Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
DPO externe : missions, tarifs 2025 et guide pour bien choisir votre délégué à la protection des données
DPO externe : missions, tarifs 2025, comment choisir et comment le désigner à la CNIL. Guide complet pour les PME et ETI qui souhaitent externaliser leur fonction de Délégué à la Protection des Données.
Qu’est-ce qu’un DPO externe ?
Un DPO externe (Délégué à la Protection des Données externalisé) est un professionnel indépendant ou un cabinet spécialisé mandaté pour exercer la fonction de DPO pour le compte d’une organisation, sans en être salarié. Il accomplit les mêmes missions qu’un DPO interne — mais depuis l’extérieur, souvent en mode multi-clients.
Depuis 2018, le recours au DPO externe est explicitement autorisé par le RGPD (article 37.6) : « Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service. »
DPO externe obligatoire : qui est concerné ?
La désignation d’un DPO est obligatoire dans trois cas, que ce soit en interne ou en externe :
- Les autorités et organismes publics — administrations, collectivités, établissements publics
- Les organismes dont les activités de base consistent à effectuer un suivi régulier et systématique des personnes à grande échelle — plateformes en ligne, adtech, assureurs, banques, opérateurs télécom
- Les organismes traitant à grande échelle des données sensibles ou relatives à des condamnations pénales — structures de santé, DRH de grands groupes, cabinets d’avocats pénalistes
En dehors de ces cas, la désignation reste facultative mais fortement recommandée — et de plus en plus exigée par les donneurs d’ordre dans les appels d’offres et les audits de conformité fournisseurs.
DPO interne vs DPO externe : comment choisir ?
| DPO interne | DPO externe | |
|---|---|---|
| Coût | Salaire + formation + outils | Honoraires mensuels |
| Disponibilité | Temps plein dédié | Partagé entre clients |
| Expertise | Montée en compétence progressive | Expertise immédiate et multi-sectorielle |
| Indépendance | Risque de pression hiérarchique | Indépendance garantie contractuellement |
| Connaissance de l’entreprise | Forte (immersion totale) | À construire dans le temps |
| Continuité | Risque en cas de départ | Assurée par le cabinet ou le contrat |
| Convient à | Grandes structures, data-intensives | PME, ETI, start-ups, associations |
Pour une PME ou une ETI qui traite des données mais n’a pas la masse critique pour justifier un poste à temps plein, le DPO externe est souvent la solution la plus efficiente : expertise immédiate, coût maîtrisé, indépendance garantie.
Quelles sont les missions d’un DPO externe ?
Qu’il soit interne ou externe, le DPO exerce les mêmes missions définies à l’article 39 du RGPD :
1. Informer et conseiller
Le DPO informe et conseille l’organisme et ses employés sur leurs obligations en matière de protection des données. Il est le référent interne RGPD — celui qu’on appelle avant de lancer un nouveau projet, un nouveau prestataire, une nouvelle collecte.
2. Contrôler la conformité
Il vérifie que les traitements de données sont conformes au RGPD et aux politiques internes : revue du registre des traitements, audit des contrats DPA, vérification des mentions d’information, analyse des droits d’accès…
3. Conseiller sur les analyses d’impact (AIPD)
Pour les traitements à risque élevé, le DPO conseille sur la conduite des Analyses d’Impact relatives à la Protection des Données (AIPD / DPIA) et vérifie leur réalisation. Sans AIPD préalable pour les traitements concernés, l’organisme viole directement le RGPD.
4. Coopérer avec l’autorité de contrôle
Le DPO est le point de contact officiel avec la CNIL. En cas de contrôle, de plainte ou d’enquête, il est l’interlocuteur désigné. Il doit être disponible et joignable — d’où l’importance que ses coordonnées soient publiées et communiquées à la CNIL lors de sa désignation.
5. Gérer les demandes d’exercice de droits
Accès, rectification, effacement, portabilité, opposition, limitation : le DPO organise les procédures de traitement des demandes et s’assure qu’elles sont traitées dans les délais légaux (1 mois, extensible à 3 mois pour les demandes complexes).
6. Former et sensibiliser les équipes
Un DPO efficace ne peut pas être le seul à porter la conformité. Il organise la sensibilisation des équipes, notamment celles qui traitent le plus de données (marketing, RH, service client, IT). La formation est à la fois une obligation et un bouclier en cas de contrôle.
Combien coûte un DPO externe ? Les tarifs en 2025
Les tarifs d’un DPO externe varient selon la taille de l’organisation, la complexité des traitements et le niveau de service attendu. Voici les fourchettes observées sur le marché français en 2025 :
| Profil de l’organisation | Tarif mensuel indicatif | Volume d’heures |
|---|---|---|
| TPE / Start-up (peu de données) | 300 – 600 €/mois | 2 à 5h/mois |
| PME (50 à 250 salariés) | 600 – 1 500 €/mois | 5 à 15h/mois |
| ETI (250 à 2 000 salariés) | 1 500 – 4 000 €/mois | 15 à 40h/mois |
| Secteur santé / données sensibles | 2 000 – 6 000 €/mois | 20 à 60h/mois |
| Mission ponctuelle (audit, AIPD) | 800 – 2 500 € / mission | Forfait |
Ces tarifs s’entendent hors taxes. Ils incluent généralement : la mise à jour du registre, la revue des DPA, la gestion des demandes de droits, les réponses aux questions des équipes et la veille réglementaire. Les missions ponctuelles (AIPD, formation, audit approfondi) sont souvent facturées en supplément ou dans un forfait dédié.
Comment choisir son DPO externe ?
Vérifier les qualifications et l’expérience
Le RGPD exige que le DPO soit désigné sur la base de ses qualités professionnelles et de sa connaissance du droit et des pratiques en matière de protection des données (article 37.5). Il n’existe pas de certification légalement obligatoire, mais les certifications CIPP/E (IAPP) ou la certification AFNOR DPO sont des gages de sérieux.
Évaluer la connaissance de votre secteur
Un DPO spécialisé dans le secteur santé n’aura pas la même approche qu’un DPO généraliste d’une PME industrielle. La connaissance des réglementations sectorielles (HDS pour la santé, DORA pour la finance, NIS2 pour les opérateurs essentiels) est un critère de sélection clé.
Vérifier l’absence de conflit d’intérêts
Le RGPD interdit formellement au DPO d’exercer des fonctions entraînant un conflit d’intérêts (article 38.6). Un prestataire qui vend des services informatiques à votre organisation ne peut pas en être le DPO. De même, un DPO interne qui serait aussi DSI ou DG est en situation de conflit.
Clarifier les modalités pratiques
Avant de signer, assurez-vous de bien comprendre : le volume d’heures inclus, les délais de réponse aux questions, la procédure en cas d’urgence (violation de données), les livrables attendus (rapport annuel, registre mis à jour), et les conditions de résiliation.
Les obligations de l’organisme envers son DPO externe
Désigner un DPO externe ne suffit pas — l’article 38 du RGPD impose à l’organisme plusieurs obligations envers lui :
- L’associer à toutes les questions relatives à la protection des données — il doit être consulté dès la conception de tout nouveau projet ou traitement
- Lui fournir les ressources nécessaires — temps, accès aux données, budget formation, outils
- Maintenir son indépendance — aucune instruction sur la manière d’exercer ses missions, aucune sanction pour l’exercice de ses fonctions
- Publier ses coordonnées — sur le site web de l’organisme et les communiquer à la CNIL
Un DPO externe qu’on ne consulte jamais, à qui on ne donne pas accès aux informations nécessaires, ou dont on ignore les recommandations, ne remplit pas sa mission — et l’organisme reste exposé.
DPO externe : comment le déclarer à la CNIL ?
La désignation d’un DPO (interne ou externe) doit être notifiée à la CNIL via le portail de notification en ligne sur le site cnil.fr. Les informations à fournir sont : nom et prénom du DPO, coordonnées professionnelles (email, téléphone), et nom de l’organisme désignateur.
La CNIL ne « valide » pas la désignation — elle en prend acte. C’est à l’organisme de s’assurer que la personne désignée remplit bien les conditions légales. En cas de changement de DPO, une nouvelle notification est obligatoire.
FAQ — DPO externe
Un DPO externe peut-il exercer pour plusieurs organisations simultanément ?
Oui, c’est même le modèle économique standard du DPO externe. Le RGPD précise que si plusieurs organisations désignent le même DPO, elles doivent vérifier qu’il peut remplir ses missions de manière effective pour chacune d’elles (article 37.2). Le nombre de clients simultanés est donc limité par la capacité réelle du DPO, pas par la loi.
Quelle est la durée minimale d’un contrat de DPO externe ?
Il n’y a pas de durée minimale légale. En pratique, les contrats sont signés pour 1 an renouvelable, avec une clause de résiliation à 1 ou 3 mois. La CNIL recommande une certaine stabilité dans la fonction pour garantir la continuité et l’efficacité de la mission.
Le DPO externe est-il responsable en cas de violation RGPD ?
Non. La responsabilité juridique repose sur l’organisme (responsable de traitement ou sous-traitant), pas sur le DPO. Le rôle du DPO est de conseiller, d’alerter et de contrôler — pas de décider. Si l’organisme ne suit pas ses recommandations, la responsabilité lui appartient entièrement.
Un avocat peut-il être DPO externe ?
Oui, à condition qu’il n’y ait pas de conflit d’intérêts entre sa mission de conseil juridique et son rôle de DPO pour le même client. La CNIL a précisé que l’avocat-DPO doit pouvoir être pleinement indépendant et ne pas être placé dans une situation où ses deux rôles entrent en tension.
