DPO externalisé : quand et pourquoi en désigner un

Résumé opérationnel

Le RGPD impose de désigner un Délégué à la protection des données (DPO) dans trois cas principaux : organismes publics, suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles/infraction. La fonction peut être externalisée (cabinet, indépendant, DPO mutualisé). Même hors obligation, beaucoup d’entreprises choisissent un DPO externalisé pour gagner en expertise, indépendance et maîtrise des coûts.

DPO externalisé : définition et cadre légal

Le DPO est l’expert chargé de conseiller, contrôler et faire le lien avec l’autorité de contrôle. Les bases légales figurent aux articles 37 à 39 du RGPD (EUR-Lex). La désignation peut être interne ou externe (contrat de service) : l’article 37(6) l’autorise explicitement. La CNIL détaille les missions, garanties d’indépendance et modalités de notification du DPO (CNIL).

À retenir :

• Qui est concerné ? Responsables de traitement et sous-traitants lorsque les critères de l’article 37(1) sont remplis (EUR-Lex).
• Mythe fréquent : le seuil « 250 salariés » n’est pas un critère de DPO ; il concerne surtout le registre des traitements (art. 30), pas la désignation d’un DPO (Legifrance).
• Indépendance et absence de conflits d’intérêts : exigences précisées à l’article 38 RGPD et dans les lignes directrices EDPB sur les DPO (EDPB).
• Notification des coordonnées du DPO à l’autorité de contrôle compétente (art. 37(7)) ; en France via le téléservice CNIL (CNIL).

Quand devez-vous désigner un DPO ? Les cas typiques

Obligation de principe (art. 37 RGPD)

• Autorité publique ou organisme public (hors juridictions pour l’activité juridictionnelle) ;
• Activité de base impliquant un suivi régulier et systématique à grande échelle de personnes (p. ex. adtech, télésurveillance, apps avec profiling massif) ;
• Activité de base consistant à traiter à grande échelle des données sensibles (art. 9) ou des données pénales (art. 10).

Exemples concrets (startups/scale-ups)

• SaaS B2C d’analytics/marketing traçant des millions d’utilisateurs (profiling, scoring, reciblage) : suivi régulier et systématique à grande échelle → DPO requis.
• Healthtech traitant des dossiers de santé de milliers de patients : données sensibles à grande échelle → DPO requis.
• Fintech luttant contre la fraude avec scoring global : suivi à grande échelle + données potentiellement sensibles → DPO requis.
• HRtech gérant des dossiers RH multi-clients (SSO, paie, absences) à grande échelle → DPO requis pour le sous-traitant.

Désignation facultative mais opportune

Beaucoup d’entreprises choisissent un DPO volontaire pour structurer leur conformité (registre, AIPD/DPIA, violations, demandes droits). C’est particulièrement pertinent pour les éditeurs SaaS et produits IA. En pratique, le DPO pilote aussi la cohérence entre votre politique de confidentialité et vos contrats. Sur ces volets, voyez notre guide pour rédiger une politique de confidentialité RGPD et nos conseils pour un contrat de sous-traitance conforme à l’article 28 RGPD.

Pourquoi externaliser la fonction DPO ?

• Expertise immédiatement opérationnelle : veille, audits, AIPD, gestion incidents. La CNIL rappelle l’exigence de « connaissances spécialisées » (art. 37(5)) (CNIL).
• Indépendance renforcée : l’externalisation facilite l’absence de conflits d’intérêts (EDPB, lignes directrices DPO) (EDPB).
• Coûts maîtrisés et flexibilité : forfait adapté à la taille/risque, sans charges d’un poste interne ; voir l’analyse de la démarche sur France Num et les bénéfices recensés par Actecil (Actecil).
• Couverture pluridisciplinaire : juridique, sécurité, produit, formation des équipes.
• Responsabilité : le DPO conseille et contrôle ; le responsable de traitement reste juridiquement tenu du respect du RGPD (art. 24, 39) (EUR-Lex).

Comment choisir et encadrer un DPO externalisé

Critères de sélection

• Expérience vérifiable en audits RGPD, AIPD, gestion de violations, relations autorités.
• Connaissance sectorielle (SaaS, santé, fintech, adtech, IA) et des chaînes de sous-traitance.
• Capacité d’accessibilité pour personnes concernées et autorités (art. 38(4)).
• Indépendance documentée, procédure de gestion des conflits d’intérêts (EDPB).
• Langues et compétence cross-border (EEE/R.-U., transferts internationaux).

Clauses essentielles du contrat DPO externe

• Objet et périmètre : missions art. 39 RGPD, roadmap annuelle, KPI (incidents traités, AIPD, formations).
• Moyens et accès : droit d’accès aux informations, interlocuteurs métiers, outils, budget (art. 38(2)).
• Indépendance : absence d’instructions sur l’exercice des missions, canal d’escalade vers la direction.
• Conflits d’intérêts : incompatibilités (ex. DSI, CPO produit, marketing) et procédure de révocation.
• Confidentialité et sécurité : clauses techniques (journaux d’accès, rétention, chiffrement).
• Gestion des violations : astreintes, SLA d’analyse et notification (art. 33/34), registre des incidents.
• Recours à des remplaçants et continuité d’activité, assurance professionnelle.
• Transferts internationaux : si accès hors UE, encadrer via Clauses Contractuelles Types (CCT) et évaluation du pays (EDPB, EUR-Lex).

Si votre produit intègre de l’IA, croisez la feuille de route RGPD avec nos bonnes pratiques sur les obligations RGPD applicables aux systèmes d’IA.

Procédure pas-à-pas de désignation et notification

1. Évaluer l’obligation : appliquez les critères de l’art. 37 et documentez la décision (note interne signée, critères « grande échelle », « activité de base », « suivi régulier et systématique »). Les repères CNIL et EDPB sont utiles (CNIL, EDPB).
2. Désigner le DPO (interne/externe, éventuellement mutualisé au sein d’un groupe : art. 37(2)-(3)) et formaliser par écrit missions, moyens, positionnement.
3. Notifier le DPO à la CNIL (art. 37(7)) via le téléservice ; indiquer identité/coordonnées et celles du RT/SL (Service Public Pro, CNIL).
4. Informer les personnes : mentionnez le DPO et ses coordonnées dans votre politique de confidentialité (art. 13/14). Aide à la rédaction : politique de confidentialité RGPD.
5. Lancer les 100 premiers jours : cartographie des traitements, registre art. 30, plan AIPD, revue des contrats de sous-traitance, politique de gestion des violations, formation.

DPO situé hors UE : faisabilité et précautions

Le RGPD n’impose pas formellement que le DPO soit établi dans l’UE ; il doit être facilement accessible (art. 37(2), 38(4)) pour l’autorité et les personnes (EDPB). En revanche, si le DPO externe accède à des données depuis un pays « tiers », cet accès constitue un transfert international : mettez en place des Clauses Contractuelles Types et une évaluation du pays de destination (CCT + mesures complémentaires) (EDPB, EUR-Lex).

Sanctions et enjeux business

Le défaut de désignation d’un DPO lorsqu’elle est obligatoire est passible d’une amende jusqu’à 10 M€ ou 2 % du CA mondial (art. 83(4)(a) RGPD : EUR-Lex). Au-delà du risque CNIL, la présence d’un DPO et d’une documentation robuste est devenue un prérequis dans les audits investisseurs. Anticipez en préparant votre data room juridique.

FAQ courte

Un DPO est-il obligatoire dès 250 salariés ?

Non. Ce seuil concerne surtout le registre des traitements (art. 30). Le DPO dépend des critères de l’article 37 (suivi à grande échelle, données sensibles, organisme public).

Un sous-traitant doit-il aussi nommer un DPO ?

Oui, s’il remplit les critères de l’article 37 (ex. traitement à grande échelle pour le compte de nombreux clients).

Le DPO est-il responsable en cas de non‑conformité ?

Non. Il conseille et contrôle (art. 39). La responsabilité pèse sur le responsable de traitement/sous‑traitant (art. 24, 28).

Peut-on mutualiser un DPO ?

Oui, au niveau d’un groupe ou d’un ensemble d’organismes, si le DPO est aisément joignable depuis chaque établissement (art. 37(2)-(3)).

Pour les directions produit et IA, voir aussi nos conseils pratiques sur RGPD et IA et nos bonnes pratiques contractuelles côté sous-traitance RGPD.