DPO externalisé : missions, obligations légales RGPD et comment le choisir
Le DPO (Délégué à la Protection des Données — Data Protection Officer) est le garant de la conformité RGPD au sein d'une organisation. Instauré par l'article 37 du RGPD, il est obligatoire pour certaines entités, fortement recommandé pour toutes. En 2025, la CNIL recense plus de 35 000 DPO désignés en France — dont une majorité de DPO externalisés pour les PME et ETI qui ne peuvent pas justifier un poste à temps plein.
Qui est obligé de désigner un DPO ?
L'article 37 du RGPD impose la désignation d'un DPO dans trois cas :
- Cas 1 : Organisme public (administration, collectivité, établissement public).
- Cas 2 : Organisation dont l'activité principale consiste en des traitements qui exigent un suivi régulier et systématique des personnes à grande échelle (ex: sociétés de e-commerce avec des millions d'utilisateurs, opérateurs télécom, banques).
- Cas 3 : Organisation dont l'activité principale consiste en un traitement à grande échelle de catégories particulières de données (données de santé, biométriques, relatives aux condamnations pénales) — ex: hôpitaux, assureurs santé, cabinets médicaux de grande taille.
Pour les PME hors obligation légale : la CNIL recommande fortement la désignation d'un DPO même sans obligation, car c'est le principal levier de structuration de la conformité RGPD. En cas de contrôle, la présence d'un DPO est un facteur atténuant.
Les missions obligatoires du DPO (art. 39)
- Information et conseil : informer et conseiller le responsable de traitement, les sous-traitants et les employés sur les obligations RGPD.
- Contrôle de la conformité : vérifier que les traitements respectent le RGPD et les politiques internes, notamment en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel.
- Conseil sur les AIPD : conseiller sur la réalisation des Analyses d'Impact relatives à la Protection des Données et vérifier leur exécution (art. 35 RGPD).
- Coopération avec l'autorité de contrôle : point de contact avec la CNIL pour toutes les questions relatives aux traitements, y compris les consultations préalables et les contrôles.
- Point de contact des personnes concernées : gérer les demandes d'exercice des droits et les plaintes.
Indépendance et position hiérarchique
Le RGPD garantit l'indépendance du DPO (art. 38) :
- Le DPO ne peut pas recevoir d'instructions concernant l'exercice de ses missions — ni de la direction, ni des actionnaires.
- Il ne peut pas être sanctionné ou licencié pour avoir exercé ses missions (similaire à la protection des représentants du personnel).
- Il rapporte directement au niveau hiérarchique le plus élevé (directoire, conseil d'administration, DG).
- Il peut exercer d'autres fonctions à condition qu'elles ne créent pas de conflit d'intérêts.
Conflits d'intérêts à éviter : un DG, DSI, directeur marketing ou directeur commercial ne peut pas être DPO — ces fonctions impliquent de définir les finalités des traitements, ce qui est incompatible avec le rôle de contrôle du DPO.
DPO interne vs DPO externalisé
DPO interne
- Avantages : disponibilité immédiate, connaissance approfondie de l'organisation, culture d'entreprise.
- Inconvénients : coût (cadre senior à temps plein ou partiel), risque de conflit d'intérêts, difficulté de maintien des compétences (veille réglementaire permanente).
- Profil requis : expertise en droit de la protection des données + compréhension des systèmes d'information. Les deux compétences sont rares.
DPO externalisé (mutualisé)
- Avantages : coût maîtrisé (5 000 à 25 000 €/an selon le niveau de service), expertise pointue maintenue à jour, indépendance garantie, absence de conflit d'intérêts, continuité de service.
- Inconvénients : moins disponible en urgence, temps d'acculturation, partage entre plusieurs clients.
- Forme juridique : le DPO peut être un cabinet de conseil, un avocat spécialisé, un consultant indépendant ou une société spécialisée — à condition d'être désigné nommément et que la personne physique soit identifiable.
Critères de sélection d'un DPO externalisé
- Certifications : CIPP/E (IAPP), CIPM (IAPP), Certification DPO AFNOR/BSI, Master en droit de la protection des données.
- Expertise sectorielle : un DPO spécialisé dans la santé n'est pas forcément le mieux placé pour le e-commerce — choisir selon votre secteur.
- Réactivité : disponibilité sous 24-48h en cas d'incident (violation de données, contrôle CNIL, demande d'exercice des droits urgente).
- Livrables : vérifier ce qui est inclus (registre, AIPD, revues annuelles, hotline) vs ce qui est facturé en plus.
- Indépendance : le cabinet ne doit pas avoir de conflit d'intérêts avec votre organisation (ex: cabinet également conseil de vos concurrents directs).
Désignation : les démarches
La désignation du DPO est obligatoirement déclarée à la CNIL via le registre en ligne sur le site de la CNIL (espace DPO). La désignation doit mentionner : nom, prénom, coordonnées professionnelles, organisation(s) pour lesquelles il intervient. En cas de changement ou de révocation du DPO, la mise à jour doit être effectuée sans délai.
Responsabilité du DPO
Le DPO n'est pas personnellement responsable de la conformité RGPD — cette responsabilité incombe au responsable de traitement. Mais il peut être mis en cause si :
- Il a fait preuve de faute professionnelle grave dans l'exercice de ses missions.
- Il n'a pas alerté la direction sur des manquements avérés.
- Il a occulté volontairement des informations à la CNIL.
Pour les DPO externalisés, une assurance responsabilité civile professionnelleadaptée est indispensable.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit