DPO externe : obligation légale et coût en 2026

·

Le Délégué à la Protection des Données (DPO) —ou Data Protection Officer dans la terminologie européenne— est l'une des figures de conformité les plus répandues depuis que le Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) est entré en application en mai 2018. Pourtant, huit ans après, deux confusions persistent fréquemment au sein des entreprises : croire que le DPO est obligatoire pour toute organisation traitant des données personnelles, ou, à l'inverse, penser qu'il ne s'applique qu'aux autorités publiques. La réalité est plus nuancée et entraîne des conséquences économiques et répressives bien réelles. Dans cet article, nous répondons avec précision à la question : quand est-il obligatoire de désigner un DPO externe, quand est-ce simplement recommandable et quel coût cela représente-t-il sur le marché espagnol en 2026 ?

Ce qu'est le DPO — et ce qu'il n'est pas

Le DPO est une figure de supervision et de conseil interne, non de décision exécutive. Sa fonction principale consiste à informer et conseiller le responsable du traitement ou le sous-traitant sur leurs obligations en matière de protection des données, à surveiller la conformité au RGPD et aux politiques internes, à coopérer avec l'autorité de contrôle (en Espagne, la AEPD) et à servir de point de contact pour les personnes concernées.

Il convient de souligner ce que le DPO n'est pas : il n'est pas juridiquement responsable des infractions en matière de protection des données (cette responsabilité incombe au responsable du traitement), il n'est pas le rédacteur de la politique de confidentialité ni le gestionnaire des contrats de sous-traitance, ni l'équivalent d'un responsable de la conformité générale. Son rôle est spécifiquement technico-réglementaire dans le domaine du traitement des données personnelles.

Le DPO peut être une personne physique employée par l'organisation (DPO interne) ou un professionnel ou une entité externe engagé sous contrat (DPO externe). La modalité externe — plus courante dans les PME et les entités de taille moyenne — permet de disposer de la figure sans les coûts d'un contrat de travail hautement qualifié, de satisfaire à l'exigence d'indépendance fonctionnelle imposée par le RGPD, et d'accéder à une expertise spécialisée difficile à maintenir en interne.

Les trois cas de désignation obligatoire selon le RGPD

L'article 37 du RGPD établit exactement trois cas dans lesquels la désignation d'un DPO est obligatoire, tant pour les responsables du traitement que pour les sous-traitants :

  1. Les autorités ou organismes publics, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle. Ce cas couvre l'ensemble de l'administration publique espagnole : ministères, communautés autonomes, mairies, organismes publics, entreprises publiques, etc.
  2. Les responsables du traitement ou les sous-traitants dont les activités de base consistent à effectuer des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées. Exemples évidents : entreprises de marketing digital pratiquant le profilage massif d'utilisateurs, plateformes de suivi comportemental en ligne, opérateurs de télécommunications, établissements financiers qui surveillent continuellement les transactions.
  3. Les responsables du traitement ou les sous-traitants dont les activités de base consistent à traiter à grande échelle des catégories particulières de données (celles énumérées à l'art. 9 du RGPD : santé, origine raciale ou ethnique, convictions religieuses, données génétiques ou biométriques, vie sexuelle, appartenance syndicale, opinions politiques) ou des données relatives à des condamnations pénales et à des infractions (art. 10 RGPD). Sont ici concernés les cliniques, hôpitaux, laboratoires, cabinets d'avocats pénalistes, assureurs santé, etc.

La LOPDGDD (Loi Organique 3/2018 du 5 décembre) étend en son article 34 la liste des entités obligées pour l'ordre juridique espagnol, ajoutant expressément les ordres professionnels et leurs conseils généraux, les établissements d'enseignement, les entités exploitant des réseaux et fournissant des services de communications électroniques, les prestataires de services de la société de l'information élaborant des profils d'utilisateurs à grande échelle, les compagnies d'assurance et de réassurance, les établissements financiers de crédit et les établissements de paiement, les distributeurs et fournisseurs d'électricité et de gaz naturel, ainsi que les entreprises de sécurité privée, entre autres.

La notion de « grande échelle » et d'« activité principale » : où se situe le seuil

Les deux concepts les plus débattus dans l'application pratique de l'article 37 sont précisément ceux qui déterminent si une PME relève ou non du cas obligatoire : grande échelle et activité principale.

Le Comité Européen de la Protection des Données (CEPD/EDPB), dans ses Lignes directrices sur les DPO (WP243 rév.01, adoptées comme lignes directrices du CEPD), indique que pour apprécier si un traitement est « à grande échelle », il convient de prendre en compte le nombre de personnes concernées (en valeur absolue ou en proportion de la population de référence), le volume de données traitées, la durée ou la permanence du traitement, et l'étendue géographique. Il n'existe pas de seuil numérique fixe dans le RGPD. Une entreprise de 30 salariés gérant des dossiers de santé de 50 000 patients traite à grande échelle ; un médecin de famille qui traite les données de ses propres patients, non.

S'agissant de l'« activité principale », le CEPD précise qu'il ne s'agit pas des activités auxiliaires ou de support (telles que la gestion de la paie du personnel), mais des opérations de traitement qui constituent le cœur de l'activité. Un cabinet dentaire a pour activité principale la prestation de soins de santé, et le traitement de données de santé est indissociable de cette activité — l'obligation s'y applique. Une boulangerie qui tient une base de données clients pour envoyer des promotions considère le traitement de données comme une activité auxiliaire ; le cas obligatoire de l'art. 37.1.b ne lui est pas directement applicable.

Tableau comparatif : l'obligation de DPO vous concerne-t-elle ?

Type d'organisation Disposition applicable DPO obligatoire Recommandé à titre volontaire
Autorité publique (mairie, ministère, organisme public) Art. 37.1.a RGPD Oui, toujours
Hôpital, clinique, laboratoire d'analyses (traitement de données de santé à grande échelle) Art. 37.1.c RGPD + art. 34 LOPDGDD Oui
Assureur, établissement financier, banque Art. 37.1.b + art. 34.h/i LOPDGDD Oui (en vertu de la LOPDGDD)
Plateforme numérique avec profilage massif d'utilisateurs Art. 37.1.b RGPD (suivi régulier et systématique à grande échelle) Oui
Entreprise de sécurité privée Art. 34 LOPDGDD Oui (en vertu de la LOPDGDD)
Ordre professionnel ou conseil général Art. 34.a LOPDGDD Oui (en vertu de la LOPDGDD)
Établissement d'enseignement (école, université) Art. 34.b LOPDGDD Oui (en vertu de la LOPDGDD)
PME du commerce de détail (<10 000 clients, sans profilage) Aucune directement Non obligatoire Oui, si le Registre des Activités de Traitement est étendu
Entreprise RH ou cabinet de recrutement (traite des données d'emploi étendues) Zone grise : dépend du volume et du profilage Dépend de l'analyse Très recommandable
Cabinet d'avocats (données clients, procédures pénales) Art. 37.1.c s'il y a un volume de données pénales Probablement oui Oui dans tous les cas

Quand il est pertinent de désigner un DPO même si ce n'est pas obligatoire

La AEPD, dans son Guide pratique pour le DPO dans les entités non publiques, est explicite : la désignation volontaire d'un DPO est une mesure de responsabilité proactive que le RGPD apprécie positivement. Il n'y oblige pas — mais le recommande fortement — dans les organisations qui, sans relever des cas obligatoires, présentent l'un des facteurs suivants :

D'un point de vue pratique, la présence d'un DPO — même volontaire — produit des effets juridiques significatifs : elle facilite la démonstration du principe de responsabilité (accountability), réduit la probabilité de sanctions en cas d'incident et renforce la confiance des clients, des fournisseurs et du régulateur lui-même. Dans les secteurs où le RGPD est un levier commercial (santé, industrie pharmaceutique, services financiers, technologie), avoir un DPO désigné et enregistré auprès de la AEPD est désormais pratiquement un standard du marché.

L'enregistrement du DPO auprès de la AEPD

Que la désignation soit obligatoire ou volontaire, le responsable du traitement doit publier les coordonnées du DPO et les communiquer à l'autorité de contrôle. En Espagne, la AEPD tient un registre public des DPO accessible sur son siège électronique. La communication s'effectue via le formulaire mis à disposition sur le siège de la AEPD et est obligatoire lorsque la désignation est légalement exigée. Le DPO n'est pas tenu de révéler son identité aux personnes concernées, mais un canal de contact doit être mis à leur disposition (généralement une adresse électronique dédiée du type dpo@entreprise.com).

Une conséquence pratique que de nombreuses entreprises découvrent trop tard : si vous désignez un DPO à titre volontaire et le communiquez à la AEPD, l'autorité peut s'adresser à lui dans ses procédures de supervision. Le DPO désigné doit être réellement opérationnel et disposer d'un accès à l'information nécessaire ; dans le cas contraire, la figure peut se révéler contre-productive.

Profil et qualifications du DPO : ce qu'exige le RGPD

L'article 37.5 du RGPD dispose que le DPO doit être désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, ainsi que de sa capacité à accomplir les missions visées à l'article 39. Le RGPD n'exige aucune qualification officielle spécifique, bien que sur le marché espagnol soient particulièrement valorisées :

Le DPO externe — personne physique ou morale — doit garantir l'absence de conflit d'intérêts. Le RGPD interdit au responsable du traitement de donner des instructions au DPO sur la manière d'exercer ses missions, et la AEPD a indiqué dans des résolutions que le même DPO peut fournir des services à plusieurs clients, à condition de pouvoir consacrer suffisamment de temps à chacun et qu'il n'existe pas de conflits d'intérêts entre eux.

Combien coûte un DPO externe en 2026 : fourchettes de marché

Le marché espagnol du DPO externe a considérablement mûri depuis 2018. Les prix varient en fonction de la taille et de la complexité de l'organisation, du volume des traitements, du secteur d'activité et du niveau de service inclus (conformité réglementaire uniquement, ou également formation, réponse aux incidents, gestion des AIPD, etc.). Vous trouverez ci-dessous un reflet approximatif des fourchettes de marché observées en 2025-2026, sans inclure les tarifs propres de Summum Consultoría, qui sont toujours communiqués après analyse du cas concret :

Profil d'organisation Fourchette annuelle indicative (marché espagnol 2026) Ce qui est généralement inclus
Petite PME (<50 salariés, 2-4 traitements, sans données sensibles) 800 – 2 500 €/an Maintenance RAT, révision annuelle, canal DPO, support aux demandes de base
PME moyenne (50-250 salariés, plusieurs traitements, données de santé ou financières) 2 500 – 6 000 €/an RAT complet, AIPD si nécessaire, formation du personnel, gestion des violations, contact AEPD
Grande entreprise ou entité publique (>250 salariés, traitements complexes, forte réglementation) 6 000 – 18 000 €/an (ou plus) Service complet : audits périodiques, réponse aux incidents 24/7, formation continue, reporting à la direction
Mise en place initiale de zéro (diagnostic + RAT + clauses + contrats de sous-traitance) 1 500 – 5 000 € (projet unique) Diagnostic d'écart, RAT, révision de la documentation, enregistrement auprès de la AEPD

Ces fourchettes sont indicatives et résultent de l'observation du marché ; le coût réel dépend toujours de l'étendue du service. L'élément clé pour la prise de décision est de mettre ce coût en regard du risque réel de sanction : le RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel pour les infractions les plus graves. La AEPD a prononcé en 2024 des sanctions se chiffrant en dizaines de millions d'euros dans les seules résolutions publiées, avec des dossiers mentionnant expressément l'absence ou l'inefficacité du DPO comme circonstance aggravante.

DPO externe vs DPO interne : critères de décision

Le choix entre un DPO interne et externe n'est pas uniquement économique. Des facteurs organisationnels et d'indépendance pèsent autant, sinon plus :

Si votre organisation envisage de recruter un DPO externe, la première étape est toujours un diagnostic de la cartographie des traitements pour déterminer si l'obligation s'applique et quel niveau de service requiert la complexité réelle des traitements.

Processus pratique de désignation du DPO externe

Une fois la décision de désigner un DPO externe prise, le processus habituel sur le marché espagnol suit ces étapes :

  1. Diagnostic préalable : inventaire des traitements actifs, évaluation de l'existence d'une obligation légale ou d'une désignation volontaire, détection des lacunes documentaires (RAT incomplet, mentions d'information obsolètes, contrats de sous-traitance en attente).
  2. Contrat de prestation DPO : signature de l'accord de services avec l'entité ou le professionnel désigné, précisant les fonctions concrètes, la disponibilité, les canaux de communication et les conditions de confidentialité.
  3. Communication interne : publication des coordonnées du DPO dans la politique de confidentialité et sur les canaux internes de l'organisation. Les collaborateurs doivent savoir à qui s'adresser.
  4. Notification à la AEPD : via le formulaire de communication disponible sur le siège électronique de la AEPD (obligatoire lorsque la désignation est légalement exigée ; recommandé même si elle est volontaire).
  5. Mise à jour documentaire : actualisation du RAT, révision des mentions d'information, vérification des contrats de sous-traitance (DPA) avec les principaux fournisseurs technologiques.
  6. Fonctionnement continu : le DPO s'intègre dans le flux opérationnel : traitement des demandes d'exercice des droits des personnes concernées, supervision des nouveaux projets ayant un impact sur la vie privée (privacy by design), gestion des violations si elles surviennent.

Le pôle conformité RGPD de Summum Consultoría couvre aussi bien la mise en place initiale que la maintenance continue du système de gestion de la vie privée, y compris la figure du DPO externe pour les organisations qui en ont besoin par obligation légale ou par décision stratégique de conformité.

Sanctions réelles pour l'absence ou l'inefficacité du DPO

Bien que l'absence de DPO ne soit pas assortie d'un montant de sanction spécifique dans le RGPD, elle est qualifiée d'infraction grave à l'article 83.4 : amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel lorsqu'il s'agit d'infractions du chapitre IV (dont l'article 37 sur le DPO). Dans des procédures réelles devant la AEPD, l'absence de DPO dans des organisations tenues d'en avoir un a servi de circonstance aggravante dans des sanctions cumulant d'autres manquements.

Parmi les cas documentés par la AEPD ces dernières années figurent des établissements d'enseignement sans DPO traitant des données de mineurs à grande échelle, des entreprises de sécurité privée sans DPO désigné — secteur expressément visé par la LOPDGDD — et des entités de santé privées ayant « désigné » un DPO sur le papier, mais sans fonctions réelles ni accès à l'information nécessaire. Dans tous ces cas, l'absence ou l'inefficacité du DPO a aggravé la sanction finale.

Questions fréquentes

Une PME de 10 salariés a-t-elle l'obligation de désigner un DPO ?

Pas du seul fait de compter 10 salariés. L'obligation ne dépend pas de la taille de l'entreprise, mais de la nature et du volume des traitements. Une micro-entreprise de 5 salariés exploitant une plateforme numérique de santé qui surveille des milliers d'utilisateurs est soumise à l'obligation. Une entreprise de 200 salariés spécialisée dans le commerce de détail, sans catégories particulières de données et sans profilage à grande échelle, ne l'est pas, même s'il lui est conseillé de désigner un DPO à titre volontaire si la complexité de ses traitements le justifie.

Le responsable informatique ou le directeur des ressources humaines peut-il assumer le rôle de DPO ?

Le RGPD et la AEPD avertissent expressément que le DPO ne peut pas exercer des fonctions impliquant de déterminer les finalités et les moyens du traitement. Le responsable des Systèmes qui décide quel logiciel RH mettre en place, ou le directeur des Ressources Humaines qui détermine quelles données de salariés sont collectées, se trouvent dans un conflit d'intérêts structurel qui rend invalide leur désignation en tant que DPO. Cette double fonction est l'une des erreurs les plus fréquemment détectées par la AEPD lors de ses activités de supervision et peut entraîner que la désignation soit considérée comme inefficace.

Le DPO externe signe-t-il en qualité de responsable du traitement ou de sous-traitant ?

Ni l'un ni l'autre. Le DPO est un rôle de supervision et d'indépendance, pas une partie au traitement. La relation avec le DPO externe est formalisée par un contrat de prestation de services (et non un contrat de sous-traitance au sens de l'article 28 du RGPD). Le DPO externe accède aux données personnelles de l'organisation pour exercer ses missions, mais ne les traite pas pour le compte du responsable à ses propres fins ; il agit en tant que conseiller et superviseur. Certains cabinets incluent dans leur contrat DPO des clauses de confidentialité renforcées précisément pour clarifier ce statut.

Que se passe-t-il si le DPO désigné cesse de fournir le service ?

Si la relation avec le DPO externe prend fin et que l'organisation était tenue d'en avoir un, elle se trouve en situation de non-conformité dès le premier jour sans DPO. L'organisation doit notifier à la AEPD le départ de l'ancien DPO et communiquer le nouveau dès qu'il est désigné. Il est courant que les contrats de DPO externe prévoient des préavis de 1 à 3 mois précisément pour garantir la continuité de la conformité. Dans les organisations soumises à une obligation légale, laisser le poste vacant — même brièvement — est un risque que la AEPD peut détecter si un incident ou une réclamation survient pendant cet intervalle.