Le Délégué à la Protection des Données (DPD) est la fonction que l'article 37 du Règlement général sur la protection des données (RGPD, UE 2016/679) et l'article 34 de la loi organique espagnole 3/2018 relative à la protection des données personnelles et à la garantie des droits numériques (LOPDGDD) réservent pour superviser la conformité réglementaire, servir de point de contact avec l'Agence espagnole de protection des données (AEPD) et conseiller en interne sur tout traitement de données personnelles. Ce n'est pas un titre décoratif : l'AEPD peut exiger son intervention directe lors d'une inspection, et son absence — lorsqu'elle est obligatoire — constitue en soi une infraction sanctionnable.
Un DPD externe exerce exactement les mêmes fonctions qu'un DPD interne, avec deux différences pratiques : le coût (on paie pour le service, pas pour un salaire complet et sa formation continue) et l'indépendance (l'article 38.3 du RGPD exige que le DPD ne reçoive aucune instruction sur l'exercice de ses missions et ne soit pas révoqué pour les avoir exercées, ce qui est plus simple à garantir dans une relation contractuelle que dans une relation salariale hiérarchisée). Nous intervenons comme tiers inscrit auprès de l'AEPD, avec des modèles de travail différents selon le secteur — nous n'appliquons pas la même procédure à une paroisse qu'à un cabinet dentaire ou à un établissement scolaire sous contrat — car les catégories de données, les risques et la réglementation sectorielle changent dans chaque cas.
L'article 37.1 du RGPD impose la désignation d'un DPD dans trois cas : lorsque le traitement est effectué par une autorité ou un organisme public (à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle) ; lorsque les activités de base du responsable ou du sous-traitant exigent un suivi régulier et systématique des personnes concernées à grande échelle ; et lorsque les activités de base consistent en un traitement à grande échelle de catégories particulières de données (santé, opinions, appartenance syndicale, orientation sexuelle, données biométriques ou génétiques) ou de données relatives à des condamnations et infractions pénales.
L'article 34.1 de la LOPDGDD développe ces cas pour l'Espagne et ajoute une liste d'entités soumises à l'obligation en tout état de cause, indépendamment du fait qu'elles atteignent les seuils de grande échelle de l'article 37.1 : ordres professionnels et leurs conseils généraux, établissements scolaires dispensant un enseignement de niveau réglementé et universités publiques et privées, opérateurs de réseaux et de services de communications électroniques traitant des données à grande échelle, prestataires de services de la société de l'information qui profilent les utilisateurs à grande échelle, établissements de crédit, établissements financiers de crédit et assureurs, entreprises de services d'investissement, distributeurs et fournisseurs d'électricité et de gaz, entités gérant des fichiers communs de solvabilité et de crédit, entités menant des activités de publicité et de prospection commerciale fondées sur les préférences des personnes concernées ou sur le profilage, centres de santé légalement tenus de conserver les dossiers cliniques, entités émettant des rapports commerciaux sur des personnes physiques, opérateurs de jeux par canaux électroniques, entreprises de sécurité privée, et fédérations sportives lorsqu'elles traitent des données de mineurs.
En dehors de ces cas obligatoires, désigner un DPD externe garde tout son sens : cela renforce le système de protection des données avec une fonction formellement inscrite auprès de l'AEPD, offre un canal de conseil et de gestion des incidents que l'organisation n'aurait pas autrement, et anticipe ce que de nombreux grands clients exigent désormais avant de signer un contrat.
La réglementation n'exige pas que le DPD fasse partie du personnel salarié : l'article 37.6 du RGPD autorise expressément l'exercice de la fonction sur la base d'un contrat de service. La différence réelle réside dans le coût (un DPD interne avec la formation juridico-technique qu'exige la fonction coûte en général plus cher qu'un service externalisé dimensionné aux besoins réels de l'organisation), dans la disponibilité (un DPD externe travaille avec plusieurs clients et actualise sa pratique avec des dossiers de secteurs variés, ce qui est rarement le cas d'un profil interne qui ne voit que sa propre organisation), et dans l'indépendance fonctionnelle exigée par l'article 38.3, plus simple à garantir dans une relation contractuelle que dans une relation salariale hiérarchisée.
Il est également fréquent de combiner les deux fonctions : une personne de l'équipe agit comme référent interne au quotidien — elle recueille les incidents, coordonne la formation, tient à jour le registre des traitements — tandis que le DPD externe assume la responsabilité formelle devant l'AEPD, révise périodiquement le système et intervient lors d'un incident ou d'une inspection. Si vous disposez déjà d'un DPD interne, un DPD externe le complète comme second avis et comme appui dans les moments les plus exigeants, sans le remplacer.
Le régime de sanctions de l'article 83 du RGPD comporte deux paliers. Les infractions du palier inférieur — parmi lesquelles l'absence de désignation d'un DPD lorsqu'elle est obligatoire (art. 37), le défaut de moyens nécessaires ou l'absence de publication de ses coordonnées — peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Les infractions du palier supérieur — violation des principes du traitement, absence de base légale ou manquement systématique aux droits des personnes concernées — peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
La LOPDGDD, dans ses articles 72 à 74, classe les infractions en très graves, graves et légères, avec des délais de prescription respectifs de trois, deux et un an. L'AEPD retient comme circonstances atténuantes l'existence d'une fonction de supervision active (précisément celle exercée par le DPD), l'adoption de mesures correctives avant toute mise en demeure, et le degré de coopération avec la procédure d'enquête. En pratique, disposer d'un DPD — interne ou externe — n'est pas seulement une obligation dans certains cas : c'est aussi la preuve documentaire de diligence que l'AEPD attend de trouver lorsqu'elle ouvre une enquête.
Summum accompagne des organisations en conformité réglementaire depuis 2007, avec plus de 2 000 projets de digitalisation réalisés et près de 200 processus de certification ISO accompagnés au sein du groupe — la même équipe qui peut vous mener, le moment venu, vers l'ISO 27001 ou l'ISO 27701 avec Summum Calidad, sans changer d'interlocuteur. Nous travaillons depuis cinq bureaux à Valladolid (siège), Burgos, Palencia, Aranda de Duero et Las Palmas de Gran Canaria, ce qui nous permet de proposer un DPD que vous rencontrez en personne, et non un compte géré depuis une autre province.
Nous ne promettons pas de résultat précis face à l'AEPD et ne nous substituons pas à son appréciation : nous accompagnons l'organisation pour qu'elle arrive à toute inspection ou demande avec la documentation, les procédures et l'historique que le régulateur s'attend à trouver.
Nous ne publions pas de tarif fixe car le coût réel d'un DPD externe dépend de variables qui changent beaucoup d'une organisation à l'autre : le nombre de traitements de données personnelles réalisés, le fait de traiter ou non des catégories particulières de données (santé, mineurs, données biométriques), le nombre de sites ou d'établissements, l'appartenance à un secteur soumis à une réglementation supplémentaire (santé, éducation, finance), le volume de personnes dont les données sont traitées, et le fait que le service remplace entièrement un DPD interne ou le complète comme second avis et appui.
Nous le confirmons toujours lors d'un premier appel gratuit, une fois compris le traitement réel de l'organisation — pas avant, car tout chiffre donné sans ce diagnostic serait une approximation peu utile. Pour une référence de marché et savoir quelles variables font le plus varier le prix, nous avons publié une analyse dédiée sur le blog : Prix du DPD externe : variables et fourchette indicative en 2026.