Il n'existe pas de tarif légal unique pour un DPD externe. Le prix dépend du risque, de la taille, des secteurs, du volume de projets, des prestataires, des droits, des incidents et de la disponibilité requise. La comparaison utile n'est pas « combien coûte la désignation », mais quelle dédicace, indépendance et capacité réelle inclut le service. Un DPD bon marché qui ne prête qu'un nom peut laisser l'obligation matérielle non remplie.
Ce que vous contractez réellement
Le DPD informe et conseille, supervise la conformité, conseille sur les analyses d'impact (AIPD), coopère avec l'autorité de contrôle et agit comme point de contact. Il doit être associé en temps utile, disposer de ressources, rendre compte au plus haut niveau et agir sans recevoir d'instructions.
Le service externe ne transfère pas la responsabilité du responsable du traitement ou du sous-traitant. Il n'équivaut pas non plus à un audit annuel, ni à un conseil qui déciderait des traitements eux-mêmes.
Pourquoi le prix varie
Complexité du responsable du traitement
Nombre d'entités, d'établissements, d'employés, de pays et de responsables conjoints. Un groupe avec plusieurs sociétés nécessite davantage de coordination et d'accessibilité.
Nature des données
Santé, mineurs, biométrie, profilage, vidéosurveillance ou données pénales élèvent le niveau de spécialisation et de révision nécessaire.
Volume et évolution
Une organisation stable avec peu de traitements exige moins de dédicace qu'une plateforme avec des lancements hebdomadaires, des campagnes et de nouveaux prestataires.
Technologie et prestataires
Cloud, intelligence artificielle, transferts internationaux, applications, cookies, géolocalisation et chaînes de sous-traitants ultérieurs ajoutent de la diligence et des vérifications.
Incidents et droits
Le contrat peut inclure un forfait d'heures raisonnable ou une facturation spécifique. Il faut savoir ce qui se passe en dehors des horaires et en cas de violation grave.
État initial
S'il n'existe ni inventaire, ni contrats, ni procédures, un projet de mise en conformité doit venir en premier. Il est préférable de le séparer du service récurrent pour ne pas masquer le périmètre réel.
Composants d'une offre
| Composant | Contenu minimal |
|---|---|
| Désignation | Communication et point de contact public |
| Onboarding | Contexte, inventaire et plan de supervision |
| Conseil | Consultations et projets à délai défini |
| Supervision | Révisions fondées sur le risque |
| AIPD | Critères et conseil, avec des limites claires |
| Droits | Appui sur les demandes complexes |
| Violations | Évaluation, documentation et notification |
| Autorité | Coopération et réclamations |
| Formation | Sessions par rôle, avec preuves |
| Direction | Rapports périodiques indépendants |
Si une offre ne chiffre pas ces activités, elle n'est pas comparable.
Modèles de tarification
Forfait fixe
Adapté à une activité prévisible. Il doit préciser les heures ou la capacité, les délais, les réunions, les livrables et les dépassements.
Forfait d'heures
Apporte de la flexibilité, mais peut décourager les consultations si chaque contact réduit le solde. Nécessite une transparence d'utilisation.
Au projet
Utile pour une AIPD, un audit ou un incident complexe. Ne remplace pas la supervision continue.
Hybride
Forfait de base pour les fonctions ordinaires et tarif convenu pour les projets extraordinaires. Facilite généralement la prévisibilité sans promettre une disponibilité illimitée.
Calculer le périmètre avant de demander un prix
Préparez une fiche avec :
- Entités et établissements.
- Secteur et obligation de désigner un DPD.
- Effectif et personnes concernées.
- Catégories de données.
- Traitements et systèmes.
- Pays et transferts.
- Prestataires critiques.
- Projets prévus.
- Droits exercés et incidents passés.
- Certifications et équipe interne.
- Disponibilité requise.
Sans cette information, les offres reposent sur des hypothèses différentes.
Une dédicace minimale crédible
Il n'existe pas de chiffre universel. La proposition doit montrer comment elle couvrira :
- La connaissance de l'organisation.
- La participation aux projets.
- La supervision et les échantillonnages.
- L'attention aux personnes et à l'autorité.
- La mise à jour professionnelle.
- Les rapports à la direction.
- Le remplacement en cas d'absence.
Le Comité européen de la protection des données (CEPD) a identifié comme problèmes récurrents des ressources insuffisantes, des connaissances insuffisantes et des conflits d'intérêts. Le prix doit permettre d'éviter ces défaillances.
Indépendance et conflits
Le prestataire ne devrait pas concevoir des traitements, les approuver, puis s'auto-certifier. Il peut fournir d'autres services si les fonctions sont séparées et qu'il ne détermine pas les finalités et les moyens.
Questions à se poser :
- Qui est formellement le DPD ?
- Quels autres services fournit-il ?
- Qui révise le travail de mise en œuvre ?
- Rend-il compte directement à la direction ?
- Peut-il émettre une recommandation contraire à l'intérêt commercial ?
- Comment l'équipe est-elle protégée face à la pression ?
Un contrat qui permet de remplacer le DPD pour avoir émis un avis gênant compromet son indépendance.
Compétence et équipe
Le RGPD exige une qualification fondée sur des connaissances spécialisées et une capacité à exercer les missions. Il n'existe pas de diplôme unique obligatoire.
Évaluez :
- Expérience sectorielle.
- Connaissances juridiques et techniques.
- Expérience en AIPD et en gestion d'incidents.
- Contrats et transferts.
- Communication avec la direction.
- Équipe de soutien.
- Formation continue.
La certification professionnelle peut constituer une preuve, mais ne remplace pas l'expérience ni les ressources.
SLA et disponibilité
L'offre doit fixer :
| Service | Engagement à définir |
|---|---|
| Consultation ordinaire | Délai de première réponse |
| Projet | Délai de révision |
| Droit | Escalade selon la date limite |
| Violation | Canal urgent et disponibilité |
| Réclamation | Responsable et coordination |
| Rapport | Fréquence et destinataire |
« Support illimité » sans SLA ni capacité définie n'est pas une garantie.
Quels livrables attendre
- Plan annuel fondé sur le risque.
- Registre des consultations et recommandations.
- Rapports de supervision.
- Avis sur les AIPD.
- Registre et évaluation des violations.
- Suivi des actions.
- Rapport à la direction.
- Preuves de formation.
- Déclaration de conflits d'intérêts, tenue à jour.
Le DPD ne doit pas devenir un simple producteur de modèles sans suivi.
Comparer les offres
Utilisez une matrice pondérée :
| Critère | Poids indicatif |
|---|---|
| Indépendance et conflits | 20 % |
| Expérience et équipe | 20 % |
| Périmètre et dédicace | 20 % |
| Réactivité et incidents | 15 % |
| Supervision et rapports | 15 % |
| Prix total et extras | 10 % |
Un prix bas ne compense pas un conflit d'intérêts ni une couverture insuffisante.
Coûts souvent exclus
- Mise en conformité initiale.
- Audit technique.
- Tests de sécurité.
- Défense en justice.
- Traductions.
- Déplacements.
- Projets internationaux.
- AIPD multiples.
- Assistance extraordinaire hors horaires.
Il n'est pas incorrect de les exclure, mais cela doit figurer expressément.
Signaux d'alerte
- Une « désignation » sans onboarding.
- Des milliers de clients par professionnel, sans équipe visible.
- Aucun contact direct avec la direction.
- Aucun canal d'urgence.
- Le DPD est aussi responsable opérationnel du marketing ou de l'IT.
- Un prix sans hypothèses qui le justifient.
- Des rapports automatiques identiques.
- Une promesse de « conformité garantie ».
- Aucun remplacement ni continuité.
- Une pénalité pour avoir émis des recommandations.
Calendrier de recrutement
Semaine 1
Définir le périmètre, les risques et le modèle souhaité.
Semaine 2
Demander des propositions comparables et une réunion avec l'équipe réelle.
Semaine 3
Évaluer l'indépendance, les dossiers traités et les SLA ; demander des références.
Semaine 4
Contracter, communiquer la désignation, publier le contact et approuver le plan à 90 jours.
Checklist contractuelle
- Entités et périmètre.
- Personne ou équipe désignée.
- Fonctions des articles 38 et 39.
- Indépendance et conflits.
- Accès à la direction.
- Dédicace, SLA et urgences.
- Livrables et rapports.
- Extras et tarifs.
- Confidentialité et sécurité.
- Remplacement et résiliation.
- Portabilité du dossier.
Questions fréquentes
Peut-on publier un tarif standard ?
Une orientation peut être donnée, mais une offre responsable doit connaître le périmètre. Sans cela, le prix n'indique pas la couverture réelle.
Le service le plus cher est-il le meilleur ?
Pas nécessairement. Il faut comparer les preuves, l'indépendance, la dédicace et les résultats.
Une AIPD est-elle incluse ?
Le conseil du DPD fait bien partie de ses missions, mais l'exécution intensive peut être budgétée comme un projet à part. Cela doit être clair dans le contrat.
Un groupe peut-il partager un DPD ?
Oui, à condition qu'il soit facilement accessible depuis chaque établissement et qu'il dispose de ressources suffisantes.
Qui paie une sanction ?
La responsabilité légale incombe au responsable du traitement ou au sous-traitant, selon le cas. Le contrat peut encadrer les responsabilités du prestataire, mais ne peut pas déroger au RGPD.
Sources officielles consultées
- RGPD, articles 37 à 39.
- AEPD : questions fréquentes sur le DPD.
- Lignes directrices sur le DPD (WP243 rev.01).
- CEPD : guide pour les petites entreprises.
- CEPD : rapport sur la désignation et la position du DPD.
Summum Consultoría peut préparer une proposition fondée sur le risque et le périmètre, sans transformer la désignation en simple formalité.