles.

Parmi les bonnes pratiques il est recommandé : 

  • De former les collègues dans l'entreprise aux exigences RGPD
  • De prévoir un mécanisme de gouvernance RGPD à l’échelle de l’entreprise
  • De procéder à des actions de communication et de sensibilisation
  • De rédiger et tenir un registre des activités de traitement ;
  • De rédiger un code de conduite à l’attention de chaque nouvel employé, selon son accès aux données
  • De mettre en place un «comité RGPD» chargé d’arbitrer et d’orienter les actions concernant les traitements de données
  • De mettre en place des réunions et outils de suivi sur les données recueillies et traitées par l’entreprise et la finalité de cette manipulation des données
  • De notifier immédiatement la direction de l’entreprise et les organismes compétents des violations
  • De s’assurer que tout le monde adhère au code de conduite en matière de données
  • De tenir un tableau de bord des activités menées, afin d’alimenter un point régulier
  • De travailler en collaboration avec la CNIL et de consulter régulièrement ses communications
  • D’organiser des veilles si nécessaire
  • D’organiser régulièrement des consultations avec les professionnels du secteur technique et juridique.
  • De prévoir une procédure interne en cas de contrôle de la CNIL
  • De se tenir de manière continue au courant des avancées technologiques et informatiques et notamment des méthodes d’usurpation ou de vol de données

Nos autres articles