Données personnelles

DPO externalisé : coûts réels 2026, tarifs jour et forfait, interne vs externe

Combien coûte un DPO externalisé en 2026 ? Tarifs réels (TJM 600-1 200 €, forfaits 400-2 500 €/mois), comparaison interne vs externe et critères de choix.

Un DPO externalisé coûte entre 400 et 2 500 € HT par mois en forfait pour une PME, ou entre 600 et 1 200 € HT la journée en régie, selon la complexité des traitements et le profil du prestataire. Un DPO interne à temps plein coûte 55 000 à 90 000 € brut annuels, soit 70 000 à 120 000 € chargés. Voici les chiffres détaillés, les modèles de facturation et la méthode pour choisir — sans le discours commercial des cabinets.

Rappel du cadre : l’article 37(1) du RGPD impose la désignation d’un DPO dans trois cas — autorité ou organisme public, suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles. L’article 37(6) autorise expressément le DPO externe, « sur la base d’un contrat de service ». Hors cas obligatoires, la désignation volontaire reste possible mais emporte l’application de l’intégralité du statut. Sur les missions, voir notre guide des missions du DPO.

Les tarifs réels du marché en 2026

Facturation au forfait mensuel (le standard PME)

Profil d’organisation Forfait mensuel HT Ce qui est inclus
TPE, traitements simples (site, clients, RH) 400 – 700 € 0,5 à 1 jour/mois, hotline, registre, veille
PME 20-100 salariés, B2C ou données RH volumineuses 700 – 1 500 € 1 à 2 jours/mois, AIPD ponctuelles, gestion des demandes de droits
PME/ETI avec données sensibles (santé, mineurs, scoring) 1 500 – 2 500 € 2 à 4 jours/mois, AIPD, violations, contacts CNIL
ETI multi-entités / international 2 500 – 6 000 € Équipe dédiée, comitologie, transferts hors UE

Facturation en régie (TJM)

  • Juriste protection des données junior/confirmé : 600 – 800 € HT/jour
  • DPO senior certifié (CIPP/E, certification CNIL) : 800 – 1 200 € HT/jour
  • Avocat spécialisé intervenant comme DPO externe : 1 200 – 2 000 € HT/jour

Les structures soumises au secret et manipulant des données sensibles sont les premières concernées par l’externalisation : c’est le cas des cabinets d’avocats, mais aussi des petites communes, qui recourent massivement au DPO mutualisé prévu pour les collectivités.

Les coûts cachés à intégrer

  • Mise en conformité initiale : le forfait de « run » suppose une base saine. Un audit initial + registre + politiques se facture 3 000 à 15 000 € en one-shot selon la taille — voir notre analyse du coût complet de la conformité RGPD.
  • Hors forfait : AIPD complexes, gestion de violation, accompagnement lors d’un contrôle CNIL sont souvent facturés en sus (comptez 2 à 8 jours par événement).
  • Outillage : registre, gestion des demandes, documentation. Certains prestataires refacturent une licence logicielle ; d’autres travaillent sur l’outil du client. Un logiciel comme Legiscope, qui automatise registres, AIPD et documentation, réduit mécaniquement le nombre de jours facturés par le DPO externe — c’est le premier levier de négociation du forfait.

DPO interne vs DPO externalisé : le vrai comparatif

Critère DPO interne DPO externalisé
Coût annuel 70 000 – 120 000 € chargés 5 000 – 30 000 € (PME)
Connaissance du métier de l’entreprise Forte À construire (audit initial)
Expertise juridique et technique à jour Variable, dépend de la formation continue Mutualisée sur des dizaines de clients
Disponibilité Permanente Contractuelle (SLA à négocier)
Indépendance (article 38(3)) Risque de conflit d’intérêts si double casquette Structurellement plus simple
Risque de départ Réel (marché tendu) Continuité assurée par le cabinet

Le point d’équilibre économique se situe autour de 40 à 60 jours de besoin annuel : en dessous, l’externalisation gagne presque toujours ; au-dessus, l’interne (éventuellement appuyé d’un logiciel et d’un conseil ponctuel) devient rationnel. Beaucoup d’ETI adoptent un modèle hybride : référent interne + DPO externe désigné, ou DPO interne + prestataire pour les pics (AIPD, violations).

Attention au conflit d’intérêts pour l’interne : l’article 38(6) interdit que le DPO occupe des fonctions le conduisant à déterminer les finalités et moyens des traitements. La CNIL et les lignes directrices WP243 du G29 sur les DPO excluent en pratique DSI, directeur marketing, DRH ou dirigeant. C’est l’argument structurel le plus fort en faveur de l’externalisation dans les PME — sur la distinction avec d’autres fonctions, voir DPO vs compliance officer.

Comment choisir son DPO externalisé : 7 critères

  1. Compétence vérifiable (article 37(5)) : formation juridique ET compréhension technique ; certifications (certification DPO CNIL, CIPP/E) ; références dans votre secteur.
  2. Capacité réelle : demandez le ratio clients/consultant. Un consultant qui « gère » 80 clients ne gère rien.
  3. SLA écrits : délai de réponse en cas de violation (vous avez 72 h pour notifier la CNIL), joignabilité, suppléance pendant les congés.
  4. Livrables inclus : registre à jour, rapport annuel, plan d’action priorisé — exigez des exemples anonymisés.
  5. Outillage : sur quel logiciel travaille-t-il, et gardez-vous la main sur vos données si vous changez de prestataire ? La réversibilité doit être contractuelle.
  6. Assurance RC professionnelle couvrant l’activité de DPO.
  7. Indépendance : le DPO externe ne doit pas être aussi votre prestataire informatique ou votre agence marketing — le conflit d’intérêts de l’article 38(6) s’applique à lui aussi.

Formalités : le DPO externe est désigné auprès de la CNIL via le téléservice de désignation, et ses coordonnées publiées (article 37(7)). La désignation peut viser une personne morale (cabinet), avec un point de contact identifié.

Erreurs courantes

  • Acheter un forfait sans audit initial : le prestataire découvre l’ampleur du chantier au mois 3 et tout passe en hors-forfait.
  • Confondre DPO externalisé et « conformité externalisée » : le DPO conseille et contrôle (article 39), il ne se substitue pas au responsable de traitement, qui reste seul responsable (article 24). Un DPO externe ne vous « rend » pas conforme.
  • Choisir au prix plancher : un forfait à 200 €/mois finance environ une heure de travail mensuelle. C’est une désignation de façade — que la CNIL requalifie en manquement à l’article 38(2) (ressources insuffisantes).
  • Négliger la clause de réversibilité : registre, AIPD et historiques doivent vous être restitués dans un format exploitable.
  • Oublier d’associer le DPO aux nouveaux projets : l’article 38(1) impose son association « d’une manière appropriée et en temps utile » — externe ou pas.

FAQ

Un DPO externalisé est-il accepté par la CNIL ?

Oui, expressément : l’article 37(6) du RGPD prévoit le DPO « sur la base d’un contrat de service ». Des milliers de désignations CNIL visent des cabinets ou consultants externes. Les exigences (compétence, ressources, indépendance, absence de conflit d’intérêts) sont identiques à celles d’un interne.

Quel budget annuel prévoir pour une PME de 50 salariés ?

Ordre de grandeur : 8 000 à 18 000 € HT/an en rythme de croisière (forfait 700-1 500 €/mois), plus 3 000 à 10 000 € la première année pour la mise à niveau initiale si le socle (registre, politiques, procédures) n’existe pas.

Le DPO mutualisé, c’est quoi ?

Un DPO partagé entre plusieurs entités — d’un même groupe (article 37(2)) ou de plusieurs organisations clientes d’un cabinet. C’est le modèle économique qui permet les forfaits PME : vous achetez une fraction d’un expert senior au lieu d’un junior à temps plein.

Peut-on désigner son expert-comptable ou son prestataire IT comme DPO ?

Fortement déconseillé : le prestataire IT détermine souvent les moyens des traitements qu’il devrait contrôler (conflit d’intérêts, article 38(6)), et l’expert-comptable n’a généralement ni la compétence spécialisée ni la disponibilité. La CNIL vérifie la réalité de la fonction, pas la ligne sur l’organigramme.

Conclusion

Le marché 2026 est mature : 400-2 500 €/mois en forfait PME, 600-1 200 € le jour en régie, point de bascule vers l’interne autour de 40-60 jours/an. Le bon achat n’est pas le moins cher mais le mieux calibré : audit initial séparé, SLA violation, livrables définis, réversibilité des données. Et souvenez-vous que le DPO — interne ou externe — conseille : la conformité elle-même reste votre obligation d’accountability.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →