1. Les lignes directrices de l’EDPS sur le rôle des DPO ?
Le Contrôleur européen de la protection des données (EDPS) a publié le 18 décembre 2025 des lignes directrices sur le rôles des DPO dans les institutions de l’Union européenne. La publication des lignes directrices s’est accompagnée d’une décision publiée le 16 janvier 2026 visant à clarifier et renforcer le rôle des DPO au sein des institutions de l’UE.
Ces documents s’inscrivent dans le cadre du règlement 2018/1725 (EUDPR) qui constitue l’équivalent du RGPD pour les institutions européennes.
Ces lignes directrices visent principalement :
- Les DPO exerçant au sein des institutions européennes ;
- Les responsables de traitement de ces entités ;
- Plus largement, les acteurs impliqués dans la gouvernance des données au seins des institutions de l’UE.
2. Quels sont les objectifs de ces lignes directrices de l’EDPS ?
Ces lignes directrices et décisions ont pour objectif de :
- Rappeler et mettre à jour les recommandations existantes s’agissant du rôle des DPO ;
- D’harmoniser les pratiques entre institutions, et ;
- De renforcer l’effectivité du rôle des DPO.
A ce titre, l’EDPS a rappelé et souligné que les DPO constituent un pilier fondamental1 du système de conformité instauré par l’EUDPR.
3. Focus sur le rôle des DPOs dans les institutions de l’UE :
- Le rappel bienvenu du rôle central du DPO
L’EDPS a noté dans ces lignes directrices que le DPO est garant :
- De la conformité interne2;
- De la diffusion d’une culture de protection des données3;
- Du respect du principe d’accountability4.
Il agit ainsi à la fois comme conseiller, contrôleur et point de contact avec l’EDPS, conformément aux dispositions du règlement 2018/1725.
- La désignation du DPO
En vertu de l’EUDPR, chaque institution européenne doit obligatoirement désigner un DPO à l’article 43 (1) de l’EUDPR, qui est nommé pour une durée de 3 à 5 ans renouvelable5. Cette durée vise à garantie son indépendance et sa stabilité.
Cette désignation d’un DPO au sein d’une institution de l’UE doit être notifiée à l’EDPS6, ce qui constitue une spécificité propre à ce régime.
- La position du DPO au sein des institutions UE
L’EDPS articule principalement ses lignes directrices autour de 2 axes :
- L’indépendance du DPO7 : l’EDPS rappelle
- Un rattachement hiérarchique au plus haut niveau8 ;
- Une reconnaissance formelle dans l’organigramme de l’institution9 ;
- Une absence de subordination fonctionnelle dans ses missions10.
- La prévention de conflits d’intérêts11 en chargeant le responsable de traitement de mettre en place des mesures organisationnelles pour éviter ces conflits.
- La continuité des missions du DPO12 :
- Les fonctions du DPO
Les lignes directrices reprennent et détaillent les missions prévues par l’EUDPR :
- Sur l’information et la sensibilisation du personnel des institutions de l’Union ;
- Sur les fonctions de conseils auprès de l’institution concernée, notamment s’agissant des traitements envisagés, de la réalisation d’AIPD ou la gestion des violations de données ;
- Sur la gestion des demandes de droits des personnes15 ;
- Sur l’interaction avec l’EDPS et le réseau des DPO16, notamment afin d’assurer une harmonisation de l’application des règles au sein des institutions de l’UE.
- Sur la nécessité de ressources pour les DPO17 : cela inclut l’accès à des ressources matériels, l’accès aux données ou encore des moyens humains grâce à l’existence d’une équipe DPO.
- L’encadrement strict de la révocation du DPO
L’EDPS innove en établissant des règles strictes à destination des institutions de l’Union souhaitant révoquer un DPO.
A ce titre, le DPO ne peut être révoqué librement mais sous 2 conditions cumulatives telles que précisées dans les lignes directrices et la décision adoptée :
- Le DPO ne remplit plus les conditions nécessaires à ses fonctions, et ;
- La révocation est soumise à l’accord préalable de l’EDPS.
De plus, la décision adoptée précise que les DPO, contre lesquels une demande de révocation a été formulé par l’institution, ont un droit à être entendu par l’EDPS18. Cette procédure favorise une prise en compte du DPO concerné au sein de son institution.
Ce mécanisme constitue une garantie essentielle de l’indépendance du DPO. En particulier, celui-ci ne peut être révoqué ni sanctionné en raison de l’exercice de ses missions, dès lors qu’il agit dans le cadre de ses attributions légales.
La CJUE19 a d’ailleurs précisé que l’interdiction de révoquer ou de sanctionner un DPO pour l’exercice de ses fonctions poursuit deux objectifs principaux :
- Préserver son indépendance fonctionnelle ;
- Garantir l’effectivité des règles en protection des données.
Autrement dit, un DPO ne peut pas être écarté pour avoir correctement accompli sa mission, y compris lorsqu’il adopte une position critique ou contraignante à l’égard de son organisation.
Néanmoins, ces exigences n’ont pas objet de régir l’ensemble de la relation de travail.
Ainsi, si l’EDPS évalue que la révocation par l’institution de l’Union est abusive et non fondée, cette dernière peut être sujette à une amende administrative de 25 000 euros par infraction, soit un total de 250 000 par an20.
4. Quelle application et quelle prise en compte de ces lignes directrices pour les professionnels ?
Il convient de souligner que ces lignes directrices et cette décision visent spécifiquement les institutions européennes soumises à l’EUDPR.
Néanmoins, indirectement, ces lignes directrices :
- Reflètent les principes du RGPD;
- Précisent les attentes sur le rôle du DPO et ses missions, quelles que soient les structures en cause ;
- Constituent un référentiel de bonnes pratiques.
Il serait envisageable de transposer les enseignements, notamment en matière :
- D’indépendance ;
- De garantie de ressources suffisantes : le manque de moyens matériels reste un problème récurrent dans les secteurs privé et public ;
- D’implication du DPO : le DPO est souvent consulté tardivement sur des traitements alors qu’il devrait être intégré dès la phase de conception du projet ;
- De structuration d’une culture de la conformité : les lignes directrices de l’EDPS insistent sur la sensibilisation et la formation, encore insuffisantes dans de nombreuses structures.
Les lignes directrices du EDPS offrent une lecture particulièrement exigeante et structurée du rôle du DPO. Elles consacrent une vision ambitieuse : celle d’un DPO indépendant, stratégique et pleinement intégré dans la gouvernance des données.
Si elles s’adressent aux institutions européennes, leur portée dépasse largement ce cadre. Elles constituent dès lors un véritable standard de référence pour toute organisation souhaitant renforcer sa conformité au RGPD et professionnaliser la fonction de DPO.
Notes
- Page 6, considérant 5 des lignes directrices et considérant 4 de la décision. ↩︎
- Article 45 (1) (b), (h) et (2) du EUDPR. ↩︎
- Article 45 (1)(a) et (c) du EUDPR, considérant 163 des lignes directrices. ↩︎
- Considérant 108 des lignes directrices. ↩︎
- Article 44 (8) EUDPR. ↩︎
- Article 44 (9) de l’EUDPR et considérant 12 des lignes directrices. ↩︎
- Articles 44 (3)- (5- et (7) EUDPR et page 16 des lignes directrices. ↩︎
- Considérant 97, page 18 des lignes directrices. ↩︎
- Page 19 des lignes directrices. ↩︎
- Page 16, considérant 84 et suivants des lignes directrices. ↩︎
- Article 44 (6) EUPDR, page 20 des lignes directrices. ↩︎
- Considérants 40 et suivants. ↩︎
- Considérant 48 des lignes directrices. ↩︎
- Considérant 55 des lignes directrices ↩︎
- Conformément aux articles 44 (4), (7) et 45 (2) de l’EUDPR, considérants 178 et suivants des lignes directrices. ↩︎
- Considérants 8 et 204 et suivants des lignes directrices. ↩︎
- Article 44 (2) EUDPR, page 13 ↩︎
- Décision adopté, annexe, « 3.Right to be heard ». ↩︎
- CJUE, 22 juin 2022, Leistriz, C-534/20, §28. ↩︎
- Décision, annexe, « 8.Corrective measures, 8.3 (c) ». ↩︎
