Dans l’imaginaire collectif, le Délégué à la protection des données (DPO) est souvent vu comme un juriste discret, chargé de vérifier que tout est conforme au Règlement général sur la protection des données (RGPD). Mais dans un établissement public d’enseignement supérieur et de recherche, la réalité est bien différente.
À l’université, le DPO est à la fois juriste, pédagogue, conseiller stratégique et médiateur entre innovation scientifique et obligations légales. Son rôle est crucial, mais encore méconnu. Il est aujourd’hui au cœur des transformations numériques et de la recherche ouverte.
Un poste stratégique au carrefour du droit et de la recherche
Le RGPD, entré en application en 2018, oblige chaque organisme public à désigner un DPO. À l’université, ce dernier doit s’assurer que tous les traitements de données – qu’il s’agisse de bases administratives, de projets de recherche ou de partenariats internationaux – respectent les principes européens de protection des données personnelles. Ses missions officielles sont multiples : tenir le registre des traitements, accompagner les équipes dans les analyses d’impact (AIPD), conseiller et former les personnels, gérer les demandes d’accès ou de rectification, et être l’interlocuteur privilégié de la CNIL.
Sur le papier, ces missions semblent claires. Mais dans un établissement de plusieurs dizaines de milliers d’étudiants, de milliers d’agents et d’une multitude de laboratoires, leur mise en œuvre devient un défi quotidien. Le DPO est sollicité par des interlocuteurs très divers ; direction, services administratifs, enseignants-chercheurs, doctorants, étudiants, chacun ayant ses propres priorités et ses propres pratiques.
Un acteur souvent isolé et surchargé
La plupart des universités ne disposent que d’un seul DPO, sans adjoint ni réseau interne structuré. Il doit donc jongler entre le suivi administratif, la formation, l’appui juridique, la gestion des droits des personnes et l’accompagnement de projets souvent complexes et sensibles. Cette dispersion rend son action chronophage et l’oblige à prioriser sans cesse.
Autre difficulté : le DPO est souvent consulté en aval des projets, au moment de « valider » une démarche, alors qu’une intervention en amont permettrait d’intégrer la conformité dès la conception. À cela s’ajoute un déficit de formation RGPD des personnels administratifs et académiques : faute de culture partagée, la sensibilisation repose essentiellement sur le DPO, qui doit répéter les mêmes messages et accompagner concrètement chaque service.
Enfin, si le RGPD garantit théoriquement l’indépendance du DPO, celle-ci reste fragile faute de moyens et face aux pressions institutionnelles liées à la compétition scientifique et à la visibilité internationale. Le DPO se retrouve ainsi au cœur d’une tension permanente : concilier innovation et conformité.
Le poids des thèses et projets de recherche
Dans ce contexte, certaines missions occupent une place prépondérante. C’est le cas des thèses et projets doctoraux, qui représentent souvent plus de la moitié du travail du DPO. Chaque projet implique une vérification de conformité, et parfois la réalisation d’une analyse d’impact quand des données sensibles sont en jeu. La recherche en santé ou en sciences sociales, par exemple, soulève des questions délicates d’anonymisation, de consentement et de conservation des données.
Faute d’outils standardisés, le DPO doit traiter chaque projet au cas par cas. Certains ont mis en place des fiches pratiques pour guider les doctorants et encadrants, mais cela ne suffit pas à absorber le volume. Des modèles de conformité et des formations systématiques permettraient de réduire cette pression et de renforcer la culture RGPD dès la conception des travaux.
Les défis de la mobilité internationale et de l’innovation numérique
Les sollicitations ne viennent pas seulement des laboratoires. Les services administratifs demandent régulièrement l’avis du DPO pour des projets variés : organisation d’événements, refonte de bases de données, nouveaux partenariats internationaux. Ces traitements impliquent parfois des données sensibles et des transferts hors de l’Union européenne. La Maison universitaire internationale, par exemple, gère les mobilités étudiantes et doit encadrer juridiquement l’échange de données avec des pays où la protection n’est pas équivalente à celle du RGPD. Le DPO doit alors vérifier ou négocier des clauses contractuelles types, une tâche lourde mais indispensable pour sécuriser les échanges.
Par ailleurs, l’essor des usages numériques – plateformes en ligne, intelligence artificielle, cloud, objets connectés – multiplie les risques et exige des évaluations, des audits et des mesures de sécurité technique. Le DPO doit rester en veille constante pour adapter ses recommandations aux innovations qui émergent.
La nécessité d’une meilleure reconnaissance du rôle
Pour alléger la charge de travail du DPO tout en renforçant la conformité, plusieurs pistes se dessinent : créer un réseau interne de correspondants protection des données dans chaque composante ; standardiser les procédures et modèles d’AIPD ; intégrer le RGPD dans la formation des personnels et des doctorants ; mutualiser les ressources et bonnes pratiques via des réseaux comme SupDPO ; et surtout donner au DPO des moyens et un soutien institutionnel à la hauteur de ses missions.
Le DPO universitaire n’est pas un simple contrôleur administratif. Il est un acteur transversal, médiateur, pédagogue, conseiller et gestionnaire de risques. Sa charge de travail est considérable, variée et continue. Pour que ce rôle soit réellement efficace, il est essentiel que l’université le reconnaisse non seulement dans les textes mais aussi dans les faits. Renforcer les moyens, former les acteurs et standardiser les pratiques permettra d’alléger la charge tout en sécurisant la recherche et les services universitaires.
Joao Pedro de Alcântara Bastos
Master 2 Cyberjustice 2024/2025
Sources
• CNIL – Observatoire des DPO 2024 : https://www.cnil.fr/fr/observatoire-dpo-enquete-2024
• CNIL – Quels bénéfices économiques du DPO en entreprise ? : https://www.cnil.fr/fr/quels-benefices-economiques-du-dpo-en-entreprise
• Université de Poitiers – Missions du DPO : https://www.univ-poitiers.fr/choisir-luniversite/organisation/protection-des-donnees-personnelles-rgpd/missions-du-dpo-pour-data-protection-officer
• SupDPO – Organisation et réseau des DPO de l’enseignement supérieur : https://supdpo.fr/qui-sommes-nous/organisation/
• Université Côte d’Azur – Diplôme universitaire DPO & Compliance numérique : https://univ-cotedazur.fr/formation/offre-de-formation/diplome-universitaire-dpo-compliance-numerique
• Cadremploi – Data Protection Officer : missions, formation et salaire : https://www.cadremploi.fr/editorial/conseils/informatique-telecoms-web/data-protection-officer
• Ministère du Travail – Le DPO, un métier en forte évolution : https://travail-emploi.gouv.fr/le-delegue-la-protection-des-donnees-dpo-un-metier-en-forte-evolution
