DPO externalisé : missions, tarifs et arbitrage avec un DPO interne

La désignation d’un Délégué à la protection des données (DPO) est devenue, depuis l’entrée en application du Règlement général sur la protection des données (RGPD) le 25 mai 2018, l’un des piliers de la conformité des organismes traitant des données personnelles. Pourtant, beaucoup de dirigeants de TPE, PME et ETI hésitent encore sur la formule à retenir : recruter un DPO interne, faire appel à un DPO externalisé, ou combiner les deux dans un modèle hybride.

Le choix n’est pas uniquement budgétaire. Il engage la qualité de la conformité, la sécurité juridique de l’entreprise et sa capacité à faire face à un contrôle de la Commission nationale de l’informatique et des libertés (CNIL). Les sanctions prononcées en 2025 le rappellent : ne pas associer correctement son DPO peut coûter jusqu’à 100 000 euros d’amende administrative, comme l’illustre la délibération SAN-2025-008 du 18 septembre 2025 visant la société exploitant La Samaritaine.

Cet article fait le point, à jour des textes applicables et de la pratique récente, sur les missions du DPO externalisé, les tarifs constatés sur le marché en 2026, et la grille d’arbitrage entre DPO interne et DPO externe que tout dirigeant doit avoir en tête pour structurer sa gouvernance données.

Qu’est-ce qu’un DPO et quand sa désignation est-elle obligatoire ?

Quelle est la définition juridique du Délégué à la protection des données ?

Le DPO est la personne physique ou morale chargée, au sein d’un organisme ou en appui de celui-ci, de veiller à la bonne application du RGPD et de la loi Informatique et Libertés. Son régime est défini par les articles 37 à 39 du RGPD, complétés en droit français par l’article 57 de la loi n° 78-17 du 6 janvier 1978 (dite « loi Informatique et Libertés »), qui rappelle que le responsable du traitement et son représentant désignent un délégué dans les conditions prévues par la section 4 du chapitre IV du règlement européen.

Le DPO n’est pas un simple correspondant technique : il dispose d’un statut protégé, doit pouvoir exercer ses missions en toute indépendance, et bénéficier des moyens nécessaires à leur accomplissement (article 38 du RGPD).

Dans quels cas la désignation d’un DPO est-elle obligatoire ?

L’article 37 du RGPD impose la désignation d’un DPO dans trois hypothèses principales :

• lorsque le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
• lorsque les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
• lorsque les activités de base consistent en un traitement à grande échelle de catégories particulières de données (données dites sensibles : santé, opinions politiques, biométrie, etc.) ou de données relatives à des condamnations pénales.

Hors de ces cas, la désignation reste fortement recommandée dès lors que l’organisme traite des données à risque ou souhaite démontrer sa conformité (principe d’accountability prévu à l’article 5-2 du RGPD). En droit interne, l’article 103 de la loi Informatique et Libertés rend par ailleurs cette désignation obligatoire pour les responsables de traitement intervenant en matière de fichiers de police et de sécurité.

Qu’est-ce qu’un DPO mutualisé ou externalisé ?

Le RGPD autorise expressément la désignation d’un DPO unique pour plusieurs entités d’un groupe (article 37.2), ainsi que le recours à un prestataire externe sur la base d’un contrat de service (article 37.6). Le DPO peut donc être :

• un salarié du responsable de traitement (DPO interne) ;
• un prestataire indépendant (avocat, consultant, cabinet spécialisé) lié par contrat (DPO externalisé) ;
• une personne morale (cabinet d’avocats, société de conseil), qui désigne en son sein une personne physique chargée d’exercer effectivement la mission.

Quelles sont les missions concrètes du DPO externalisé ?

Quelles missions le RGPD attribue-t-il au DPO ?

Les missions du DPO, qu’il soit interne ou externe, sont identiques. L’article 39 du RGPD en dresse la liste limitative :

• informer et conseiller le responsable du traitement, le sous-traitant et les employés sur leurs obligations ;
• contrôler le respect du RGPD, des autres dispositions du droit de l’Union et du droit interne, ainsi que des règles internes de l’organisme ;
• dispenser des conseils sur l’analyse d’impact relative à la protection des données (AIPD ou DPIA) et vérifier l’exécution de celle-ci ;
• coopérer avec la CNIL et lui servir de point de contact ;
• prendre en compte le risque associé aux opérations de traitement.

En pratique, un DPO externalisé intervient sur un périmètre élargi : tenue et mise à jour du registre des activités de traitement, revue des politiques internes, formation des équipes, gestion des violations de données (article 33 du RGPD), accompagnement des demandes d’exercice de droits (accès, effacement, opposition) et audits ponctuels.

Le DPO externalisé conseille-t-il ou décide-t-il pour l’entreprise ?

C’est un point essentiel souvent mal compris : le DPO n’est pas le responsable du traitement. Il ne prend pas les décisions à la place du dirigeant ou de la direction. Son rôle est d’éclairer la prise de décision et de contrôler la conformité, mais la responsabilité juridique pèse toujours, en application de l’article 5-2 du RGPD, sur le responsable du traitement (et, le cas échéant, sur le sous-traitant pour ce qui le concerne).

Quel est le statut juridique du DPO externalisé ?

Le DPO externalisé doit pouvoir exercer ses missions en toute indépendance (article 38.3 du RGPD). Il ne peut pas recevoir d’instructions sur la manière d’exercer celles-ci, ni être sanctionné pour l’exécution de ses missions, et il rend compte directement au niveau le plus élevé de la direction.

Il doit également être associé d’une manière appropriée et en temps utile à toutes les questions relatives à la protection des données (article 38.1 du RGPD). Cette obligation n’est pas formelle : la CNIL la sanctionne désormais directement, comme l’illustre la jurisprudence administrative récente analysée plus loin.

Sur le plan contractuel, le DPO externalisé est lié à l’entreprise par un contrat de prestation de services qui doit notamment prévoir : le périmètre exact des missions, la durée d’engagement, la confidentialité, les conditions d’accès aux informations, l’absence de conflit d’intérêts, le régime de responsabilité, et les modalités de fin de mission.

Combien coûte un DPO externalisé en 2026 ?

Quelles sont les fourchettes de tarifs constatées sur le marché ?

Le coût d’un DPO externalisé varie de manière significative selon la taille de l’organisme, le volume et la sensibilité des traitements, le niveau d’accompagnement attendu (présence régulière ou interventions ponctuelles), et la maturité initiale de l’organisation en matière de conformité.

Les offres de marché s’échelonnent globalement de 150 € HT par mois pour les périmètres simples (TPE, association, petite structure avec peu de traitements) à plusieurs milliers d’euros par mois pour des organismes complexes. Des forfaits intermédiaires sont fréquemment proposés autour de 220 €, 350 €, 660 € ou 750 € HT par mois, selon le niveau de service.

Sur une base annuelle, les budgets constatés se situent le plus souvent dans une fourchette de 6 000 à 15 000 € HT par an pour une PME, avec des écarts plus larges pour des structures à forte exposition (santé, finance, RH, plateformes numériques).

Quels facteurs font varier le budget d’un DPO externalisé ?

Plusieurs paramètres influent directement sur le coût :

• nombre et nature des traitements (un traitement RH ou santé est plus exigeant qu’un fichier prospect simple) ;
• présence de transferts hors Union européenne ;
• recours à des sous-traitants et nombre de contrats à revue ;
• fréquence des AIPD à conduire ;
• niveau de présence demandé (jours par mois sur site, comités, formations) ;
• gestion des violations de données et demandes des personnes déjà existantes ;
• état initial du registre et de la documentation.

À ces coûts directs s’ajoutent des coûts indirects parfois sous-estimés : temps de mobilisation des équipes internes, déploiement d’outils de cartographie, mise à niveau des politiques internes, mise en conformité des cookies et bandeaux RGPD, etc.

Le coût du DPO externalisé est-il déductible fiscalement ?

Les honoraires versés à un DPO externalisé constituent des charges d’exploitation déductibles du résultat imposable de l’entreprise, dès lors qu’ils sont engagés dans l’intérêt de l’exploitation et correctement justifiés. La TVA acquittée sur ces prestations est en principe récupérable dans les conditions de droit commun, sous réserve du coefficient de déduction propre à chaque entreprise. Ce traitement fiscal favorable renforce l’attractivité économique de la formule externalisée par rapport au recrutement d’un salarié, dont le coût social et fiscal global est sensiblement supérieur.

DPO interne ou DPO externalisé : comment choisir ?

Quels critères imposent ou recommandent un DPO interne ?

Un DPO interne sera plus pertinent lorsque la charge de conformité est continue, transversale et fortement intégrée aux opérations. C’est typiquement le cas :

• des grands groupes et ETI traitant un volume important de données, notamment RH ou santé ;
• des organismes opérant des flux internationaux complexes ;
• des structures pour lesquelles la conformité exige une présence quotidienne et un dialogue permanent avec la DSI, la sécurité, le juridique et les métiers ;
• des entités publiques pour lesquelles la désignation est obligatoire et le périmètre étendu.

Le recrutement interne suppose toutefois de disposer d’une personne réellement compétente, disponible, sans conflit d’intérêts (un DPO ne peut être ni le DSI, ni le directeur juridique, ni le directeur marketing dans la plupart des configurations, selon les lignes directrices du Comité européen de la protection des données).

Dans quels cas le DPO externalisé est-il préférable ?

Le DPO externalisé constitue le plus souvent le meilleur compromis pour les structures qui :

• n’ont pas suffisamment de volume pour justifier un poste à temps plein ;
• souhaitent un démarrage rapide sans coûts de recrutement et de formation ;
• veulent accéder immédiatement à une expertise spécialisée, notamment juridique et opérationnelle ;
• recherchent une flexibilité budgétaire (forfait modulable, ajustement à l’activité réelle) ;
• bénéficient ainsi d’une indépendance renforcée par la distance organisationnelle.

C’est notamment la configuration recommandée pour la grande majorité des TPE/PME et e-commerçants, ainsi que pour les startups en phase de structuration.

Le modèle hybride convient-il aux grandes entreprises avec données sensibles ?

Pour les grandes entreprises et structures fortement exposées (santé, banque, assurance, télécoms, plateformes numériques), un modèle hybride est souvent le plus robuste : un DPO interne pilote la conformité au quotidien, épaulé par un cabinet externe sur les sujets complexes (audits ciblés, AIPD sensibles, gestion de crise, contentieux CNIL, contrôles internationaux).

Cette combinaison permet de cumuler continuité opérationnelle, proximité métier et expertise spécialisée, tout en sécurisant les sujets les plus sensibles par un regard extérieur indépendant.

Comment trancher concrètement entre les trois formules ?

Le tableau suivant synthétise les principaux critères de choix.

Quels sont les risques juridiques en cas de défaillance dans le rôle du DPO ?

Que risque une entreprise qui ne désigne pas de DPO alors qu’elle aurait dû ?

L’absence de désignation, lorsqu’elle est obligatoire, expose l’organisme à une amende administrative prononcée par la CNIL pouvant atteindre, selon l’article 83 du RGPD et l’article 20 de la loi Informatique et Libertés :

• 10 millions d’euros, ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ;
• voire 20 millions d’euros ou 4 % du chiffre d’affaires dans les cas les plus graves.

À cela s’ajoutent les éventuelles mises en demeure, rappels à l’ordre, injonctions de mise en conformité (le cas échéant assorties d’astreintes) et, bien sûr, l’impact réputationnel d’une décision rendue publique.

Que risque une entreprise qui n’associe pas correctement son DPO ?

Désigner un DPO ne suffit pas : encore faut-il l’associer effectivement aux décisions ayant un impact sur les données personnelles. La délibération CNIL SAN-2025-008 du 18 septembre 2025, rendue à l’encontre de la société exploitant le magasin La Samaritaine, en fournit une illustration récente et marquante.

Dans cette affaire, l’entreprise avait installé des caméras dissimulées dans des détecteurs de fumée, dotées de micros, dans deux réserves de son magasin, sans documenter le dispositif et sans associer sa déléguée à la protection des données. Cette dernière n’a été informée que postérieurement à l’installation puis au démontage des caméras par les salariés eux-mêmes.

La formation restreinte de la CNIL a relevé que « la consultation en amont de la déléguée à la protection des données aurait donné l’opportunité à cette dernière de rappeler au responsable de traitement les conditions dans lesquelles un tel dispositif peut être déployé » et que l’absence d’association du DPO constituait un manquement caractérisé à l’article 38.1 du RGPD.

La sanction prononcée s’est élevée à 100 000 euros d’amende administrative, assortie d’une publicité de la décision, pour l’ensemble des manquements constatés (articles 5-1-a, 5-2, 5-1-c, 33 paragraphes 1 et 5, et 38-1 du RGPD). Cette décision démontre que la simple désignation d’un DPO ne suffit pas : la gouvernance doit prévoir une consultation effective et tracée du délégué pour chaque projet à enjeu données.

Quel risque pèse sur le dirigeant personnellement ?

Outre les sanctions administratives prononcées contre l’entreprise, certains manquements aux règles de protection des données peuvent engager la responsabilité pénale du dirigeant sur le fondement des articles 226-16 et suivants du Code pénal (collecte frauduleuse, conservation illicite, divulgation non autorisée). Les peines encourues atteignent 5 ans d’emprisonnement et 300 000 euros d’amende, ce qui justifie d’autant plus une gouvernance DPO solide et documentée.

Comment le cabinet Mirabile Avocat accompagne-t-il les entreprises sur la gouvernance DPO ?

Le Cabinet Mirabile Avocat intervient aux côtés des dirigeants de TPE, PME, ETI, e-commerçants et acteurs du numérique pour structurer, sécuriser et défendre leur conformité données.

Quel accompagnement pour cadrer le choix entre DPO interne, externe ou hybride ?

Avant tout engagement contractuel ou recrutement, il est essentiel de diagnostiquer la situation : nature des traitements, niveau de risque, exposition réglementaire, capacités internes. Le cabinet conduit un audit préalabledébouchant sur une recommandation argumentée quant au modèle à retenir, et accompagne le dirigeant dans la rédaction du contrat de DPO externalisé ou la formalisation du poste interne (lettre de mission, positionnement hiérarchique, ressources allouées).

Quel rôle dans la conformité quotidienne et la prévention des sanctions ?

Le cabinet peut intervenir en qualité de DPO externalisé ou en appui d’un DPO interne, sur un périmètre incluant notamment :

• la revue du registre des traitements et des analyses d’impact ;
• la mise en conformité des sites e-commerce (cookies, mentions légales, conditions générales) ;
• la sécurisation des contrats avec les sous-traitants (article 28 du RGPD) et les partenaires commerciaux ;
• la rédaction et mise à jour des politiques internes (charte informatique, politique de confidentialité, procédure de violation) ;
• la gestion des violations de données et leur notification à la CNIL dans le délai de 72 heures prévu à l’article 33 du RGPD ;
• la formation des équipes et la sensibilisation de la direction.

Quel accompagnement en cas de contrôle CNIL ou de contentieux ?

En cas de contrôle de la CNIL, de mise en demeure, d’engagement de procédure de sanction ou de recours contentieux devant le Conseil d’État, le cabinet assure la défense de l’entreprise à tous les stades de la procédure : rédaction des observations en réponse, audition devant la formation restreinte, recours juridictionnels, ainsi que la gestion des suites médiatiques et réputationnelles d’une éventuelle décision publique.

Quel lien avec la stratégie commerciale et de distribution ?

La gouvernance données ne se limite pas à la conformité RGPD : elle irrigue également les contrats de distribution, les conditions générales de vente, les conditions générales d’utilisation des plateformes, et la structuration fiscaledes flux de données entre filiales ou partenaires. Le cabinet propose une approche transversale alliant droit du numérique, droit commercial, droit de la distribution et droit fiscal.

Conclusion : quelles bonnes pratiques retenir pour un dirigeant ?

Le choix entre DPO interne, DPO externalisé ou modèle hybride n’est pas neutre. Pour la majorité des TPE et PME, le DPO externalisé reste le meilleur compromis coût/expertise, surtout lorsque la conformité est à construire ou à consolider. Pour les grands groupes et les organismes manipulant des données sensibles, un dispositif hybride offre la robustesse nécessaire.

Quel que soit le modèle retenu, trois principes doivent guider la décision :

1. Documenter la désignation et la mission du DPO, et formaliser ses moyens d’action ;
2. Associer le DPO en amont de chaque projet impliquant des données personnelles, conformément à l’article 38.1 du RGPD ;
3. Tracer cette association par écrit, pour pouvoir la démontrer en cas de contrôle.

Au-delà du prix affiché, la vraie question pour le dirigeant n’est pas « combien coûte un DPO » mais « quelle organisation me permet de tenir la conformité dans la durée et de résister à un contrôle CNIL« . C’est sur cette base qu’un accompagnement juridique adapté trouve toute sa valeur.

Le présent article est publié à titre purement informatif et ne constitue pas une consultation juridique. Les analyses présentées correspondent à l’état du droit et de la jurisprudence à la date de rédaction. Pour toute situation particulière, il est recommandé de consulter un avocat. Le Cabinet Mirabile Avocat se tient à votre disposition pour tout accompagnement personnalisé sur les questions de protection des données, de conformité RGPD, de droit du numérique et de droit de la distribution.