Lorsqu'une organisation en arrive à désigner un Délégué à la Protection des Données (DPO), la première question qui se pose est presque toujours la même : recrutons-nous quelqu'un en interne, ou faisons-nous appel à un service externe ? Le Règlement (UE) 2016/679 (RGPD) et la Loi organique 3/2018 (LOPDGDD) n'imposent aucun des deux modèles : les deux sont valables. Cependant, le choix a des conséquences pratiques très différentes en termes d'indépendance, de spécialisation, de coût et d'exposition aux sanctions. Cet article répond à chaque question pertinente pour vous aider à prendre cette décision en connaissance de cause.
Que dit le RGPD sur le modèle de DPO ?
Les articles 37 à 39 du RGPD encadrent la figure du DPO sans exprimer de préférence pour l'un ou l'autre modèle. L'article 37, paragraphe 6, dispose expressément que «le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d'un contrat de services». Autrement dit, la réglementation reconnaît et encadre équitablement les deux voies.
Ce que le RGPD exige — à l'article 38 — c'est que le DPO agisse en toute indépendance fonctionnelle : il ne peut pas recevoir d'instructions du responsable du traitement ou du sous-traitant concernant l'exercice de ses missions, et il ne peut pas être sanctionné ou révoqué pour l'exercice de celles-ci. Cette exigence d'indépendance est, dans la pratique, le principal facteur de différenciation entre les deux modèles.
DPO interne : dans quel cas est-il pertinent ?
Le DPO interne est un salarié de l'organisation qui assume les missions de l'article 39 du RGPD : informer et conseiller le responsable du traitement, superviser la conformité, coopérer avec l'autorité de contrôle (la AEPD en Espagne) et servir de point de contact pour les personnes concernées.
Ce modèle peut être approprié lorsque toutes les conditions suivantes sont réunies :
- L'organisation est de taille suffisante pour justifier un poste à temps plein ou quasi complet. En pratique, les organisations de plus de 500 salariés, ou dont les opérations de traitement sont très complexes (grands hôpitaux, administrations publiques, établissements financiers), optent généralement pour un DPO interne.
- Il n'existe pas de conflit d'intérêts avec les fonctions actuelles du candidat. L'article 38, paragraphe 6, du RGPD interdit au DPO d'exercer des tâches impliquant de déterminer les finalités et les moyens du traitement. Le responsable informatique qui décide quel logiciel déployer, le directeur des ressources humaines qui décide quelles données des salariés sont collectées, le directeur juridique qui rédige les contrats de sous-traitance : aucun d'eux ne peut être simultanément DPO. La AEPD a identifié cette double fonction comme l'une des non-conformités les plus fréquentes lors de ses activités de supervision.
- La formation continue est garantie. Le RGPD est une norme vivante : les lignes directrices du Comité Européen de la Protection des Données (CEPD), les résolutions de la AEPD et les décisions de justice s'accumulent en permanence. Le DPO interne a besoin de temps et d'un budget spécifique pour rester à jour.
- L'indépendance formelle peut être garantie. Le DPO interne doit rendre compte au niveau de direction le plus élevé (art. 38(3) RGPD) et ne peut pas être opérationnellement subordonné à ceux qui prennent des décisions en matière de traitement des données.
DPO externe : dans quel cas est-ce la meilleure option ?
Le DPO externe est un professionnel ou un organisme spécialisé qui fournit le service de délégué sur la base d'un contrat de services. Il ne s'agit pas d'un contrat de sous-traitance au sens de l'article 28 du RGPD : le DPO externe ne traite pas des données pour le compte du responsable à ses propres fins, mais agit en tant que conseiller et superviseur indépendant.
Le modèle externe est le plus courant dans les PME, les entités de taille moyenne et les organisations tenues d'avoir un DPO mais qui n'ont pas un volume suffisant pour soutenir un poste interne de haute qualification. Ses avantages structurels sont évidents :
- Indépendance fonctionnelle plus robuste. Le DPO externe ne dépend pas hiérarchiquement de la direction et n'a pas d'intérêts professionnels susceptibles de créer une pression pour adoucir ses conclusions. L'indépendance exigée par l'article 38 du RGPD est plus facile à démontrer auprès de la AEPD lorsque le DPO ne fait pas partie de la structure interne.
- Spécialisation constamment à jour. Un cabinet spécialisé en protection des données a des incitations directes à se tenir informé des lignes directrices du CEPD, des décisions de sanction de la AEPD et des évolutions législatives. Un DPO interne dans une entreprise non spécialisée dans la protection des données peut prendre du retard sans un soutien adéquat à la formation.
- Disponibilité sans interruption. Les violations de données ne préviennent pas. L'article 33 du RGPD exige une notification à l'autorité de contrôle dans un délai maximum de 72 heures à compter du moment où le responsable prend connaissance d'une violation présentant un risque pour les droits des personnes. Et lorsque le risque est élevé, l'article 34 impose d'en informer également les personnes concernées sans délai injustifié. Un DPO externe disposant d'un protocole d'astreinte garantit que cette notification est gérée correctement même les jours fériés ou en dehors des heures habituelles. Un DPO interne peut être en vacances ou en arrêt maladie.
- Coût prévisible sans charges sociales. Le service externe est contractualisé avec un périmètre défini et un prix annuel fixe, sans frais de recrutement, de formation initiale, de cotisations sociales ni de risque d'indemnité de rupture.
- Absence de conflit d'intérêts structurel. Le DPO externe n'a pas de double fonction au sein de l'organisation ; son seul rôle est celui de délégué.
Tableau comparatif : DPO interne vs. DPO externe
| Critère | DPO interne | DPO externe |
|---|---|---|
| Indépendance fonctionnelle | Possible mais plus difficile à démontrer (risque de pression hiérarchique) | Structurellement plus robuste ; plus facile à démontrer auprès de la AEPD |
| Spécialisation | Dépend du profil du candidat et de la formation continue disponible | Élevée ; la protection des données est l'activité principale du cabinet |
| Disponibilité en cas d'incident | Limitée par les horaires, les congés et les arrêts maladie | Continue, avec des protocoles d'astreinte pour les violations |
| Risque de conflit d'intérêts | Élevé si le DPO exerce d'autres fonctions opérationnelles impliquant des données | Faible ; fonction exclusivement de supervision |
| Coût pour les PME | Élevé (salaire + charges sociales + formation + recrutement) | Abordable ; fourchettes indicatives de 800 à 6 000 €/an selon la complexité |
| Connaissance interne de l'organisation | Plus grande ; accès direct au quotidien | Requiert une phase d'onboarding et des mises à jour périodiques |
| Adéquation pour les organisations légalement obligées | Oui, si les exigences d'indépendance sont respectées | Oui, et plus courant dans la pratique du marché espagnol |
| Facilité de remplacement | Complexe (processus de recrutement, délai de préavis légal) | Simple ; le prestataire garantit la continuité du service |
Qui est tenu d'avoir un DPO ?
Avant de choisir un modèle, il convient de vérifier si la désignation est obligatoire ou volontaire. L'article 37 du RGPD établit trois cas d'obligation :
- Les autorités et organismes publics, à l'exception des juridictions agissant dans l'exercice de leurs fonctions juridictionnelles.
- Les responsables du traitement ou sous-traitants dont les activités de base consistent à effectuer des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées : plateformes numériques de suivi, opérateurs de télécommunications, établissements financiers avec surveillance continue des transactions.
- Les responsables du traitement ou sous-traitants dont les activités de base consistent à traiter à grande échelle des catégories particulières de données (art. 9 RGPD : santé, données génétiques ou biométriques, origine raciale, convictions religieuses, vie sexuelle, appartenance syndicale, opinions politiques) ou des données relatives à des condamnations pénales et à des infractions (art. 10 RGPD) : hôpitaux, cliniques, assureurs santé, laboratoires, cabinets d'avocats pénalistes.
La LOPDGDD complète cette liste à l'article 34 avec des catégories spécifiques à l'ordre juridique espagnol : ordres professionnels, établissements d'enseignement, entreprises de sécurité privée, distributeurs d'énergie et fournisseurs de communications électroniques qui élaborent des profils d'utilisateurs, entre autres.
Si l'organisation ne relève d'aucun de ces cas, elle peut désigner un DPO à titre volontaire. La AEPD le recommande lorsque des catégories particulières de données sont traitées même si ce n'est pas «à grande échelle», lorsque le Registre des Activités de Traitement (RAT) est étendu, ou lorsque des analyses d'impact (AIPD) sont réalisées régulièrement.
Que se passe-t-il si le DPO ne respecte pas les exigences d'indépendance ?
La AEPD a résolu des procédures dans lesquelles le DPO désigné exerçait des fonctions incompatibles : un responsable informatique cumulant le rôle de DPO, un directeur des ressources humaines désigné délégué, ou des cadres disposant d'un pouvoir de décision sur les traitements. Dans tous ces cas, l'autorité a considéré la désignation comme inefficace et l'organisation comme étant, dans la pratique, sans DPO.
Les conséquences sont significatives. L'absence de DPO dans une organisation tenue d'en avoir un est qualifiée à l'article 83, paragraphe 4, du RGPD d'infraction pouvant entraîner des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel. Dans des procédures réelles, un DPO inopérant a servi de circonstance aggravante alourdissant des sanctions qui incluaient déjà d'autres non-conformités.
Il convient également de rappeler que les infractions les plus graves — jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel en vertu de l'article 83 du RGPD — s'appliquent aux violations des principes et des conditions de licéité du traitement, y compris les cas dans lesquels l'absence d'un DPO opérationnel a contribué à ce qu'une violation de données ne soit pas correctement gérée.
Le même DPO externe peut-il servir plusieurs clients ?
Oui. Le RGPD prévoit expressément que le DPO puisse fournir des services à plusieurs organisations (art. 37(3)), à condition de pouvoir consacrer à chacune le temps nécessaire au bon exercice de ses missions et à condition qu'il n'existe pas de conflits d'intérêts entre les différents clients. C'est précisément ce que fait un service de DPO externe bien structuré : il répartit la charge de travail au sein de l'équipe du cabinet — plusieurs professionnels spécialisés, non une ressource unique — garantissant une réponse à tout incident quelle que soit l'agenda personnel de l'un d'eux.
Processus de désignation : étapes communes aux deux modèles
- Diagnostic préalable des activités de traitement : inventaire du Registre des Activités de Traitement (RAT), identification des catégories particulières, évaluation du caractère légalement obligatoire ou volontaire de la désignation.
- Sélection du DPO : l'article 37, paragraphe 5, du RGPD exige qu'il soit désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données. Sur le marché espagnol, les certifications CIPP/E (IAPP) ou CDPP (AEPD/ENAC) et l'expérience démontrée dans la gestion des violations et des analyses d'impact sont particulièrement valorisées.
- Formalisation : contrat de prestation de services si externe, description de poste si interne. Le périmètre des missions, les canaux de contact et la garantie d'indépendance doivent être documentés.
- Communication interne : les collaborateurs doivent savoir qui est le DPO et comment le contacter. Cela figure dans la politique de confidentialité interne et dans les mentions d'information adressées aux personnes concernées.
- Notification à la AEPD : via le formulaire mis à disposition sur le site électronique de la AEPD. Obligatoire lorsque la désignation est légalement exigée ; recommandée pour les désignations volontaires.
- Fonctionnement continu : le DPO s'intègre dans le flux de conformité privacy by design, de traitement des demandes d'exercice des droits, de gestion des violations et de supervision continue de la conformité réglementaire.
Recommandation pratique pour les PME en Castille-et-León et aux Îles Canaries
Pour la grande majorité des PME dans notre zone géographique — organisations de 10 à 250 salariés en Castille-et-León et aux Îles Canaries —, le modèle de DPO externe offre le meilleur équilibre entre coût, indépendance et spécialisation. Les raisons sont concrètes : le coût d'un professionnel interne disposant du profil adéquat (formation juridique spécialisée, certification reconnue, expérience en AIPD et violations) dépasse largement le coût annuel d'un service externe bien structuré. De plus, le risque de conflit d'intérêts est quasi inévitable si le rôle est confié à quelqu'un qui assume déjà des responsabilités opérationnelles en matière de données.
L'exception concerne les organisations de plus grande taille ayant des volumes de traitement très importants ou très sensibles — hôpitaux, grandes administrations, établissements financiers — pour lesquelles un DPO interne à temps plein est justifié tant en termes de volume de travail que de niveau de connaissance interne requis.
Dans tous les cas, la décision doit reposer sur un diagnostic réel de la cartographie des traitements et des risques spécifiques de l'organisation, et non sur un choix générique fondé uniquement sur le coût. Le pôle conformité protection des données de Summum Consultoría accompagne ce diagnostic et, le cas échéant, assume la fonction de DPO externe avec une pleine opérabilité dès le premier jour.
Questions fréquentes
Le directeur juridique de l'entreprise peut-il être le DPO ?
Cela dépend de ses fonctions concrètes. Si le directeur juridique détermine les finalités et les moyens du traitement des données — par exemple en rédigeant les contrats de sous-traitance ou en décidant des bases légales des principaux traitements —, il existe un conflit d'intérêts qui invalide sa désignation comme DPO. Si ses fonctions juridiques sont déconnectées des décisions relatives au traitement des données, l'incompatibilité peut ne pas exister, bien que la AEPD recommande la prudence et de documenter expressément l'absence de conflit.
Le DPO externe signe-t-il en qualité de sous-traitant ?
Non. Le DPO externe n'est pas un sous-traitant au sens de l'article 28 du RGPD. Sa relation avec l'organisation est formalisée par un contrat de prestation de services ordinaire, généralement complété par des clauses de confidentialité renforcées. Le DPO accède aux données personnelles pour exercer ses missions de supervision, mais ne les traite pas pour le compte du responsable à ses propres fins.
Que se passe-t-il si nous changeons de DPO externe en cours d'année ?
L'organisation doit notifier à la AEPD le départ du DPO sortant et communiquer les coordonnées du nouveau dès qu'il est désigné. Si la désignation était légalement exigée, toute période sans DPO opérationnel constitue une non-conformité. Les contrats de DPO externe bien structurés prévoient des délais de préavis d'un à trois mois et des garanties de transition pour éviter les lacunes de couverture.
Le DPO externe peut-il également gérer une violation de données ?
Oui, et c'est l'une de ses missions principales. L'article 39, paragraphe 1, point b), du RGPD inclut parmi les missions du DPO la supervision de la sécurité et la coopération avec l'autorité de contrôle. En pratique, le DPO externe pilote ou coordonne généralement le processus de notification à la AEPD (art. 33 RGPD : 72 heures) et, lorsque le risque est élevé, la communication aux personnes concernées (art. 34 RGPD). Un service de DPO externe disposant d'un protocole d'astreinte est particulièrement précieux dans ces moments-là, car les délais sont stricts et une erreur dans la notification peut elle-même constituer une infraction supplémentaire.