Le DPO est obligatoire pour les organismes publics et les entreprises traitant des données sensibles à grande échelle. Il conseille sur la conformité RGPD, supervise les analyses d'impact (AIPD), forme les équipes et fait le lien avec la CNIL. Le DPO peut être interne ou externalisé et dispose d'une indépendance fonctionnelle.