Réunion EDPS-DPO à Bruxelles : l'indépendance du délégué devient une priorité opposable

18/6/26
👈 les autres actualités

Réunis à Bruxelles le 18 juin 2026 pour leur 58e rencontre, les délégués à la protection des données des institutions européennes et le Contrôleur européen de la protection des données (EDPS) ont fixé leur feuille de route pour les mois à venir. Derrière l'apparence d'une réunion de routine se joue un signal fort : l'EDPS fait de l'indépendance du DPO une priorité opposable, avec de nouvelles règles contraignantes. Un mouvement dont la portée dépasse largement les murs des institutions européennes.

Ce qui s'est passé

Le 58e meeting EDPS-DPO a rassemblé les délégués à la protection des données des institutions, organes et agences de l'Union (les EUIs) autour d'un même objectif : aligner les priorités de protection des données face à l'accélération réglementaire. Au menu des échanges, l'application de l'AI Act, la pression croissante des notifications de violations et les débats autour des propositions Omnibus de la Commission, qui pourraient remodeler l'articulation entre le RGPD et le reste du cadre numérique européen.

Mais l'élément le plus concret n'est pas sorti de la salle de réunion : il l'a précédée. Fin 2025, l'EDPS a adopté une guidance sur le rôle du DPO dans les institutions européennes, complétée par des règles contraignantes : depuis la décision 01/2026 du 16 janvier 2026, aucune institution ne peut désormais démettre son DPO avant la fin de son mandat sans le consentement préalable de l'EDPS. L'indépendance du délégué cesse d'être un principe déclaratif pour devenir une garantie procédurale.

Pourquoi c'est important

Le RGPD pose déjà les fondations de cette indépendance, mais en des termes que beaucoup d'organisations sous-estiment. L'article 38 du RGPD interdit toute sanction du DPO pour l'exercice de ses missions et impose qu'il rende compte au plus haut niveau de la direction, sans conflit d'intérêts. L'article 39 détaille ses cinq missions — information, contrôle, conseil, coopération avec l'autorité et point de contact — qui supposent une marge de manœuvre réelle. En verrouillant la procédure de révocation, l'EDPS donne à ces textes une traduction opérationnelle que peu d'employeurs anticipaient.

Cette doctrine n'est pas un cas isolé. Elle s'inscrit dans la même dynamique que les récents travaux de l'EDPS sur l'AI Act et la cybersécurité, détaillés dans sa newsletter 119, et fait écho au modèle de rapport d'activité du DPO publié par la CNIL. Le message converge : le délégué n'est plus une case à cocher, mais une fonction dont l'autorité de régulation entend défendre le statut.

Ce que ça change pour les organisations

Si l'EDPS ne supervise que les institutions européennes, sa lecture du rôle du DPO irrigue tout l'écosystème et inspire les autorités nationales comme la CNIL. Pour une organisation française, trois réflexes s'imposent. D'abord, vérifier que la désignation du DPO respecte bien les conditions de l'article 37 et que la déclaration auprès de la CNIL est à jour. Ensuite, s'assurer que le rôle et les missions du DPO sont formalisés : rattachement hiérarchique, moyens alloués, absence de conflit d'intérêts, accès direct à la direction. Enfin, documenter cette indépendance — car en cas de contrôle, c'est la preuve d'un DPO réellement libre d'agir qui fera la différence, pas l'organigramme théorique.

Concrètement, une organisation qui sanctionnerait, marginaliserait ou priverait de moyens son DPO s'expose désormais à un risque de non-conformité bien identifié. La tendance européenne va dans un seul sens : renforcer, pas alléger.

Ce que Leto pense de cette décision

L'indépendance du DPO est l'angle mort le plus fréquent de la conformité. Beaucoup d'entreprises nomment un délégué, puis le placent sous l'autorité d'un DSI ou d'un directeur juridique qui décide aussi des traitements — exactement le conflit d'intérêts que le RGPD proscrit. En faisant de la révocation un acte sous contrôle, l'EDPS rappelle une évidence souvent oubliée : un DPO qui peut être congédié au premier rapport gênant n'est pas un DPO. Les organisations seraient bien inspirées d'auditer dès maintenant la réalité de cette indépendance, avant qu'une autorité ne le fasse à leur place.

Sources : EDPS — Shaping data protection priorities: EDPS and DPOs join forces in Brussels · EDPS — EDPS strengthens DPO role: new guidance and binding rules

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026