DPO externalisé : qu'est-ce qu'un DPO externe, quand y recourir, à quel cout et comment le trouver ?

Sommaire

Qu'est-ce qu'un DPO externalisé ?

DPO externe ou interne : quelles différences ?

Quand recourir à un DPO externalisé ?

Missions et responsabilités du DPO externe

Combien coûte un DPO externalisé ?

Comment choisir son DPO externe ?

Piloter efficacement la mission d'un DPO externalisée

Où trouver son DPO externe ?

FAQ

Pour aller plus loin

Qu'est-ce qu'un DPO externalisé ?

Le DPO externalisé — pour Data Protection Officer externalisé — est un professionnel de la protection des données personnelles qui exerce la fonction de délégué à la protection des données pour le compte d'un organisme, sans en être salarié. Il intervient dans le cadre d'un contrat de prestation de service, à temps partiel ou selon un forfait adapté aux besoins de l'organisation.

Le RGPD (règlement général sur la protection des données, entré en application le 25 mai 2018) prévoit expressément cette possibilité. L'article 37.6 du règlement dispose que le délégué « peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d'un contrat de service ». La CNIL confirme cette lecture dans ses lignes directrices : l'externalisation du DPO est licite, à condition que le prestataire remplisse les mêmes exigences d'indépendance, de compétence et d'accessibilité qu'un DPO interne.

En pratique, le DPO externe est souvent un avocat spécialisé en droit du numérique, un consultant en conformité ou un cabinet dédié. Il est désigné formellement auprès de la CNIL, qui publie ses coordonnées dans son registre. Au 31 décembre 2023, la CNIL recensait plus de 32 800 organismes ayant désigné un DPO, dont une part croissante recourt à un prestataire externe — notamment les PME et ETI.

Le directeur juridique qui envisage cette option doit retenir un point structurant : le DPO externalisé n'est pas un simple consultant ponctuel. Il assume un rôle permanent de veille, de conseil et de contrôle, défini par le règlement européen. Sa désignation engage l'organisme vis-à-vis du régulateur.

DPO externe ou interne : quelles différences ?

La distinction entre DPO interne et DPO externe ne porte pas sur les missions — elles sont identiques — mais sur le mode d'exercice, le lien contractuel et les implications organisationnelles.

Le DPO interne présente l'avantage d'une proximité permanente avec les équipes métiers. En revanche, il peut être difficile à recruter : le marché des profils qualifiés reste tendu. Selon une étude de l'AFCDP (Association française des correspondants à la protection des données personnelles) publiée en 2023, 62 % des DPO en poste déclarent exercer cette fonction en cumul avec d'autres responsabilités. Ce cumul génère un risque de conflit d'intérêts que le RGPD interdit explicitement (article 38.6).

Le DPO externalisé élimine ce risque structurel. Il apporte une expertise transversale, nourrie par la diversité de ses clients. En contrepartie, il exige un effort de coordination interne plus soutenu.

Structurer la conformité RGPD de votre organisation suppose un accompagnement juridique adapté à votre secteur et à vos traitements.
Découvrir les avocats spécialisés en protection des données

Quand recourir à un DPO externalisé ?

Trois situations justifient le recours à un DPO externalisé plutôt qu'à un recrutement interne.

1. L'obligation légale de désigner un DPO sans volume suffisant pour un poste dédié. L'article 37.1 du RGPD impose la désignation d'un DPO dans 3 cas : autorité ou organisme public, traitement à grande échelle de données sensibles, ou suivi régulier et systématique de personnes à grande échelle. Pour une collectivité de taille moyenne, un établissement de santé de 200 lits ou une entreprise de e-commerce traitant des données de géolocalisation, le volume de travail ne justifie pas toujours un temps plein. L'externalisation permet de répondre à l'obligation sans surdimensionner le poste.

2. L'absence de compétences internes suffisantes. Le DPO doit maîtriser le droit de la protection des données, les aspects techniques des systèmes d'information et les processus métiers. Ce triptyque est rare en interne, surtout dans les structures de moins de 500 salariés. Former un collaborateur existant prend 12 à 18 mois et ne garantit pas l'indépendance requise.

3. Le besoin de montée en conformité rapide. Lors d'un contrôle CNIL, d'une levée de fonds avec due diligence ou d'un incident de sécurité, l'urgence impose un profil opérationnel immédiatement. Un DPO externe expérimenté peut réaliser un audit initial en 4 à 6 semaines et produire un plan d'action priorisé.

À l'inverse, l'internalisation se justifie lorsque l'organisation traite un volume élevé de données sensibles (santé, biométrie, données judiciaires), emploie plus de 1 000 salariés ou opère dans un secteur fortement régulé (banque, assurance, télécommunications).

Missions et responsabilités du DPO externe

Les missions du DPO sont définies par les articles 38 et 39 du RGPD. Elles s'appliquent de manière identique, que le DPO soit interne ou externalisé.

Les missions obligatoires

• Informer et conseiller le responsable de traitement, le sous-traitant et les salariés sur leurs obligations RGPD.
• Contrôler le respect du règlement : vérifier la tenue du registre des traitements, la réalisation des analyses d'impact (AIPD), la conformité des contrats de sous-traitance.
• Coopérer avec la CNIL : servir de point de contact avec l'autorité de contrôle, faciliter les échanges en cas de contrôle ou de notification de violation de données.
• Émettre des avis sur les analyses d'impact relatives à la protection des données, lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits des personnes.

Les missions complémentaires fréquentes

En pratique, le périmètre contractuel du DPO externe inclut souvent des prestations additionnelles :

• Audit initial de conformité et cartographie des traitements
• Rédaction ou mise à jour du registre des traitements (article 30 du RGPD)
• Formation des équipes métiers (RH, marketing, IT)
• Gestion des demandes d'exercice de droits (accès, rectification, effacement, portabilité)
• Assistance en cas de violation de données (notification à la CNIL dans le délai de 72 heures prévu par l'article 33)

Un point de vigilance pour le directeur juridique : le DPO, qu'il soit interne ou externe, n'est pas responsable de la conformité. Cette responsabilité incombe au responsable de traitement, c'est-à-dire à l'organisme lui-même. Le DPO conseille et contrôle, mais ne décide pas. En cas de sanction de la CNIL, c'est l'organisme qui est mis en cause, pas le DPO.

La gestion des violations de données et la coopération avec la CNIL nécessitent une expertise juridique pointue en protection des données.
Trouver un avocat spécialisé en protection des données

Combien coûte un DPO externalisé ?

Le coût d'un DPO externalisé dépend de 4 variables : la taille de l'organisation, le nombre et la sensibilité des traitements, le niveau de maturité RGPD existant et le périmètre de la mission confiée.

À titre de comparaison, le salaire brut annuel médian d'un DPO interne en France s'établit autour de 55 000 € selon l'enquête AFCDP 2023, auxquels s'ajoutent les charges patronales (environ 45 %), la formation continue et les outils logiciels. Le coût total employeur dépasse souvent 80 000 € par an.

L'externalisation génère une économie directe pour les organisations dont le besoin ne justifie pas un temps plein. Elle offre aussi une flexibilité budgétaire : le forfait peut être ajusté chaque année en fonction de l'évolution du périmètre.

Les modèles de tarification

Trois modèles coexistent sur le marché :

• Forfait mensuel ou annuel : le plus courant, avec un nombre de jours ou d'heures défini. Adapté aux missions récurrentes.
• Tarification au temps passé : facturation horaire (entre 150 € et 350 € HT/heure selon le profil). Adapté aux missions ponctuelles ou aux phases d'audit.
• Forfait modulaire : socle fixe + modules optionnels (formation, gestion de crise, AIPD). Permet d'ajuster le périmètre sans renégocier le contrat.

Comment choisir son DPO externe ?

Le choix du prestataire conditionne la qualité de la conformité. Trois critères structurent la sélection.

L'expertise juridique et technique

Le DPO doit démontrer une maîtrise du RGPD, de la loi Informatique et Libertés modifiée, des lignes directrices du Comité européen de la protection des données (CEPD) et des délibérations de la CNIL. Il doit aussi comprendre les architectures techniques (bases de données, cloud, cookies, tracking) pour évaluer la conformité des systèmes d'information.

La certification DPO délivrée par un organisme accrédité par le COFRAC (sur la base du référentiel CNIL) constitue un indicateur utile, sans être obligatoire. En 2024, environ 4 500 personnes étaient certifiées selon ce référentiel.

La connaissance sectorielle

Un DPO qui intervient dans le secteur de la santé doit connaître le référentiel HDS (Hébergement de Données de Santé), les exigences de l'ANS et les spécificités du health data. Un DPO intervenant dans le retail doit maîtriser les problématiques de prospection commerciale, de profilage et de transferts de données vers des prestataires hors UE. La pertinence sectorielle du prestataire réduit le temps de montée en charge et améliore la qualité des recommandations.

La capacité d'interaction avec la CNIL

En cas de contrôle ou de notification de violation, le DPO est le premier interlocuteur de la CNIL. Son expérience des procédures de contrôle, sa capacité à rédiger des notifications conformes et à gérer le dialogue avec les agents de la CNIL sont déterminantes. Demander des références de missions impliquant une interaction directe avec le régulateur est un réflexe pertinent.

Identifier un avocat spécialisé en protection des données, familier des procédures CNIL, permet de sécuriser le choix de votre DPO externe.
Consulter les profils d'avocats en protection des données

Piloter efficacement la mission d'un DPO externalisée

L'externalisation du DPO ne dispense pas l'organisation d'un pilotage actif. Le directeur juridique joue ici un rôle central.

Structurer le contrat de mission

Le contrat doit préciser :

• Le périmètre exact des missions (obligatoires et complémentaires)
• Le volume horaire ou le nombre de jours alloués
• Les modalités de reporting (fréquence, format, destinataires)
• Les conditions de disponibilité et de réactivité (délai de réponse en cas d'incident)
• Les clauses de confidentialité et de responsabilité professionnelle (assurance RC Pro)
• Les conditions de résiliation et de réversibilité (restitution du registre, des AIPD, des documents produits)

Définir des indicateurs de suivi

Le pilotage repose sur des indicateurs concrets :

• Nombre de traitements cartographiés et mis à jour dans le registre
• Nombre d'AIPD réalisées ou mises à jour
• Délai moyen de réponse aux demandes d'exercice de droits
• Nombre de formations dispensées et taux de participation
• Nombre d'incidents signalés et délai de notification à la CNIL

Désigner un relais interne

Le DPO externe a besoin d'un interlocuteur identifié au sein de l'organisation pour accéder aux informations, mobiliser les équipes métiers et faire remonter les sujets sensibles. Ce rôle de « référent RGPD interne » revient souvent au directeur juridique ou à un juriste dédié. Sans ce relais, le DPO externe travaille en aveugle et la conformité reste théorique.

Où trouver son DPO externe ?

Plusieurs canaux permettent d'identifier un DPO externalisé qualifié.

Les cabinets d'avocats spécialisés en droit du numérique et protection des données. L'avocat-DPO présente l'avantage du secret professionnel, de la déontologie ordinale et d'une expertise juridique native. Il est particulièrement adapté aux organisations confrontées à des enjeux réglementaires complexes ou à des contentieux potentiels avec la CNIL.

Les cabinets de conseil en conformité RGPD. Ils proposent souvent des offres packagées incluant audit, registre, formation et DPO externalisé. Leur force réside dans la standardisation des process. Leur limite : une approche parfois plus technique que juridique.

Les plateformes spécialisées. Elles permettent de comparer des profils, de vérifier les certifications et de contractualiser rapidement. Elles conviennent aux structures qui recherchent de la flexibilité et de la transparence tarifaire.

Le registre CNIL. La CNIL ne publie pas de liste de DPO disponibles, mais son registre des organismes ayant désigné un DPO permet d'identifier des prestataires actifs dans un secteur donné, par recoupement.

Quel que soit le canal, le directeur juridique doit exiger : une lettre de mission détaillée, une attestation d'assurance RC Pro, des références vérifiables et, si possible, la certification CNIL/COFRAC.

Sélectionner un avocat spécialisé en protection des données garantit un niveau d'expertise juridique et déontologique adapté aux enjeux de conformité RGPD.
Accéder aux avocats spécialisés en protection des données

FAQ

Le DPO externalisé doit-il être désigné auprès de la CNIL ?

Oui. L'article 37.7 du RGPD impose au responsable de traitement de communiquer les coordonnées du DPO à l'autorité de contrôle. Cette obligation s'applique que le DPO soit interne ou externe. La désignation se fait en ligne sur le site de la CNIL et prend effet immédiatement.

Un DPO externe peut-il intervenir pour plusieurs organismes en même temps ?

Oui, le RGPD le permet expressément (article 37.6). C'est d'ailleurs le modèle économique de la plupart des DPO externalisés. Le prestataire doit toutefois garantir l'absence de conflit d'intérêts entre ses différents clients, notamment lorsqu'ils opèrent dans le même secteur ou sont en relation commerciale.

Quelle est la différence entre un DPO externalisé et un consultant RGPD ?

Le DPO externalisé est formellement désigné auprès de la CNIL et assume les missions définies par les articles 38 et 39 du RGPD : conseil, contrôle, coopération avec l'autorité de contrôle. Le consultant RGPD réalise des missions ponctuelles (audit, mise en conformité) sans être désigné. Seul le DPO désigné engage la conformité réglementaire de l'organisme vis-à-vis du régulateur.

Le DPO externalisé est-il responsable en cas de sanction de la CNIL ?

Non. La responsabilité de la conformité RGPD incombe au responsable de traitement, c'est-à-dire à l'organisme. Le DPO conseille et alerte, mais ne prend pas les décisions de traitement. En cas de manquement, c'est l'organisme qui fait l'objet de la sanction. La responsabilité contractuelle du DPO externe peut toutefois être engagée s'il a commis une faute dans l'exécution de sa mission.

Peut-on changer de DPO externalisé en cours de contrat ?

Oui. L'organisme peut mettre fin à la mission du DPO externe selon les conditions prévues au contrat. Il doit alors désigner un nouveau DPO et mettre à jour la désignation auprès de la CNIL. Le contrat doit prévoir une clause de réversibilité garantissant la restitution de l'ensemble des documents produits (registre, AIPD, procédures internes).

Pour aller plus loin

Chapitre 4 – Section 4 du règlement (UE) 2016/679 (RGPD) : Le délégué à la protection des données - Union européenne – Règlement général sur la protection des données (via Légifrance/CNIL)

Le guide du délégué à la protection des données - CNIL

Règlement européen : le Délégué à la protection des données, c'est obligatoire ? - CNIL

SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.