Le fichier public des DPO est devenu un pilier central de la confiance numérique en Europe. Dans cet avis d’expert, Laurent de Cavel, fondateur de DPO France et membre de l’AFCDP, alerte sur les limites actuelles du dispositif de désignation et appelle à une fiabilisation technique du processus, pour renforcer l’effectivité du RGPD et la crédibilité de la fonction.
Les opinions exprimées dans ce texte n’engagent que leur auteur
Depuis son entrée en vigueur en 2018, le Règlement Général sur la Protection des Données a, en quelques années, transformé la gouvernance des données en Europe. En France, le succès se mesure par un chiffre massif : plus de 100.000 désignations de Délégués à la Protection des Données sont enregistrées dans le fichier public. Ce volume atteste de l’engagement des secteurs professionnels et érige la fonction DPO en véritable point de contact essentiel pour les personnes concernées, les structures et la CNIL.
Pourtant, derrière ce succès quantitatif se cache une fragilité structurelle qui mérite d’être étudiée et peut-être corrigée. L’analyse détaillée des données publiques que nous avons effectuée, avec dpo-partage.fr, révèle les limites d’un système conçu, à l’origine, pour être léger et basé uniquement sur la déclaration de bonne foi.
La confiance aveugle face aux réalités opérationnelles
Le dispositif de désignation repose sur une architecture simple : l’organisme déclare son DPO à la CNIL, et l’affaire est entendue. Depuis quelques mois, la structure qui déclare doit créer un compte afin de l’aider à gérer ses échanges avec la CNIL. Cependant, cette dernière ne dispose, par essence, d’aucune base légale pour vérifier l’acceptation de la mission par le DPO, pour exiger une preuve de son rattachement effectif, ou pour valider une date de fin de mission.
C’est là que le bât blesse. Notre analyse du fichier révèle des distorsions qui ne sont pas des erreurs isolées, mais la conséquence d’une usure naturelle du système dans le temps. En examinant les données, nous trouvons :
- Plus de 6 650 entreprises radiées du registre du commerce sont toujours associées à un DPO, créant une fiction légale. Ce travail de vérification et d’alignement avec les registres officiels, essentiel pour garantir la fiabilité des données, a été rendu possible grâce à l’accès aux données ouvertes et à l’utilisation technique de l’API Pappers.
- Dans les structures qui semblent valides, près de 20% des adresses e-mail de contact, sont aujourd’hui inactives ou inexistantes, sur les 16.191 adresses emails uniques.
Ces chiffres ne sont pas une critique envers les organismes, mais la mise en évidence d’un manque de rigueur. Ils pointent la faille systémique d’un mécanisme sans validation croisée ni mécanisme de maintien en condition opérationnelle. Le fait que la structure soit radiée du RCS n’a que peu d’incidence, mais que le mail utilisé ne soit plus opérationnel nous fait nous demander si le DPO n’est pas souvent déclaré pour cocher une case.
Des conséquences pour tous les acteurs
Le maintien de ces « DPO fantômes » et de ces contacts obsolètes n’est pas anodin. Il a des conséquences concrètes qui sapent l’efficacité du RGPD :
- Pour la personne concernée :la non-joignabilité du DPO empêche l’exercice effectif des droits (d’accès, de rectification…). La personne concernée se retrouve face à une impasse administrative en cas de contact mail. Il y a d’autres moyens que le mail, pourquoi ne pas le mettre à jour.
- Pour le DPO lui-même :bien que ne s’agissant pas, à mon sens, d’un problème majeur, car le DPO peut rectifier cela avec la CNIL, factuellement, des professionnels se retrouvent involontairement maintenus dans un fichier public, parfois après leur départ, ce qui pourrait créer une insécurité juridique quant à leurs responsabilités passées.
- Pour la CNIL et les autorités de contrôle :c’est le fichier officiel et la qualité du fichier complique la gestion des saisines, consommant en tâches administratives un temps précieux là où il devrait être utilisé pour l’analyse des risques, car la première saisine est souvent faite par mail.
Le vrai enjeu est donc de renforcer la fiabilité d’un outil essentiel, sans dénaturer l’esprit de responsabilisation et d’autonomie du RGPD.
Et pourquoi pas un standard de la désignation : le modèle bilatéral
La solution est à portée de main et ne nécessite pas de révolution réglementaire, mais une fiabilisation technique du processus d’enregistrement. Il serait opportun d’introduire un standard de désignation bilatérale, reposant sur « l’identité vérifiée » du DPO :
- Identifiant professionnel unique : Chaque DPO, personne physique ou morale, devrait disposer d’une clé d’enregistrement unique, rattachée à un compte sécurisé (sur une plateforme dédiée ou via un standard inter-autorités). Il est simple d’imaginer une inscription similaire pour les structures.
- Confirmation mutuelle obligatoire : L’acte de désignation par l’organisme devrait être suivi d’une validation numérique et formelle par le DPO. Cela garantit l’information et le consentement du professionnel.
- Horodatage et traçabilité : L’enregistrement des dates de début et de fin de mission devrait être automatisé et infalsifiable.
- Historique auditable :Création d’un historique sécurisé, non public, mais opposable en cas de contrôle, pour tracer l’ensemble des mandats du DPO.
Ce modèle ne fait qu’appliquer la rigueur du numérique à un processus clé. Il ne crée pas de charge administrative supplémentaire notable, mais il instaure une preuve opposable et une traçabilité professionnelle. Petit plus, les déclarations des violations de données seraient faites par le RT ou le DPO et non en “libre accès”, comme aujourd’hui.
Un impératif pour la souveraineté numérique
Cette évolution technique consoliderait l’écosystème entier. Elle renforcerait la transparence pour les personnes concernées, l’autonomie du DPO par la formalisation de son engagement, et l’efficacité de la CNIL en lui offrant un outil de travail propre et exploitable.
Si la France souhaite continuer à jouer un rôle de moteur dans la protection des données au niveau européen, renforcer la fiabilité de ses piliers opérationnels n’est pas un choix mais un impératif. L’analyse du fichier public ne doit pas être reçue tel un blâme pour le passé ; c’est une feuille de route pour l’avenir. C’est l’opportunité de passer de la quantité à la qualité vérifiable, au bénéfice de la confiance que nous plaçons tous dans le RGPD.
