Choisir un DPD externe ne devrait pas se résumer à comparer trois devis et à retenir le moins cher. La fonction de Délégué à la Protection des Données comporte des missions légales précises —définies à l'article 39 du RGPD— et une position d'indépendance protégée par l'article 38 : mal choisir ce prestataire n'est donc pas seulement un risque de service, c'est un risque de conformité qui retombe en dernier ressort sur le responsable du traitement, pas sur le prestataire. Si vous savez déjà que votre organisation a besoin d'un DPD externe et que vous comparez plusieurs propositions, cet article ne compare pas des marques —nous ne citerons aucun concurrent—, mais vous donne les dix critères objectifs avec lesquels filtrer toute offre avant de signer.
Ce contenu suppose que vous savez déjà quel modèle convient le mieux à votre organisation. Si vous hésitez encore entre un DPD salarié en interne et l'externalisation de la fonction, commencez par notre comparatif DPD interne ou externe : quel modèle convient à votre organisation. Et si vous avez besoin d'une référence de prix avant de demander des propositions, consultez combien coûte un DPD externe : variables et fourchette indicative. Ici, nous nous concentrons exclusivement sur la façon de comparer les prestataires une fois que vous savez déjà vouloir externaliser la fonction.
Pourquoi le choix du prestataire compte plus qu'il n'y paraît
Le RGPD n'exige pas que le DPD détienne une qualification précise, mais l'article 37.5 exige qu'il soit désigné « sur la base des qualités professionnelles et, en particulier, des connaissances spécialisées du droit et des pratiques en matière de protection des données ». Cette qualification n'est pas une exigence décorative : si l'organisation fait l'objet d'une inspection de l'Agence espagnole de protection des données (AEPD) ou gère mal une violation de sécurité, l'aptitude du DPD désigné peut être mise en cause. En outre, l'article 38.6 du RGPD introduit une seconde condition que de nombreuses entreprises négligent lorsqu'elles comparent des prestataires : la garantie que le DPD n'a pas de conflit d'intérêts avec les fonctions qu'il exerce, c'est-à-dire qu'il ne détermine pas les finalités et les moyens du traitement qu'il doit lui-même superviser.
Mal choisir son prestataire se traduit par un DPD qui ne détecte pas un traitement à risque avant qu'il ne devienne une violation de données, par une notification tardive à l'AEPD qui aggrave une sanction, ou par un registre des activités de traitement obsolète qui expose l'organisation dès la première inspection. Voici les dix critères qui distinguent une entreprise de DPD externe solide d'une autre qui se contente de signer le contrat.
1. Absence de conflit d'intérêts (art. 38.6 RGPD)
C'est le critère à vérifier en premier, et celui que l'on pose le moins en pratique. L'article 38.6 du RGPD exige que le DPD —interne ou externe— puisse exercer ses fonctions en toute indépendance, sans que d'autres tâches qu'il assume pour l'organisation ne déterminent les finalités et les moyens du traitement des données personnelles. Appliqué à un prestataire externe, cela signifie vérifier que la même personne ou entité n'exerce pas simultanément comme directeur marketing, directeur commercial ou directeur informatique de l'organisation cliente, ni ne fournit de services qui l'obligent à décider des traitements qu'il doit ensuite auditer.
En pratique, demandez directement au prestataire : quels autres services fournit-il à votre organisation ? Si la même entreprise gère vos campagnes marketing avec des données clients tout en exerçant la fonction de DPD, il existe un conflit d'intérêts que l'AEPD peut remettre en cause lors d'une inspection. Un prestataire de DPD externe bien structuré sépare clairement cette fonction de tout autre service susceptible de compromettre son indépendance.
2. Qualification réelle, pas seulement un titre dans la proposition
L'article 37.5 du RGPD ne fixe pas de qualification officielle de DPD, mais il exige des connaissances spécialisées démontrables en droit et en pratique de la protection des données. Demandez au prestataire de justifier d'une formation spécifique, d'une expérience dans votre secteur et, le cas échéant, d'une certification conforme à un référentiel reconnu de DPD —nous expliquons ce que cela garantit réellement dans certification du DPD : ce que c'est et ce qu'elle garantit—. Elle n'est pas obligatoire pour exercer, mais c'est un signe que ces connaissances ont été soumises à une évaluation externe.
Méfiez-vous des propositions où l'on ne sait pas clairement qui exercera concrètement la fonction de DPD : le nom et le parcours de la personne qui signera la notification à l'AEPD et répondra en cas de violation de données devraient figurer dans la proposition, et non se diluer dans une « équipe de spécialistes » sans nom.
3. Spécialisation sectorielle démontrable
Le RGPD n'exige pas de spécialisation sectorielle, mais la pratique la récompense. Les traitements de données d'un cabinet dentaire (dossiers médicaux, données de santé relevant des catégories particulières de l'article 9) n'ont rien à voir avec ceux d'un établissement scolaire (données de mineurs) ou d'un cabinet comptable (données économico-financières avec obligations fiscales croisées). Un prestataire qui applique le même modèle générique à tout secteur n'exerce pas réellement la fonction de DPD : il remplit un formulaire. Demandez des exemples concrets de cas résolus dans votre secteur et comment il adapte le registre des activités de traitement à votre activité réelle, et non à un modèle générique.
4. Proximité et disponibilité réelles
Un DPD externe n'a pas besoin d'être au coin de votre rue, mais il doit être accessible dès qu'une question opérationnelle ou un incident survient. Demandez avec quelle rapidité le prestataire répond à une question courante, s'il existe un point de contact identifié —et non une boîte générique partagée avec d'autres clients— et s'il propose des rendez-vous en personne ou des visioconférences périodiques, et pas seulement un courriel annuel pour renouveler le contrat. La proximité est aussi géographique lorsque le secteur l'exige : les administrations locales, les établissements scolaires ou les entités soumises à des inspections sur place apprécient généralement un DPD qui connaît le territoire et peut se déplacer si nécessaire.
5. Périmètre contractuel clair : quels livrables sont inclus
C'est le point où les attentes se diluent le plus. « Service de DPD externe » peut recouvrir des réalités très différentes selon le prestataire : d'une simple notification formelle à l'AEPD sans aucun suivi ultérieur, à un accompagnement actif avec révision périodique du registre des activités de traitement, formation des équipes et exercices de simulation de violation de données. Avant de signer, exigez par écrit les livrables précis inclus dans le contrat :
- Enregistrement et notification formelle de la désignation à l'AEPD (art. 37.7 RGPD).
- Tenue et mise à jour du registre des activités de traitement (art. 30 RGPD).
- Révision des politiques de confidentialité, mentions légales et clauses d'information.
- Formation annuelle du personnel ayant accès aux données personnelles.
- Protocole documenté de réponse aux violations de sécurité.
- Traitement des demandes d'exercice des droits (accès, rectification, effacement, opposition, portabilité et limitation).
- Accompagnement en cas d'inspection ou de demande de l'AEPD.
Un prestataire sérieux détaille chacun de ces points dans le contrat, avec la fréquence précise de chaque livrable. Si la proposition se limite à une formule générique du type « conseil continu en protection des données », demandez qu'elle soit détaillée avant de signer.
6. Protocole de réponse aux violations de sécurité en 72 heures
L'article 33 du RGPD oblige le responsable du traitement à notifier une violation de données personnelles à l'AEPD dans les meilleurs délais et, si possible, au plus tard 72 heures après en avoir pris connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. Ce délai est exigeant et ne laisse aucune place à l'improvisation : si une violation est détectée un vendredi après-midi, le prestataire de DPD externe doit disposer d'un canal de contact opérationnel également en dehors des horaires de bureau, pour évaluer le risque et préparer la notification à temps.
Demandez explicitement : comment le protocole de violation est-il déclenché ? Existe-t-il une ligne téléphonique directe, ou seulement un courriel consulté aux heures de bureau ? Le prestataire rédige-t-il la notification à l'AEPD, ou se contente-t-il de conseiller pendant que votre équipe la rédige ? Cela inclut-il l'analyse de la nécessité de communiquer la violation aux personnes concernées elles-mêmes, conformément à l'article 34 du RGPD, lorsque le risque est élevé ? Un prestataire incapable de décrire précisément ce processus n'est pas prêt pour le moment où l'on a le plus besoin de lui.
7. Indépendance et rattachement au niveau hiérarchique le plus élevé
L'article 38.3 du RGPD exige que le DPD dépende directement du niveau hiérarchique le plus élevé du responsable du traitement ou du sous-traitant, et qu'il ne reçoive aucune instruction sur la façon d'exercer ses fonctions. Vérifiez que le prestataire comprend cette exigence et que sa façon de travailler respecte cette chaîne de rattachement : le DPD doit pouvoir signaler un manquement même s'il dérange un cadre intermédiaire, sans que la continuité de sa mission ne dépende de cette personne. Un prestataire qui ne rend compte qu'au service dont il est censé superviser l'activité peut difficilement exercer avec l'indépendance exigée par la norme.
8. Formation des équipes, pas seulement de la paperasse
Un registre des activités de traitement impeccable ne sert pas à grand-chose si l'équipe qui manipule les données au quotidien ne sait pas identifier une violation, ne distingue pas quelles données sont particulièrement sensibles ou ne sait pas quoi faire face à la demande d'effacement d'un client. Vérifiez si le service inclut une formation périodique —au moins annuelle— adaptée au profil de chaque équipe (ressources humaines, relation client, systèmes d'information), et non un exposé générique d'une heure répété à l'identique chaque année.
9. Transparence sur le prix et sur le périmètre
Le prix d'un DPD externe varie selon le volume des traitements, le secteur et le périmètre contracté, et il n'existe pas de tarif fixe de marché —c'est pourquoi nous ne publions pas de chiffres propres dans cet article—; vous pouvez consulter les facteurs qui le déterminent dans notre guide prix du DPD externe : variables et fourchette indicative. Ce que vous pouvez exiger lors de la comparaison, c'est une transparence totale : que la proposition précise ce qui est inclus dans la cotisation, ce qui est facturé à part (une violation grave, un audit exceptionnel, un accompagnement en personne lors d'une inspection) et ce qui se passe si le volume de traitements augmente pendant le contrat. Méfiez-vous des prix sensiblement inférieurs au reste des propositions comparées sans que l'on sache clairement ce qui est exclu : dans un service de conformité réglementaire, le prix le plus bas signifie presque toujours moins d'heures dédiées, pas une plus grande efficacité.
10. Continuité du service et ce qui se passe en cas de changement de prestataire
Changer de DPD externe constitue en soi une démarche légale : elle exige une nouvelle notification à l'AEPD dans le délai de dix jours fixé par l'article 34.3 de la LOPDGDD pour les désignations, les nominations et les cessations de fonctions du délégué à la protection des données. Avant de contracter, demandez ce qui se passe si vous décidez de changer de prestataire à l'avenir : le registre des activités de traitement et toute la documentation générée restent-ils en votre possession, dans un format que vous pouvez transmettre au prestataire suivant sans reconstruire le travail depuis le début ? Un prestataire qui complique la portabilité de votre documentation —en la conservant dans un format propriétaire ou en refusant de la transmettre— n'agit pas dans votre intérêt, mais dans le sien.
Combien coûte l'engagement d'un DPD externe
Il n'existe pas de tarif unique de marché pour le service de DPD externe : le prix dépend du volume et de la sensibilité des traitements, du secteur d'activité, du périmètre contracté (uniquement la fonction légale ou un accompagnement actif avec formation et audits) et de l'inclusion ou non de la gestion de la démarche auprès de l'AEPD elle-même. Avant de demander des propositions, il est utile de comprendre quelles variables déterminent le prix et quelle fourchette est raisonnable selon la taille de votre organisation : nous l'expliquons en détail dans combien coûte un DPD externe en 2026. Utiliser ce guide comme référence vous permet de repérer tant les propositions gonflées que les offres anormalement basses, qui cachent généralement un service incomplet.
Tableau récapitulatif : les 10 critères de comparaison
| Critère | Que vérifier | Base légale |
|---|---|---|
| 1. Conflit d'intérêts | Le DPD ne décide ni des finalités ni des moyens des traitements qu'il supervise | Art. 38.6 RGPD |
| 2. Qualification réelle | Formation et expérience démontrables, pas seulement un titre dans la proposition | Art. 37.5 RGPD |
| 3. Spécialisation sectorielle | Cas et risques concrets propres à votre activité, pas de modèles génériques | — |
| 4. Proximité et disponibilité | Point de contact identifié, délais de réponse et rendez-vous périodiques | — |
| 5. Livrables contractuels | Notification AEPD, registre des traitements, formation, protocole de violation détaillés par écrit | Art. 30 et 37.7 RGPD |
| 6. Réponse aux violations en 72h | Canal opérationnel hors horaires de bureau et rédaction de la notification | Art. 33 RGPD |
| 7. Indépendance et rattachement | Rattachement au niveau hiérarchique le plus élevé, sans instructions sur sa fonction | Art. 38.3 RGPD |
| 8. Formation des équipes | Sessions périodiques adaptées par service, pas un exposé générique | — |
| 9. Transparence du prix | Ce qu'inclut la cotisation et ce qui est facturé à part | — |
| 10. Continuité et portabilité | Remise de la documentation en cas de changement de prestataire | Art. 34.3 LOPDGDD |
Questions fréquentes
Le même prestataire peut-il être mon expert-comptable ou mon conseiller social et aussi mon DPD externe ?
Cela dépend de la question de savoir si cette double fonction crée un conflit d'intérêts au sens de l'article 38.6 du RGPD. Si le cabinet ne fournit que des services administratifs sans décider des finalités et des moyens des traitements de données personnelles que le DPD doit superviser, il peut ne pas y avoir de conflit ; mais si la même personne gère la paie et décide, par exemple, quelles données des salariés sont partagées avec des tiers, la situation doit être analysée au cas par cas. Demandez toujours au prestataire de justifier pourquoi son double rôle ne compromet pas l'indépendance requise.
Le DPD externe doit-il obligatoirement détenir une certification spécifique ?
Non. L'article 37.5 du RGPD exige une qualification et des connaissances spécialisées démontrables, mais n'impose pas de certification officielle obligatoire. Une certification conforme à un référentiel reconnu constitue un signal de qualité supplémentaire, pas une exigence légale pour exercer.
Que se passe-t-il si j'engage un DPD externe et qu'il s'avère ensuite qu'il ne remplit pas les conditions d'indépendance ?
La responsabilité du respect du RGPD incombe toujours au responsable du traitement, jamais au DPD. Si une inspection de l'AEPD constate que le DPD désigné ne remplissait pas les conditions d'indépendance exigées par l'article 38, l'organisation peut subir les conséquences de ne pas avoir eu, en pratique, de DPD valide pendant cette période.
Combien de temps faut-il pour changer d'entreprise de DPD externe ?
La démarche formelle de notification à l'AEPD du changement de DPD s'effectue dans le délai de dix jours fixé par l'article 34.3 de la LOPDGDD, mais le temps réel du changement dépend de la quantité de documentation existante que vous pouvez transférer au nouveau prestataire. Avec une transmission ordonnée du registre des activités de traitement et des politiques en vigueur, la transition peut être finalisée en quelques semaines sans période sans couverture.
Dois-je toujours choisir le prestataire le plus spécialisé dans mon secteur même s'il est plus éloigné ?
La spécialisation sectorielle pèse beaucoup, mais ce n'est pas le seul facteur : un prestataire doté de solides connaissances réglementaires générales et d'une disponibilité réelle peut bien traiter la plupart des secteurs s'il consacre le temps nécessaire à comprendre votre activité concrète. Lorsqu'il faut prioriser, un DPD disponible et rigoureux surpasse généralement un DPD très spécialisé mais inaccessible.
Le DPD externe peut-il signer en mon nom auprès de l'AEPD ?
Il peut gérer la démarche s'il dispose de la représentation nécessaire, généralement formalisée par un mandat exprès prévu dans le contrat de prestation de services. Il convient de le mettre par écrit dès le départ, pour éviter de dépendre de certificats numériques personnels de tiers au moment d'une notification urgente.
Quelle différence entre demander des références et demander des cas d'usage concrets lors de la comparaison de prestataires ?
Les références génériques —« nous accompagnons de nombreux clients de votre secteur »— sont faciles à affirmer et difficiles à vérifier. Demander un cas d'usage concret —comment ils ont géré une violation réelle, comment ils ont adapté un registre des activités de traitement à un traitement complexe— oblige le prestataire à démontrer une expérience réelle plutôt qu'à répéter un argumentaire commercial.
Si vous avez déjà comparé des prestataires à l'aide de ces dix critères et souhaitez savoir comment nous structurons le service chez Summum Consultoría —de la désignation et de la notification à l'AEPD jusqu'à la formation annuelle et au protocole de réponse aux violations—, vous pouvez consulter le détail sur notre page DPD externe pour les organisations.