Prix du DPD externe : ce qu'il doit inclure

·

Il n'existe pas de tarif légal unique pour un DPD externe. Le prix dépend du risque, de la taille, des secteurs, du volume de projets, des prestataires, des droits, des incidents et de la disponibilité requise. La comparaison utile n'est pas « combien coûte la désignation », mais quelle dédicace, indépendance et capacité réelle inclut le service. Un DPD bon marché qui ne prête qu'un nom peut laisser l'obligation matérielle non remplie.

Ce que vous contractez réellement

Le DPD informe et conseille, supervise la conformité, conseille sur les analyses d'impact (AIPD), coopère avec l'autorité de contrôle et agit comme point de contact. Il doit être associé en temps utile, disposer de ressources, rendre compte au plus haut niveau et agir sans recevoir d'instructions.

Le service externe ne transfère pas la responsabilité du responsable du traitement ou du sous-traitant. Il n'équivaut pas non plus à un audit annuel, ni à un conseil qui déciderait des traitements eux-mêmes.

Pourquoi le prix varie

Complexité du responsable du traitement

Nombre d'entités, d'établissements, d'employés, de pays et de responsables conjoints. Un groupe avec plusieurs sociétés nécessite davantage de coordination et d'accessibilité.

Nature des données

Santé, mineurs, biométrie, profilage, vidéosurveillance ou données pénales élèvent le niveau de spécialisation et de révision nécessaire.

Volume et évolution

Une organisation stable avec peu de traitements exige moins de dédicace qu'une plateforme avec des lancements hebdomadaires, des campagnes et de nouveaux prestataires.

Technologie et prestataires

Cloud, intelligence artificielle, transferts internationaux, applications, cookies, géolocalisation et chaînes de sous-traitants ultérieurs ajoutent de la diligence et des vérifications.

Incidents et droits

Le contrat peut inclure un forfait d'heures raisonnable ou une facturation spécifique. Il faut savoir ce qui se passe en dehors des horaires et en cas de violation grave.

État initial

S'il n'existe ni inventaire, ni contrats, ni procédures, un projet de mise en conformité doit venir en premier. Il est préférable de le séparer du service récurrent pour ne pas masquer le périmètre réel.

Composants d'une offre

ComposantContenu minimal
DésignationCommunication et point de contact public
OnboardingContexte, inventaire et plan de supervision
ConseilConsultations et projets à délai défini
SupervisionRévisions fondées sur le risque
AIPDCritères et conseil, avec des limites claires
DroitsAppui sur les demandes complexes
ViolationsÉvaluation, documentation et notification
AutoritéCoopération et réclamations
FormationSessions par rôle, avec preuves
DirectionRapports périodiques indépendants

Si une offre ne chiffre pas ces activités, elle n'est pas comparable.

Modèles de tarification

Forfait fixe

Adapté à une activité prévisible. Il doit préciser les heures ou la capacité, les délais, les réunions, les livrables et les dépassements.

Forfait d'heures

Apporte de la flexibilité, mais peut décourager les consultations si chaque contact réduit le solde. Nécessite une transparence d'utilisation.

Au projet

Utile pour une AIPD, un audit ou un incident complexe. Ne remplace pas la supervision continue.

Hybride

Forfait de base pour les fonctions ordinaires et tarif convenu pour les projets extraordinaires. Facilite généralement la prévisibilité sans promettre une disponibilité illimitée.

Calculer le périmètre avant de demander un prix

Préparez une fiche avec :

Sans cette information, les offres reposent sur des hypothèses différentes.

Une dédicace minimale crédible

Il n'existe pas de chiffre universel. La proposition doit montrer comment elle couvrira :

  1. La connaissance de l'organisation.
  2. La participation aux projets.
  3. La supervision et les échantillonnages.
  4. L'attention aux personnes et à l'autorité.
  5. La mise à jour professionnelle.
  6. Les rapports à la direction.
  7. Le remplacement en cas d'absence.

Le Comité européen de la protection des données (CEPD) a identifié comme problèmes récurrents des ressources insuffisantes, des connaissances insuffisantes et des conflits d'intérêts. Le prix doit permettre d'éviter ces défaillances.

Indépendance et conflits

Le prestataire ne devrait pas concevoir des traitements, les approuver, puis s'auto-certifier. Il peut fournir d'autres services si les fonctions sont séparées et qu'il ne détermine pas les finalités et les moyens.

Questions à se poser :

Un contrat qui permet de remplacer le DPD pour avoir émis un avis gênant compromet son indépendance.

Compétence et équipe

Le RGPD exige une qualification fondée sur des connaissances spécialisées et une capacité à exercer les missions. Il n'existe pas de diplôme unique obligatoire.

Évaluez :

La certification professionnelle peut constituer une preuve, mais ne remplace pas l'expérience ni les ressources.

SLA et disponibilité

L'offre doit fixer :

ServiceEngagement à définir
Consultation ordinaireDélai de première réponse
ProjetDélai de révision
DroitEscalade selon la date limite
ViolationCanal urgent et disponibilité
RéclamationResponsable et coordination
RapportFréquence et destinataire

« Support illimité » sans SLA ni capacité définie n'est pas une garantie.

Quels livrables attendre

Le DPD ne doit pas devenir un simple producteur de modèles sans suivi.

Comparer les offres

Utilisez une matrice pondérée :

CritèrePoids indicatif
Indépendance et conflits20 %
Expérience et équipe20 %
Périmètre et dédicace20 %
Réactivité et incidents15 %
Supervision et rapports15 %
Prix total et extras10 %

Un prix bas ne compense pas un conflit d'intérêts ni une couverture insuffisante.

Coûts souvent exclus

Il n'est pas incorrect de les exclure, mais cela doit figurer expressément.

Signaux d'alerte

  1. Une « désignation » sans onboarding.
  2. Des milliers de clients par professionnel, sans équipe visible.
  3. Aucun contact direct avec la direction.
  4. Aucun canal d'urgence.
  5. Le DPD est aussi responsable opérationnel du marketing ou de l'IT.
  6. Un prix sans hypothèses qui le justifient.
  7. Des rapports automatiques identiques.
  8. Une promesse de « conformité garantie ».
  9. Aucun remplacement ni continuité.
  10. Une pénalité pour avoir émis des recommandations.

Calendrier de recrutement

Semaine 1

Définir le périmètre, les risques et le modèle souhaité.

Semaine 2

Demander des propositions comparables et une réunion avec l'équipe réelle.

Semaine 3

Évaluer l'indépendance, les dossiers traités et les SLA ; demander des références.

Semaine 4

Contracter, communiquer la désignation, publier le contact et approuver le plan à 90 jours.

Checklist contractuelle

Questions fréquentes

Peut-on publier un tarif standard ?

Une orientation peut être donnée, mais une offre responsable doit connaître le périmètre. Sans cela, le prix n'indique pas la couverture réelle.

Le service le plus cher est-il le meilleur ?

Pas nécessairement. Il faut comparer les preuves, l'indépendance, la dédicace et les résultats.

Une AIPD est-elle incluse ?

Le conseil du DPD fait bien partie de ses missions, mais l'exécution intensive peut être budgétée comme un projet à part. Cela doit être clair dans le contrat.

Un groupe peut-il partager un DPD ?

Oui, à condition qu'il soit facilement accessible depuis chaque établissement et qu'il dispose de ressources suffisantes.

Qui paie une sanction ?

La responsabilité légale incombe au responsable du traitement ou au sous-traitant, selon le cas. Le contrat peut encadrer les responsabilités du prestataire, mais ne peut pas déroger au RGPD.

Sources officielles consultées

Summum Consultoría peut préparer une proposition fondée sur le risque et le périmètre, sans transformer la désignation en simple formalité.