Depuis 2018, la délégation générale à l'emploi et à la formation professionnelle (DGEFP) du ministère du Travail et des Solidarité et la CNIL, en partenariat avec l'Association française des correspondants à la protection des données (AFCDP), étudient les enjeux en termes d'emploi et de compétences liés au règlement général sur la protection des données (RGPD), et plus particulièrement l'évolution de la fonction de délégué à la protection des données (DPO).

Cette année, l'enquête se concentre sur le métier de DPO face à l'intelligence artificielle(IA) en abordant les questions suivantes :

• Quels sont aujourd'hui les modes de gouvernance de l'IA au sein des organismes ? Quelle place y occupe le DPO ?
• Avec l'évolution technologique et réglementaire, quels sont les principaux défis rencontrés par les DPO ?
• Quels sont leurs besoins en termes d'outillage et de formation ?

Les résultats, publiés au premier semestre 2026, permettront d'orienter les travaux de la CNIL pour aider les DPO et les professionnels à intégrer dans leurs pratiques les nouveaux enjeux réglementaires, notamment concernant la gestion de données par des systèmes d'IA.

Vous êtes DPO ? Participez à l'enquête 2025

Le DPO, au cœur de toute démarche de conformité impliquant des données personnelles

L'intégration rapide de systèmes d'IA par de nombreux organismes et l'entrée en application progressive du règlement européen sur l'IA (RIA) crée de nouveaux défis pour les DPO.

Ces derniers doivent désormais appréhender les évolutions d'une réglementation appelée à s'articuler avec le RGPD, tout en suivant les progrès technologiques.

Dans le même temps, le domaine de la conformité (ou « compliance ») voit apparaitre de nouveaux rôles : responsable conformité IA, délégué à l'éthique numérique, etc. Autant d'évolutions qui viennent questionner le positionnement du DPO : jusqu'où s'étend son champ d'intervention ?

Au titre du RGPD, le DPO doit être associé à toutes les questions relatives aux données personnelles, quelle que soit la technologie utilisée. Or, les systèmes d'intelligence artificielle fonctionnent bien souvent à l'aide de données personnelles. Dans ce cas, l'organisme est tenu d'impliquer le DPO dès le début des réflexions afin qu'il s'assure que les systèmes d'IA utilisés sont respectueux de la règlementation en matière de protection des données.

Mais il n'est pas nécessairement le chef de file de l'application du règlement sur l'intelligence artificielle

Impliquer le DPO sur les traitements mis en œuvre par l'IA ne signifie pas en faire le chef de file de la conformité au RIA au sein de son organisation. Le règlement sur l'intelligence artificielle ne mentionne d'ailleurs pas explicitement le DPO, et son rôle ne s'impose pas dans les chaînes de gouvernance internes liées à la mise en œuvre de ce règlement.

L'application du RIA nécessitera la mobilisation de compétences qui, à ce jour, ne sont pas nécessairement celles attendues du DPO.

Les organismes devront donc définir les modalités d'une implication appropriée du DPO, ainsi que les expertises complémentaires à associer pour une bonne gouvernance de leurs systèmes d'IA, y compris, en prévoyant des actions de formations adaptées

Au regard de la diversité des profils de DPO (formation initiale, niveau d'expérience professionnelle, délégué externe ou salarié, mutualisé ou non, etc.) et des réalités propres à chaque organisme (secteur public ou privé, cœur de métier, moyens disponibles, etc.), ce dernier aura une marche plus ou moins haute à franchir pour maitriser les enjeux liés à l'usage de l'intelligence artificielle et engager les actions nécessaires à la mise en conformité.

Le RIA, un nouveau champ d'action pour le DPO ?

Le DPO dispose de nombreux atouts à faire valoir pour jouer un rôle déterminant dans la conformité au RIA.

Ce règlement vient compléter le RGPD en fixant les conditions requises pour développer et déployer des systèmes d'IA de confiance : maîtriser les principes du RGPD facilite incontestablement la conformité au RIA. Il existe d'ailleurs des similarités entre les deux règlements : développement d'une approche par les risques, principe de responsabilisation, exigence de documentation et de transparence, protection des droits fondamentaux, etc.

Ainsi, une grande partie des compétences du DPO liées à sa pratique du RGPD pourraient judicieusement être mobilisée pour travailler à la bonne application du RIA. À la croisée des expertises techniques et juridiques, le DPO dispose d'un savoir-faire précieux : réalisation d'analyse d'impact, cartographie et registre des traitements, culture de la conformité et du contrôle interne, sensibilisation et accompagnement des équipes, connaissance du régulateur - la CNIL étant appelée à jouer un rôle central dans la régulation d'une grande partie des systèmes d'IA.

Capitaliser sur ces compétences et cette expérience est donc une piste pertinente pour les organismes qui doivent désormais intégrer les exigences du RIA. Si le déploiement de l'IA représente un défi, s'appuyer sur des compétences solides et reconnues est un gage d'efficacité.

Au regard de ces enjeux, il semblait essentiel de recueillir la vision des DPO en consacrant cette nouvelle enquête de l'observatoire à la thématique de l'intelligence artificielle.