RGPD
La désignation d'un Délégué à la protection des données (DPO) est devenue, depuis l'entrée en application du Règlement général sur la protection des données (RGPD) le 25 mai 2018, l'un des piliers de la conformité des organismes traitant des données personnelles. Pourtant, beaucoup de dirigeants de
Temps de lecture :
15 min
La désignation d'un Délégué à la protection des données (DPO) est devenue, depuis l'entrée en application du Règlement général sur la protection des données (RGPD) le 25 mai 2018, l'un des piliers de la conformité des organismes traitant des données personnelles. Pourtant, beaucoup de dirigeants de TPE, PME et ETI hésitent encore sur la formule à retenir : recruter un DPO interne, faire appel à un DPO externalisé, ou combiner les deux dans un modèle hybride.
Le choix n'est pas uniquement budgétaire. Il engage la qualité de la conformité, la sécurité juridique de l'entreprise et sa capacité à faire face à un contrôle de la Commission nationale de l'informatique et des libertés (CNIL). Les sanctions prononcées en 2025 le rappellent : ne pas associer correctement son DPO peut coûter jusqu'à 100 000 euros d'amende administrative, comme l'illustre la délibération SAN-2025-008 du 18 septembre 2025 visant la société exploitant La Samaritaine.
Cet article fait le point, à jour des textes applicables et de la pratique récente, sur les missions du DPO externalisé, les tarifs constatés sur le marché en 2026, et la grille d'arbitrage entre DPO interne et DPO externe que tout dirigeant doit avoir en tête pour structurer sa gouvernance données.
Le DPO est la personne physique ou morale chargée, au sein d'un organisme ou en appui de celui-ci, de veiller à la bonne application du RGPD et de la loi Informatique et Libertés. Son régime est défini par les articles 37 à 39 du RGPD, complétés en droit français par l'article 57 de la loi n° 78-17 du 6 janvier 1978 (dite "loi Informatique et Libertés"), qui rappelle que le responsable du traitement et son représentant désignent un délégué dans les conditions prévues par la section 4 du chapitre IV du règlement européen.
Le DPO n'est pas un simple correspondant technique : il dispose d'un statut protégé, doit pouvoir exercer ses missions en toute indépendance, et bénéficier des moyens nécessaires à leur accomplissement (article 38 du RGPD).
L'article 37 du RGPD impose la désignation d'un DPO dans trois hypothèses principales :
Hors de ces cas, la désignation reste fortement recommandée dès lors que l'organisme traite des données à risque ou souhaite démontrer sa conformité (principe d'accountability prévu à l'article 5-2 du RGPD). En droit interne, l'article 103 de la loi Informatique et Libertés rend par ailleurs cette désignation obligatoire pour les responsables de traitement intervenant en matière de fichiers de police et de sécurité.
Le RGPD autorise expressément la désignation d'un DPO unique pour plusieurs entités d'un groupe (article 37.2), ainsi que le recours à un prestataire externe sur la base d'un contrat de service (article 37.6). Le DPO peut donc être :
Les missions du DPO, qu'il soit interne ou externe, sont identiques. L'article 39 du RGPD en dresse la liste limitative :
En pratique, un DPO externalisé intervient sur un périmètre élargi : tenue et mise à jour du registre des activités de traitement, revue des politiques internes, formation des équipes, gestion des violations de données (article 33 du RGPD), accompagnement des demandes d'exercice de droits (accès, effacement, opposition) et audits ponctuels.
C'est un point essentiel souvent mal compris : le DPO n'est pas le responsable du traitement. Il ne prend pas les décisions à la place du dirigeant ou de la direction. Son rôle est d'éclairer la prise de décision et de contrôler la conformité, mais la responsabilité juridique pèse toujours, en application de l'article 5-2 du RGPD, sur le responsable du traitement (et, le cas échéant, sur le sous-traitant pour ce qui le concerne).
RGPD · Rôle du Délégué à la protection des données
Le DPO externalisé doit pouvoir exercer ses missions en toute indépendance (article 38.3 du RGPD). Il ne peut pas recevoir d'instructions sur la manière d'exercer celles-ci, ni être sanctionné pour l'exécution de ses missions, et il rend compte directement au niveau le plus élevé de la direction.
Il doit également être associé d'une manière appropriée et en temps utile à toutes les questions relatives à la protection des données (article 38.1 du RGPD). Cette obligation n'est pas formelle : la CNIL la sanctionne désormais directement, comme l'illustre la jurisprudence administrative récente analysée plus loin.
Sur le plan contractuel, le DPO externalisé est lié à l'entreprise par un contrat de prestation de services qui doit notamment prévoir : le périmètre exact des missions, la durée d'engagement, la confidentialité, les conditions d'accès aux informations, l'absence de conflit d'intérêts, le régime de responsabilité, et les modalités de fin de mission.
Le coût d'un DPO externalisé varie de manière significative selon la taille de l'organisme, le volume et la sensibilité des traitements, le niveau d'accompagnement attendu (présence régulière ou interventions ponctuelles), et la maturité initiale de l'organisation en matière de conformité.
Les offres de marché s'échelonnent globalement de 150 € HT par mois pour les périmètres simples (TPE, association, petite structure avec peu de traitements) à plusieurs milliers d'euros par mois pour des organismes complexes. Des forfaits intermédiaires sont fréquemment proposés autour de 220 €, 350 €, 660 € ou 750 € HT par mois, selon le niveau de service.
Sur une base annuelle, les budgets constatés se situent le plus souvent dans une fourchette de 6 000 à 15 000 € HT par an pour une PME, avec des écarts plus larges pour des structures à forte exposition (santé, finance, RH, plateformes numériques).
Plusieurs paramètres influent directement sur le coût :
À ces coûts directs s'ajoutent des coûts indirects parfois sous-estimés : temps de mobilisation des équipes internes, déploiement d'outils de cartographie, mise à niveau des politiques internes, mise en conformité des cookies et bandeaux RGPD, etc.
Les honoraires versés à un DPO externalisé constituent des charges d'exploitation déductibles du résultat imposable de l'entreprise, dès lors qu'ils sont engagés dans l'intérêt de l'exploitation et correctement justifiés. La TVA acquittée sur ces prestations est en principe récupérable dans les conditions de droit commun, sous réserve du coefficient de déduction propre à chaque entreprise. Ce traitement fiscal favorable renforce l'attractivité économique de la formule externalisée par rapport au recrutement d'un salarié, dont le coût social et fiscal global est sensiblement supérieur.
Un DPO interne sera plus pertinent lorsque la charge de conformité est continue, transversale et fortement intégrée aux opérations. C'est typiquement le cas :
Le recrutement interne suppose toutefois de disposer d'une personne réellement compétente, disponible, sans conflit d'intérêts (un DPO ne peut être ni le DSI, ni le directeur juridique, ni le directeur marketing dans la plupart des configurations, selon les lignes directrices du Comité européen de la protection des données).
Le DPO externalisé constitue le plus souvent le meilleur compromis pour les structures qui :
C'est notamment la configuration recommandée pour la grande majorité des TPE/PME et e-commerçants, ainsi que pour les startups en phase de structuration.
Pour les grandes entreprises et structures fortement exposées (santé, banque, assurance, télécoms, plateformes numériques), un modèle hybride est souvent le plus robuste : un DPO interne pilote la conformité au quotidien, épaulé par un cabinet externe sur les sujets complexes (audits ciblés, AIPD sensibles, gestion de crise, contentieux CNIL, contrôles internationaux).
Cette combinaison permet de cumuler continuité opérationnelle, proximité métier et expertise spécialisée, tout en sécurisant les sujets les plus sensibles par un regard extérieur indépendant.
L'absence de désignation, lorsqu'elle est obligatoire, expose l'organisme à une amende administrative prononcée par la CNIL pouvant atteindre, selon l'article 83 du RGPD et l'article 20 de la loi Informatique et Libertés :
À cela s'ajoutent les éventuelles mises en demeure, rappels à l'ordre, injonctions de mise en conformité (le cas échéant assorties d'astreintes) et, bien sûr, l'impact réputationnel d'une décision rendue publique.
Désigner un DPO ne suffit pas : encore faut-il l'associer effectivement aux décisions ayant un impact sur les données personnelles. La délibération CNIL SAN-2025-008 du 18 septembre 2025, rendue à l'encontre de la société exploitant le magasin La Samaritaine, en fournit une illustration récente et marquante.
Dans cette affaire, l'entreprise avait installé des caméras dissimulées dans des détecteurs de fumée, dotées de micros, dans deux réserves de son magasin, sans documenter le dispositif et sans associer sa déléguée à la protection des données. Cette dernière n'a été informée que postérieurement à l'installation puis au démontage des caméras par les salariés eux-mêmes.
La formation restreinte de la CNIL a relevé que "la consultation en amont de la déléguée à la protection des données aurait donné l'opportunité à cette dernière de rappeler au responsable de traitement les conditions dans lesquelles un tel dispositif peut être déployé" et que l'absence d'association du DPO constituait un manquement caractérisé à l'article 38.1 du RGPD.
La sanction prononcée s'est élevée à 100 000 euros d'amende administrative, assortie d'une publicité de la décision, pour l'ensemble des manquements constatés (articles 5-1-a, 5-2, 5-1-c, 33 paragraphes 1 et 5, et 38-1 du RGPD). Cette décision démontre que la simple désignation d'un DPO ne suffit pas : la gouvernance doit prévoir une consultation effective et tracée du délégué pour chaque projet à enjeu données.
Outre les sanctions administratives prononcées contre l'entreprise, certains manquements aux règles de protection des données peuvent engager la responsabilité pénale du dirigeant sur le fondement des articles 226-16 et suivants du Code pénal (collecte frauduleuse, conservation illicite, divulgation non autorisée). Les peines encourues atteignent 5 ans d'emprisonnement et 300 000 euros d'amende, ce qui justifie d'autant plus une gouvernance DPO solide et documentée.
Le Cabinet Mirabile Avocat intervient aux côtés des dirigeants de TPE, PME, ETI, e-commerçants et acteurs du numérique pour structurer, sécuriser et défendre leur conformité données.
Avant tout engagement contractuel ou recrutement, il est essentiel de diagnostiquer la situation : nature des traitements, niveau de risque, exposition réglementaire, capacités internes. Le cabinet conduit un audit préalabledébouchant sur une recommandation argumentée quant au modèle à retenir, et accompagne le dirigeant dans la rédaction du contrat de DPO externalisé ou la formalisation du poste interne (lettre de mission, positionnement hiérarchique, ressources allouées).
Le cabinet peut intervenir en qualité de DPO externalisé ou en appui d'un DPO interne, sur un périmètre incluant notamment :
En cas de contrôle de la CNIL, de mise en demeure, d'engagement de procédure de sanction ou de recours contentieux devant le Conseil d'État, le cabinet assure la défense de l'entreprise à tous les stades de la procédure : rédaction des observations en réponse, audition devant la formation restreinte, recours juridictionnels, ainsi que la gestion des suites médiatiques et réputationnelles d'une éventuelle décision publique.
La gouvernance données ne se limite pas à la conformité RGPD : elle irrigue également les contrats de distribution, les conditions générales de vente, les conditions générales d'utilisation des plateformes, et la structuration fiscaledes flux de données entre filiales ou partenaires. Le cabinet propose une approche transversale alliant droit du numérique, droit commercial, droit de la distribution et droit fiscal.
Le choix entre DPO interne, DPO externalisé ou modèle hybride n'est pas neutre. Pour la majorité des TPE et PME, le DPO externalisé reste le meilleur compromis coût/expertise, surtout lorsque la conformité est à construire ou à consolider. Pour les grands groupes et les organismes manipulant des données sensibles, un dispositif hybride offre la robustesse nécessaire.
Quel que soit le modèle retenu, trois principes doivent guider la décision :
Au-delà du prix affiché, la vraie question pour le dirigeant n'est pas "combien coûte un DPO" mais "quelle organisation me permet de tenir la conformité dans la durée et de résister à un contrôle CNIL". C'est sur cette base qu'un accompagnement juridique adapté trouve toute sa valeur.
Le présent article est publié à titre purement informatif et ne constitue pas une consultation juridique. Les analyses présentées correspondent à l'état du droit et de la jurisprudence à la date de rédaction. Pour toute situation particulière, il est recommandé de consulter un avocat. Le Cabinet Mirabile Avocat se tient à votre disposition pour tout accompagnement personnalisé sur les questions de protection des données, de conformité RGPD, de droit du numérique et de droit de la distribution.
Pour aller plus loin
Un DPO externalisé est un délégué à la protection des données dont la mission est confiée à un prestataire extérieur plutôt qu'à un salarié. Il assure les missions du DPO tout en mutualisant son expertise, ce qui en fait une option adaptée à de nombreuses TPE, PME et ETI.
Le DPO externalisé assure les mêmes missions qu'un DPO interne : informer et conseiller, contrôler la conformité au RGPD, conseiller sur les analyses d'impact et être le point de contact de la CNIL. Il les exerce en toute indépendance pour le compte de l'organisation.
Le choix dépend de la taille de l'organisation, du volume des traitements, des ressources et du niveau de risque. Le DPO interne offre une présence quotidienne, l'externalisé une expertise mutualisée, le modèle hybride combine les deux. Ce choix engage la qualité de la conformité.
Non. Le choix entre DPO interne, externalisé ou hybride n'est pas uniquement budgétaire : il engage la qualité de la conformité, la sécurité juridique de l'entreprise et sa capacité à faire face à un contrôle de la CNIL.
Le tarif d'un DPO externalisé dépend du volume et de la sensibilité des traitements, du niveau d'accompagnement et de la taille de l'organisation. Cette formule permet de mutualiser l'expertise sans le coût d'un poste à temps plein, souvent au bénéfice des TPE et PME.
Ne pas associer correctement son DPO aux traitements peut coûter cher. La délibération SAN-2025-008 du 18 septembre 2025, visant la société exploitant La Samaritaine, illustre une amende administrative pouvant atteindre 100 000 euros pour un tel manquement.
Oui. Le DPO doit être associé en temps utile aux questions de protection des données. Un défaut d'association peut être sanctionné par la CNIL, comme l'illustre la délibération SAN-2025-008. Cette implication conditionne l'efficacité de la conformité.
Un avocat aide à arbitrer entre DPO interne, externalisé ou hybride, à sécuriser l'association du DPO aux traitements et à préparer un contrôle CNIL. Un avocat peut aussi exercer la mission de DPO externalisé, combinant conformité et expertise juridique.
Vous avez encore des questions ?
Notre équipe est à disposition !
Une question ?

Ressources
Aller plus loin