1 juillet 2026

L’évolution du rôle du DPO : d’expert Conformité à acteur clé de la Data et de l’Intelligence Artificielle

Depuis l’entrée en vigueur du RGPD en 2018, le DPO (Délégué à la Protection des Données) est devenu un acteur incontournable de la gouvernance des données au sein des organisations. À l’origine, sa mission était principalement centrée sur la conformité réglementaire : s’assurer que l’entreprise respecte les règles relatives à la protection des données personnelles et accompagner les équipes dans l’application du règlement.

Mais ces dernières années, l’environnement réglementaire et technologique a profondément évolué. L’explosion des usages de la donnée, le développement de l’Intelligence Artificielle et l’arrivée de nouvelles réglementations européennes ont progressivement transformé le rôle du DPO.

Aujourd’hui, la fonction de DPO ne peut plus être considérée uniquement comme un rôle purement juridique ou administratif. Il est devenu un acteur pivot au sein des organisations – qui fait notamment le lien entre la conformité réglementaire, la partie sécurisation des données au niveau informatique, l’encadrement des usages métiers…

Un rôle de DPO initialement centré sur la Conformité

Historiquement, le DPO intervenait principalement pour :

  • Maintenir le Registre des traitements de données,
  • Accompagner les équipes dans la mise en conformité RGPD,
  • Réaliser des Analyses d’impact sur la protection des données (AIPD),
  • Gérer les incidents de sécurité et les violations de données,
  • Servir d’interlocuteur auprès de l’autorité de contrôle, la CNIL.

Il est désormais un acteur clé dans le cadre de la mise en œuvre de nouveaux projets : gérer la protection lors de la conception des projets, en lien avec les acteurs informatiques/métiers pour prendre en compte les impacts de façon transverse et non seulement dans une vision purement conformité. Le DPO doit ainsi prendre en compte les enjeux réglementaires/conformité, mais également les aspects Data et technologiques, afin d’assurer des traitements qui soient entièrement conformes à la réglementation.

Son expertise se transforme donc d’un simple acteur juridique à un acteur maitrisant les notions techniques liées aux nouvelles technologies adoptées et les enjeux data liés. Il doit être impliqué dès l’initiation des projets, pouvoir dialoguer avec les différents acteurs, apporter son expertise technique sur les aspects sécurisation des données au niveau informatique, faire le lien avec les usages métiers qui doivent être encadrés.

Un contexte réglementaire et technologique en pleine transformation, qui élargit le champ d’action du DPO

Le paysage de la protection des données évolue en permanence, avec un renforcement des obligations réglementaires. De nouvelles réglementations européennes viennent compléter le RGPD et renforcer les exigences en matière de gouvernance des données.

Le règlement européen sur l’intelligence artificielle (AI Act), entré en vigueur en 2024, introduit à titre d’exemple de nouvelles obligations pour les organisations qui développent et/ou utilisent des systèmes d’IA. Ces nouvelles exigences viennent renforcer le RGPD, spécifiquement sur les traitements de données personnelles faisant appel à l’IA. Parmi les points de convergence entre les deux réglementations, on peut noter : l’exigence de transparence envers les personnes concernées, l’obligation de réaliser des Analyses d’impact (AIPD RGPD, FRIA IA Act), la nécessité d’une documentation technique rigoureuse, le principe de contrôle humain et de non-décision entièrement automatisée, la désignation d’une gouvernance interne dédiée. Entré en application depuis février 2025, l’ensemble du dispositif sera progressivement déployé d’ici 2026, avec la CNIL (Commission nationale de l’informatique et des libertés) comme autorité de tutelle commune.

Le DPO devient alors un acteur central pour articuler la conformité entre le RGPD et l’IA Act, notamment pour évaluer les risques liés aux systèmes d’IA, vérifier leur niveau de risque ou analyser les impacts sur les droits fondamentaux. La proximité des sujets en fait l’interlocuteur naturel pour piloter la mise en conformité IA Act. Cela suppose une connaissance fine des systèmes d’IA, la maitrise de la brique technique qui se cache derrière les dispositifs IA implémentés, l’identification des impacts/risques potentiels… Le DPO dispose par ailleurs de la connaissance des traitements de données personnelles, la culture de la gestion des risques, la capacité à mobiliser les départements métiers, la maitrise des AIPD qu’il réalise dans le cadre de ses fonctions. Son expertise juridique/conformité, couplée à la maitrise des enjeux IA, lui permet ainsi de se saisir de ces sujets.

D’autres textes européens, comme le Data Act ou la directive NIS2, renforcent également les exigences en matière de gouvernance des données et de cybersécurité. Ce qui implique de même un élargissement des domaines d’expertise et fonctions du DPO au sein des organisations. (CRANIUM)

Une professionnalisation croissante du métier de DPO, à travers un projet de Certification au niveau européen

Ces évolutions s’accompagnent d’une transformation progressive du métier de DPO lui-même. La fonction de DPO tend en effet à se professionnaliser et à se structurer davantage.

Certaines évolutions réglementaires envisagent notamment la mise en place d’une Certification harmonisée au niveau européen pour les DPO, afin de garantir un niveau d’expertise suffisant face à la complexité croissante des obligations réglementaires.

Au sein des organisations, la position du DPO est également renforcée : il est progressivement rattaché au plus haut niveau de direction, afin de garantir son indépendance et sa capacité d’alerte sur les risques liés à la protection des données.

Ces évolutions traduisent une réalité simple : la protection des données est devenue un sujet stratégique pour les entreprises, qui nécessite ainsi un accompagnement sur-mesure et une réelle prise en main de ces sujets.

Vers un DPO “augmenté” qui puisse adopter une vision transverse, adaptée aux nouveaux enjeux technologiques

Face à ces transformations, le rôle du DPO évolue vers un modèle plus transverse, parfois qualifié de “DPO augmenté”.

Ce nouveau positionnement repose sur trois dimensions complémentaires :

  • Une expertise juridique, indispensable pour interpréter et appliquer les réglementations applicables, et pouvoir décliner les exigences réglementaires de façon pragmatique au sein de l’organisation
  • Une compréhension des usages de la Data, afin d’anticiper les risques liés aux nouveaux traitements et de pouvoir les encadrer
  • Une culture technologique, permettant de dialoguer efficacement avec les équipes IT, Cybersécurité et Data au sein de l’organisation

Le DPO n’intervient donc plus uniquement pour contrôler la conformité. Il contribue désormais à anticiper les risques, orienter les projets et accompagner une innovation responsable.

Le DPO, un partenaire de confiance pour l’innovation

Dans cette nouvelle configuration, le DPO travaille de plus en plus étroitement avec les équipes métiers, les directions informatiques et les responsables Data.

Son rôle consiste notamment à :

  • Intégrer la protection des données dès la conception des projets (« privacy by design»)
  • Accompagner les projets impliquant l’Intelligence Artificielle (IA)
  • Sensibiliser les collaborateurs aux bonnes pratiques
  • Mettre en place des dispositifs de gouvernance et de pilotage de la conformité

Cette évolution transforme progressivement l’image du DPO : d’un rôle parfois perçu comme un frein réglementaire, il devient un facilitateur et un garant de la confiance numérique.

Accompagner les organisations et les DPO dans cette transformation

La transformation du rôle du DPO nécessite souvent un accompagnement. En effet, les entreprises doivent adapter leur gouvernance, renforcer leurs compétences et intégrer la protection des données dans leurs processus de décision.

De leur côté, de nombreux DPO souhaitent également développer leurs compétences en matière de Data, d’Intelligence Artificielle ou de technologies numériques afin d’exercer pleinement ce rôle de DPO « élargi ».

Notre cabinet AMITA Conseil accompagne les organisations dans le cadre de ces évolutions structurelles : structuration de la fonction DPO, montée en compétences, adaptation et/ou redéfinition des processus métiers, adoption d’instances dédiées, mise en place de dispositifs de gouvernance et intégration des nouvelles exigences réglementaires, qu’elles soient liées à la donnée ou à l’IA.

Nous accompagnons également les DPO eux-mêmes dans le développement de leurs compétences et dans l’évolution de leur positionnement stratégique au sein des organisations.

Nous proposons par ailleurs une fonction de DPO externalisé, afin de garantir une mise en conformité durable au sein des organisations et un accompagnement sur-mesure face aux problématiques structurantes.

Le DPO d’aujourd’hui n’est plus seulement un expert RGPD. Il devient un acteur central de la gouvernance des données, de l’innovation responsable et de la confiance numérique.

Dans un environnement où les données et l’intelligence artificielle occupent une place croissante, les organisations qui sauront faire évoluer ce rôle de DPO seront mieux armées pour concilier conformité, innovation et performance.

Les auteurs :

Raphaël Maxime

Senior Consultant

Julia Snidaro

Senior Consultante

Autres publications

Cybersécurité, Data & Intelligence Artificielle, Risques et Conformité

Règlement IA : ce qu’il faut retenir de la réunion de place ACPR-CNIL du 1er juillet 2026

IA Générative : Cas d’usage et adoption pour les directions financières

Qualité des données et Intelligence Artificielle : deux inséparables