Pourquoi est-il si difficile de trouver un prix clair pour le DPO externe ?
Si vous avez cherché le coût d'un délégué à la protection des données externe, vous avez probablement trouvé des fourchettes très larges — de quelques dizaines à plusieurs milliers d'euros par mois — avec peu d'explications. Ce n'est pas un manque de transparence délibéré : le prix du DPO externe dépend de variables qui diffèrent significativement d'une organisation à l'autre, et chiffrer sans connaître le cas concret serait irresponsable.
Cet article détaille ces variables, explique quels composants le service doit couvrir conformément aux articles 37 à 39 du Règlement (UE) 2016/679 (RGPD) et propose des fourchettes indicatives du marché pour 2026 en Espagne, sans garantir de résultats précis ni se substituer à une analyse personnalisée.
Ce que le RGPD exige concernant le DPO externe
Le RGPD définit avec précision les fonctions que le délégué à la protection des données doit exercer, qu'il soit interne ou externe :
- Art. 37 RGPD — Désignation : le responsable du traitement ou le sous-traitant doit désigner un DPO lorsque cela est obligatoire en vertu du paragraphe 1 (autorité publique, traitement à grande échelle de catégories particulières, ou surveillance systématique à grande échelle). La désignation peut être confiée à un professionnel ou une entreprise externe par contrat de services.
- Art. 38 RGPD — Position : le responsable du traitement veille à ce que le DPO soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données personnelles, qu'il dispose des ressources nécessaires et qu'il puisse agir en toute indépendance. Le DPO ne reçoit aucune instruction sur la manière d'exercer ses missions.
- Art. 39 RGPD — Missions : elles comprennent l'information et le conseil au responsable du traitement ; la surveillance du respect du RGPD et de la Loi organique 3/2018 (LOPDGDD) ; la coopération avec l'Agence espagnole de protection des données (AEPD) ; son rôle de point de contact avec l'AEPD ; et le conseil sur les analyses d'impact relatives à la protection des données (AIPD) prévues à l'art. 35 RGPD.
Ces missions ne sont ni optionnelles ni réductibles à un consultant qui rédige uniquement des documents : le DPO doit être disponible, accessible et opérationnellement actif. C'est ce qui détermine, en grande partie, le coût réel du service.
Les six variables qui déterminent le prix
1. Désignation obligatoire ou volontaire
Si la désignation du DPO est obligatoire en vertu de l'art. 37.1 RGPD — cliniques, établissements scolaires traitant des données d'enfants, grandes plateformes numériques, forces de l'ordre, autorités publiques — le service doit être plus robuste et le prix reflète cette exigence. Une organisation qui désigne un DPO volontairement parce qu'elle traite régulièrement des données sensibles sans y être légalement tenue peut négocier un périmètre légèrement réduit.
2. Secteur d'activité et catégories de données traitées
Un cabinet comptable qui traite ponctuellement des données de santé de ses clients est très différent d'une clinique de kinésithérapie dont l'activité principale porte sur des données de santé à grande échelle (catégorie particulière au sens de l'art. 9 RGPD). Le niveau de risque intrinsèque du secteur élève l'intensité de supervision requise et, avec elle, le prix. Les secteurs ayant le plus grand impact sur le coût du DPO externe sont :
- Santé et services médico-sociaux (données de santé à grande échelle).
- Éducation impliquant des mineurs (catégories particulières du fait de l'âge et données de santé associées).
- Ressources humaines avec vidéosurveillance ou contrôle biométrique des présences.
- Assurance, banque et services financiers (profils de crédit, données patrimoniales).
- Plateformes numériques avec surveillance systématique des utilisateurs.
3. Volume et complexité des activités de traitement
Le nombre de registres de traitement, la diversité des finalités, le nombre de sous-traitants avec lesquels l'organisation travaille et l'existence de transferts internationaux de données sont des facteurs de complexité directs. Une entreprise de dix personnes avec deux finalités simples (paie et clients) nécessite un DPO bien moins disponible qu'une entreprise de 200 personnes avec plusieurs lignes d'activité, marketing digital, vidéosurveillance et fournisseurs cloud.
4. Niveau de conformité de départ
Si l'organisation dispose déjà d'un registre des activités de traitement à jour, de mentions d'information correctes, de contrats avec les sous-traitants signés et d'une AIPD réalisée le cas échéant, le travail du DPO externe se concentre sur la supervision et la maintenance continue. Si tout doit être construit de zéro, la première année implique un effort d'implantation significatif qui ne se reproduit pas à l'identique les années suivantes.
5. Intensité de l'accompagnement et SLA de réponse
Le RGPD exige que le DPO soit accessible aux personnes concernées et à l'AEPD. Cela implique un niveau minimum de disponibilité réelle. Certains contrats de DPO externe sur le marché proposent des délais de réponse de 48 à 72 heures ; d'autres garantissent une réponse en quelques heures pour les incidents critiques. Le prix varie en conséquence. Un SLA de réponse aux violations de données est particulièrement pertinent car l'art. 33 RGPD impose la notification à l'AEPD dans les 72 heures suivant la prise de connaissance de la violation par le responsable du traitement.
6. Nombre de sites ou d'entités du groupe
Un seul DPO peut être désigné pour un groupe d'entreprises (art. 37.2 RGPD), à condition qu'il soit facilement joignable depuis chaque entité. Lorsqu'une entreprise dispose de plusieurs sites ou sociétés de groupe, cette possibilité peut être utilisée pour partager le coût du DPO, bien que le service doive être dimensionné en fonction du volume réel de l'ensemble.
Fourchettes indicatives du marché en 2026
Les chiffres ci-dessous sont des fourchettes indicatives issues de l'observation du marché espagnol en 2026. Ils ne représentent pas les tarifs de Summum Consultoría et ne garantissent pas que le coût de votre organisation s'y inscrira. L'analyse d'un cas précis nécessite toujours un diagnostic préalable.
| Profil d'organisation | Fourchette mensuelle indicative | Inclusions types |
|---|---|---|
| PME sans données sensibles, faible complexité (<20 salariés, 1-2 finalités) | 80–180 €/mois | Registre des traitements, mentions d'information, droits des personnes, révision annuelle de base |
| PME avec données de santé ou d'enfants, complexité moyenne (20-100 salariés) | 180–350 €/mois | Ci-dessus + AIPD, gestion des incidents, SLA 24-48 h, formation annuelle du personnel |
| Entreprise moyenne avec vidéosurveillance, RH complexes ou transferts internationaux | 350–600 €/mois | Ci-dessus + gestion des violations, audit annuel, point de contact AEPD, révision des contrats de sous-traitance |
| Groupe multi-entités ou secteur réglementé (santé, banque, assurance) | À partir de 600 €/mois | Couverture multi-entités, SLA renforcé, comité vie privée, reporting périodique à la direction |
Des services existent sur le marché en dessous de 80 euros par mois. Dans la plupart des cas, ce prix correspond à un service de maintenance documentaire — mise à jour de modèles, réponse aux demandes des personnes concernées — sans supervision active ni disponibilité réelle du DPO. Il ne satisfait pas pleinement aux exigences de l'art. 38 RGPD et peut créer une fausse impression de conformité.
Que doit toujours inclure le contrat de DPO externe ?
Au-delà du prix, la qualité du service s'évalue par ce que le contrat garantit par écrit. Voici les éléments qui ne doivent jamais manquer :
- Identification expresse du ou des professionnels qui exerceront les fonctions de DPO et preuve de leur qualification (l'art. 37.5 RGPD exige des connaissances spécialisées du droit et des pratiques en matière de protection des données).
- Accès garanti à la direction générale afin que le DPO puisse exercer ses missions en toute indépendance (art. 38.3 RGPD).
- SLA de réponse aux violations de données, aligné sur le délai de 72 heures de l'art. 33 RGPD.
- Périmètre précis des fonctions couvertes : surveillance, formation, conseil sur les AIPD, traitement des demandes, liaison avec l'AEPD.
- Clause de confidentialité renforcée (l'art. 38.5 RGPD impose au DPO un devoir de secret).
- Mécanisme de notification des évolutions réglementaires pertinentes (le RGPD n'est pas statique et l'AEPD publie régulièrement des guides et des critères d'interprétation).
DPO externe vs DPO interne : lequel est plus rentable ?
La comparaison ne porte pas uniquement sur le coût brut. Un DPO interne implique un contrat de travail, des cotisations sociales, une formation continue, des coûts de remplacement en cas de congé ou d'arrêt maladie et, dans de nombreux cas, une affectation partielle pouvant créer des conflits d'intérêts si la personne exerce d'autres fonctions opérationnelles au sein de l'organisation — ce que l'art. 38.6 RGPD interdit expressément lorsque ces fonctions déterminent les finalités et les moyens du traitement.
Pour la plupart des PME et entreprises de taille intermédiaire espagnoles, le DPO externe s'avère plus efficace : accès à une expertise sectorielle accumulée, absence de conflits d'intérêts, coût prévisible et évolutif, et disponibilité immédiate sans période de formation.
Comment comparer des devis de DPO externe ?
Face à plusieurs propositions, il convient d'évaluer ces critères avant de se décider sur le prix :
- Le DPO a-t-il une expérience dans votre secteur ? Un DPO ayant travaillé avec des cliniques comprend l'intersection entre la réglementation sanitaire et le RGPD ; un spécialiste de l'hôtellerie connaît les particularités de la vidéosurveillance et des données des salariés dans cet environnement.
- Le contrat précise-t-il qui fait quoi ? L'accompagnement actif et la rédaction de documents sont des fonctions différentes. Demandez combien d'heures effectives de DPO par mois le service comprend.
- Que se passe-t-il en cas de violation de données ou de plainte auprès de l'AEPD ? Cette situation présente une urgence réelle et le contrat doit indiquer explicitement comment elle est gérée et dans quel délai.
- La formation périodique du personnel est-elle incluse ? L'art. 39.1.b RGPD confie au DPO la mission de surveillance de la conformité, ce qui inclut en pratique de s'assurer que le personnel connaît ses obligations.
- Le service comprend-il la mise à jour du registre des activités de traitement lors de changements ? Le registre de l'art. 30 RGPD n'est pas un document statique ; il doit être mis à jour lorsque les traitements, les prestataires ou les finalités évoluent.
Le rôle de l'AEPD dans la supervision du DPO
L'Agence espagnole de protection des données (AEPD) est l'autorité de contrôle compétente en Espagne (art. 57 RGPD et art. 45 LOPDGDD). Le DPO externe agit comme point de contact avec l'AEPD (art. 39.1.e RGPD), ce qui signifie qu'en cas d'inspection, de réclamation d'une personne concernée ou de notification d'une violation, c'est le DPO qui interagit avec l'Agence au nom de l'organisation.
Cela ne signifie pas que le DPO externe assume la responsabilité juridique du responsable du traitement : le RGPD est clair sur le fait que l'organisation reste le responsable. Le DPO conseille, surveille et accompagne ; il ne remplace pas le responsable et ne garantit pas l'absence de sanctions. Le cadre sanctionnateur de l'art. 83 RGPD — avec des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial — s'applique au responsable ou au sous-traitant, et non au DPO externe en tant que tel.
Chez Summum Consultoría, nous accompagnons les entreprises en Castille-et-León et aux Îles Canaries dans la désignation et l'exercice effectif des fonctions de DPO externe. Si vous souhaitez analyser si votre organisation a besoin d'un DPO et quel périmètre le service nécessiterait, notre équipe réalise une première évaluation sans engagement.
Questions fréquentes
Le coût d'un DPO externe est-il déductible fiscalement ?
En règle générale, le coût du service de DPO externe est une charge déductible de l'impôt sur les sociétés en tant que dépense d'exploitation liée à la conformité réglementaire. Consultez votre conseiller fiscal pour la situation spécifique de votre organisation.
Le même prestataire peut-il être à la fois sous-traitant et DPO ?
L'art. 38.6 RGPD interdit au DPO d'avoir un conflit d'intérêts. Si le même prestataire traite des données pour le compte de l'entreprise et agit également comme DPO, un conflit réel peut exister. Les lignes directrices 0/2016 du Comité européen de la protection des données mettent expressément en garde contre cette situation. Il convient d'analyser chaque cas avec une approche prudente.
Le DPO externe couvre-t-il également les salariés de l'entreprise ?
Le périmètre du service dépend de ce qui est contractualisé. Le DPO surveille l'ensemble des activités de traitement du responsable, y compris celles relatives aux salariés (paie, gestion du temps, vidéosurveillance, santé au travail). Toutefois, les fonctions de gestion des RH restent du ressort du responsable ; le DPO conseille et surveille, il ne gère pas.
Que se passe-t-il si une entreprise ne désigne pas de DPO alors que c'est obligatoire ?
L'absence de DPO lorsqu'il est obligatoire constitue une violation de l'art. 37 RGPD, susceptible de sanction en vertu de l'art. 83.4 RGPD (jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial). L'AEPD peut détecter cette situation lors d'inspections ou à la suite de plaintes de personnes concernées. Par ailleurs, sans DPO, l'organisation est dépourvue de son principal point de contact avec l'Agence dans les situations d'urgence telles que les violations de données.