Le délégué à la protection des données (DPO) est obligatoire dans toutes les organisations publiques depuis le 25 mai 2018, date d’entrée en vigueur du RGPD. La CNIL recensait 8 000 DPO publics au 31 décembre 2024. Cet article détaille les missions, conditions d’accès et grille salariale du DPO en collectivité ou administration en 2025.
Le DPO est l’interlocuteur unique en matière de protection des données personnelles, selon les articles 37 à 39 du RGPD (règlement UE 2016/679). Il est obligatoire dans toute autorité ou organisme public.
L’article 37 du RGPD impose la désignation d’un DPO pour 3 catégories d’organisations : autorités et organismes publics (hors juridictions), entités traitant des données à grande échelle, entités traitant des données sensibles à grande échelle. La loi n° 2018-493 du 20 juin 2018 a transposé le RGPD en droit français et l’a complétée par le décret n° 2019-536 du 29 mai 2019.
Quelles sont les 5 missions principales du DPO ?
| Mission | Référence RGPD | Pourcentage temps |
|---|---|---|
| Conseil et information | Art. 39.1.a | 30 % |
| Contrôle de la conformité | Art. 39.1.b | 25 % |
| Tenue du registre des traitements | Art. 30 | 15 % |
| Coopération avec la CNIL | Art. 39.1.d | 10 % |
| Réception des demandes des personnes | Art. 38.4 | 20 % |
Comment devenir DPO dans le public ?
Aucune voie d’accès statutaire unique n’existe : le DPO peut être un fonctionnaire en interne, un contractuel, un DPO mutualisé ou externalisé. Le RGPD impose seulement des qualités professionnelles : connaissance juridique, expertise technique et capacité à exercer ses missions.
3 voies coexistent en collectivité : désignation interne (cumul avec un poste existant), recrutement externe (concours d’attaché ou contrat de droit public), mutualisation (DPO partagé entre plusieurs collectivités via un EPCI ou centre de gestion). Selon la CNIL, 65 % des DPO publics sont mutualisés en 2024 contre 40 % en 2019.
Quelles formations recommandées ?
- Formation CNIL : 5 jours, certifiante, accès aux outils CNIL.
- Mastère DPO : Bac+5, 1 an, organismes agréés (ESGI, IUM Aix-Marseille).
- Certification Bureau Veritas : examen CDPO, 850 € hors formation.
- DU Droit du numérique : 1 an universitaire, 3 500 €.
- Formation CNFPT : 3 à 5 jours sur les fondamentaux RGPD pour fonctionnaires.
Quelle est la rémunération d’un DPO public en 2025 ?
Un DPO en interne (catégorie A, attaché territorial) débute à l’indice majoré 390, soit 1 919 € brut mensuel. Le RIFSEEP IFSE varie de 5 000 à 18 000 € bruts annuels selon la collectivité et la responsabilité.
| Statut | Salaire brut mensuel | Conditions |
|---|---|---|
| Attaché territorial DPO interne | 2 200 à 4 500 € | Cat. A FPT |
| DPO mutualisé EPCI | 2 800 à 5 000 € | Postulant attaché ou ingénieur |
| DPO externalisé (consultant) | 800 à 1 500 € HT/jour | Profession libérale |
| DPO ministère central | 3 200 à 6 800 € | Cat. A État |
| DPO hôpital public | 2 500 à 5 200 € | FPH catégorie A |
Selon une enquête AFCDP 2024, le salaire médian d’un DPO en collectivité est de 3 800 € bruts mensuels. Les DPO certifiés (Bureau Veritas, CNIL) perçoivent en moyenne 12 % de plus que les non-certifiés. Les ingénieurs DPO en collectivités numériques (smart city) bénéficient parfois d’une NBI de 25 points.
Quelles compétences sont requises ?
5 domaines de compétences sont exigés : juridique, technique, organisationnel, communication, audit. Le RGPD impose au DPO de posséder les qualifications nécessaires à l’exercice de ses missions (article 37.5).
La maîtrise du droit du numérique est centrale : RGPD, loi Informatique et Libertés (modifiée 2018), Code des relations entre le public et l’administration (CRPA), accessibilité numérique RGAA. Les compétences techniques incluent la sécurité informatique (ISO 27001, NIS 2), la cryptographie de base, et la maîtrise des outils d’inventaire (Archimate, Pia CNIL). Selon une étude AFCDP 2024, 35 % des DPO publics passent une certification annuellement.
Quels sont les défis du DPO public en 2025 ?
4 défis structurels marquent la profession en 2025 : règlement IA Act (août 2024), directive NIS 2 (octobre 2024), accélération des cyberattaques publiques, montée des contentieux usagers.
Le règlement IA Act (UE 2024/1689) impose au DPO d’évaluer les systèmes d’IA déployés (analyse d’impact algorithmique). La directive NIS 2 oblige les collectivités de plus de 50 agents à des mesures de cybersécurité renforcées. Selon l’ANSSI, 187 cyberattaques contre des collectivités ont été recensées en 2024 (+ 32 % vs 2023). La CNIL a infligé 25 sanctions à des organismes publics en 2024, pour un montant cumulé de 16 millions d’euros.
Quels textes encadrent le métier ?
| Texte | Date | Apport |
|---|---|---|
| Règlement (UE) 2016/679 RGPD | 27 avril 2016 | Cadre européen |
| Loi n° 78-17 modifiée | 20 juin 2018 | Transposition française |
| Décret n° 2019-536 | 29 mai 2019 | Modalités d’application |
| Lignes directrices CEPD WP243 | 13 décembre 2016 | Statut et missions DPO |
| Référentiel CNIL DPO | 2020 | Compétences attendues |
| Règlement IA Act 2024/1689 | 13 juin 2024 | Encadrement IA |
Quelles évolutions de carrière ?
3 trajectoires principales s’offrent à un DPO public. L’expertise RGPD ouvre les portes de fonctions de direction, de la mutualisation et de la transition vers le secteur privé.
- Directeur des affaires juridiques et numériques : poste de cadre supérieur en collectivité ou ministère.
- Responsable de la sécurité des systèmes d’information (RSSI) : passage technique vers la cybersécurité.
- Consultant DPO indépendant : profession libérale, missions multi-clients.
- DPO groupe : pilote la conformité de plusieurs entités (mutualisation EPCI, syndicats).
- Chargé d’enseignement universitaire : transmission via DU et masters spécialisés.
Sources officielles et références juridiques
- CNIL — Devenir délégué à la protection des données
- Règlement (UE) 2016/679 (RGPD)
- Loi n° 2018-493 du 20 juin 2018
- Décret n° 2019-536 du 29 mai 2019
- AFCDP — Association française des correspondants à la protection des données
Article mis à jour le 4 mai 2026 selon les évolutions IA Act et NIS 2.