Secu
DPO, passez de la conformité à la souveraineté numérique !
Par Laurent Delattre, publié le 02 avril 2026
Le DPO ne peut plus se limiter au contrôle du RGPD. À l’heure de l’IA, du cloud et des dépendances technologiques, il devient un acteur de la souveraineté numérique, du risque stratégique et de la résilience des organisations.
Par Philippe Salaün, Président AFCDP, ancien DPO et responsable de la gestion de crise
Le DPO ne doit plus être un simple garde-barrière juridique « coincé » entre les exigences de la CNIL et les enjeux de sa direction. Il doit devenir pleinement un acteur clé de la souveraineté numérique, du risque stratégique et de la résilience numérique des organisations. En effet, au-delà de l’application stricte du RGPD, il s’agit désormais de répondre à la question suivante : qui décide vraiment des usages de nos données, de nos IA et de nos systèmes ?
Dans ce contexte, l’AFCDP affirme clairement : la fonction de DPO ne doit plus se contenter de « compléter les registres » ; elle doit peser dans les choix industriels, technologiques et stratégiques de l’entreprise. Et pour y parvenir, il faut dépasser la posture de « l’expert isolé » et embrasser celle d’un « tisseur de liens » entre les acteurs de la conformité, direction générale, DSI et métiers.
Le DPO, entre pression réglementaire et réalité managériale
Le dernier baromètre de l’AFCDP le constate : la confiance des DPO dans la protection des données au sein de leurs organisations reste fragile, oscillant entre résignation, prudence et optimisme modéré. En effet, si le contexte réglementaire continue de se complexifier avec l’IA, la cybersécurité, la gouvernance des plateformes, leurs moyens d’action restent souvent limités voire en diminution.
Pourtant, les études menées par l’AFCDP montrent aussi que la grande majorité des DPO perçoivent leur rôle comme utile et souhaitent poursuivre leur mission. C’est rassurant, mais ce n’est pas suffisant : il faut transformer cette motivation en pouvoir concret d’agir et en toute indépendance opérationnelle.
De la « culture de la conformité » à la « culture du risque »
La conformité, c’est le socle indispensable : chartes de déontologie ou d’utilisation es SI, registre de traitements, AIPD, audit de conformité, sensibilisation des collaborateurs. L’AFCDP s’attache à construire ces outils avec des référentiels ou des guides par domaine d’activité en capitalisant les expériences entre DPO d’un même secteur.
Mais aujourd’hui, le défi n’est plus seulement de bien documenter : c’est de faire vivre la conformité au quotidien, dans les décisions de projets, de budget, de cloud ou de partenariats. Le DPO doit devenir un « risk manager », capable de repérer le point critique en identifiant au plus tôt un contrat de services opaque, une dépendance à un acteur unique ou une IA non souveraine. Il s’agit ainsi de transformer un simple risque juridique en risque stratégique.
IA, cloud et contrats associés : le DPO doit parler haut
Les Universités AFCDP ont montré que le DPO est de plus en plus au cœur des débats sur l’intelligence artificielle, la sécurité du cloud et la gouvernance des plateformes. Mais, dans trop de cas encore, la décision est déjà prise côté business ou technologie avant que le DPO ne soit vraiment consulté.
Un contrat de services imposé par un géant du cloud n’est pas une simple question juridique. C’est un enjeu de concurrence, de dépendance et le DPO doit pouvoir influencer le choix, en étant officiellement partie prenante. Plutôt que de se limiter à « ce qui est conforme ou non », le DPO doit mettre en évidence ce que les textes ne disent pas clairement. Il doit poser les bonnes questions : y a-t-il réversibilité ? Y a-t-il véritable auditabilité ? Qui détient le vrai contrôle ? Où sont réellement localisées les données ?
Autonomie, soutien et reconnaissance : une exigence collective de l’entreprise
L’Observatoire de la fonction de DPO souligne à la fois une forte satisfaction professionnelle et un manque persistant de moyens, de formation et parfois de soutien hiérarchique. Beaucoup d’entre nous travaillons seuls, sans équipe dédiée, avec des rôles hybrides où la protection des données est une mission parmi d’autres.
L’association joue ici un rôle crucial dans la mise en relation des professionnels. L’AFCDP cherche à exiger des décideurs publics et privés une meilleure reconnaissance du métier, une autonomie réelle, des moyens adéquats et une formation continue, notamment sur l’IA, la cybersécurité et la gouvernance des données.
Une profession déjà structurée, mais encore à consolider
L’AFCDP a su, en plus de vingt ans, participer à la création d’une vraie profession. Elle l’a fait notamment en étant à l’écoute des DPO, en tenant compte de leurs attentes et en organisant chaque année des Universités où les échanges sont riches.
Mais si la reconnaissance du DPO dans l’entreprise semble acquise, son pouvoir réel reste fragile. Il faut que le DPO ne soit plus simplement « le bon élève qui remplit les exigences », mais le professionnel à qui la direction générale demande « Qu’est-ce que cela implique en termes de risque stratégique, de réputation et de souveraineté ? ».
Au DPO, la voix de la vigilance mais aussi de la proposition
Le DPO doit formuler non seulement des « risques », mais aussi apporter des « solutions », en se comportant comme un vrai « business partner ». Au lieu de dire uniquement « Attention, l’IA pose des problèmes ! », il peut proposer, avec les autres parties prenantes de l’entreprise (RSSI, juristes, data officer, conformité, …) « Voici un cadre de gouvernance pour l’IA, des critères de conformité, une charte d’utilisation de l’IA,… ».
Cette évolution suppose aussi une posture particulière : le DPO doit devenir un facilitateur de dialogue, capable de traduire la réglementation en langage métier, de faire comprendre aux décideurs que la protection des données n’est pas un coût, mais une assurance de fonctionnement à long terme, voire un élément différenciant incitant à acquérir la confiance des clients sur le long terme.
Vers une nouvelle posture de vigilance souveraine
En 2026, le DPO ne doit donc plus être que celui qui « fait le RGPD » ; il doit être celui qui permet à l’organisation de comprendre où elle risque de perdre sa souveraineté numérique : dépendance à certains acteurs, manque de maîtrise de l’IA, cultures divergentes entre conformité et innovation. Ce n’est pas un rôle confortable, mais c’est un rôle essentiel.
Pour l’AFCDP, la protection des données n’est plus une question purement juridique, mais plutôt de gouvernance. Et pour que cette gouvernance soit crédible, elle doit passer par des DPO mieux armés, mieux soutenus, plus unis et plus audibles.
En conclusion, le message que l’on peut adresser à tous les DPO : « Ne craignez plus de dire haut ce que vous voyez bas. Faites-vous entendre auprès de votre dirigeant ». Votre vigilance et votre avis sont devenus des éléments indispensables à la souveraineté, à la confiance et à la pérennité de vos organisations.
À LIRE AUSSI :
