Un DPO externalisé coûte entre 400 et 2 500 € HT par mois en forfait pour une PME, ou entre 600 et 1 200 € HT la journée en régie, selon la complexité des traitements et le profil du prestataire. Un DPO interne à temps plein coûte 55 000 à 90 000 € brut annuels, soit 70 000 à 120 000 € chargés. Voici les chiffres détaillés, les modèles de facturation et la méthode pour choisir — sans le discours commercial des cabinets.
Rappel du cadre : l’article 37(1) du RGPD impose la désignation d’un DPO dans trois cas — autorité ou organisme public, suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles. L’article 37(6) autorise expressément le DPO externe, « sur la base d’un contrat de service ». Hors cas obligatoires, la désignation volontaire reste possible mais emporte l’application de l’intégralité du statut. Sur les missions, voir notre guide des missions du DPO.
Les tarifs réels du marché en 2026
Facturation au forfait mensuel (le standard PME)
| Profil d’organisation | Forfait mensuel HT | Ce qui est inclus |
|---|---|---|
| TPE, traitements simples (site, clients, RH) | 400 – 700 € | 0,5 à 1 jour/mois, hotline, registre, veille |
| PME 20-100 salariés, B2C ou données RH volumineuses | 700 – 1 500 € | 1 à 2 jours/mois, AIPD ponctuelles, gestion des demandes de droits |
| PME/ETI avec données sensibles (santé, mineurs, scoring) | 1 500 – 2 500 € | 2 à 4 jours/mois, AIPD, violations, contacts CNIL |
| ETI multi-entités / international | 2 500 – 6 000 € | Équipe dédiée, comitologie, transferts hors UE |
Facturation en régie (TJM)
- Juriste protection des données junior/confirmé : 600 – 800 € HT/jour
- DPO senior certifié (CIPP/E, certification CNIL) : 800 – 1 200 € HT/jour
- Avocat spécialisé intervenant comme DPO externe : 1 200 – 2 000 € HT/jour
Les structures soumises au secret et manipulant des données sensibles sont les premières concernées par l’externalisation : c’est le cas des cabinets d’avocats, mais aussi des petites communes, qui recourent massivement au DPO mutualisé prévu pour les collectivités.
Les coûts cachés à intégrer
- Mise en conformité initiale : le forfait de « run » suppose une base saine. Un audit initial + registre + politiques se facture 3 000 à 15 000 € en one-shot selon la taille — voir notre analyse du coût complet de la conformité RGPD.
- Hors forfait : AIPD complexes, gestion de violation, accompagnement lors d’un contrôle CNIL sont souvent facturés en sus (comptez 2 à 8 jours par événement).
- Outillage : registre, gestion des demandes, documentation. Certains prestataires refacturent une licence logicielle ; d’autres travaillent sur l’outil du client. Un logiciel comme Legiscope, qui automatise registres, AIPD et documentation, réduit mécaniquement le nombre de jours facturés par le DPO externe — c’est le premier levier de négociation du forfait.
DPO interne vs DPO externalisé : le vrai comparatif
| Critère | DPO interne | DPO externalisé |
|---|---|---|
| Coût annuel | 70 000 – 120 000 € chargés | 5 000 – 30 000 € (PME) |
| Connaissance du métier de l’entreprise | Forte | À construire (audit initial) |
| Expertise juridique et technique à jour | Variable, dépend de la formation continue | Mutualisée sur des dizaines de clients |
| Disponibilité | Permanente | Contractuelle (SLA à négocier) |
| Indépendance (article 38(3)) | Risque de conflit d’intérêts si double casquette | Structurellement plus simple |
| Risque de départ | Réel (marché tendu) | Continuité assurée par le cabinet |
Le point d’équilibre économique se situe autour de 40 à 60 jours de besoin annuel : en dessous, l’externalisation gagne presque toujours ; au-dessus, l’interne (éventuellement appuyé d’un logiciel et d’un conseil ponctuel) devient rationnel. Beaucoup d’ETI adoptent un modèle hybride : référent interne + DPO externe désigné, ou DPO interne + prestataire pour les pics (AIPD, violations).
Attention au conflit d’intérêts pour l’interne : l’article 38(6) interdit que le DPO occupe des fonctions le conduisant à déterminer les finalités et moyens des traitements. La CNIL et les lignes directrices WP243 du G29 sur les DPO excluent en pratique DSI, directeur marketing, DRH ou dirigeant. C’est l’argument structurel le plus fort en faveur de l’externalisation dans les PME — sur la distinction avec d’autres fonctions, voir DPO vs compliance officer.
Comment choisir son DPO externalisé : 7 critères
- Compétence vérifiable (article 37(5)) : formation juridique ET compréhension technique ; certifications (certification DPO CNIL, CIPP/E) ; références dans votre secteur.
- Capacité réelle : demandez le ratio clients/consultant. Un consultant qui « gère » 80 clients ne gère rien.
- SLA écrits : délai de réponse en cas de violation (vous avez 72 h pour notifier la CNIL), joignabilité, suppléance pendant les congés.
- Livrables inclus : registre à jour, rapport annuel, plan d’action priorisé — exigez des exemples anonymisés.
- Outillage : sur quel logiciel travaille-t-il, et gardez-vous la main sur vos données si vous changez de prestataire ? La réversibilité doit être contractuelle.
- Assurance RC professionnelle couvrant l’activité de DPO.
- Indépendance : le DPO externe ne doit pas être aussi votre prestataire informatique ou votre agence marketing — le conflit d’intérêts de l’article 38(6) s’applique à lui aussi.
Formalités : le DPO externe est désigné auprès de la CNIL via le téléservice de désignation, et ses coordonnées publiées (article 37(7)). La désignation peut viser une personne morale (cabinet), avec un point de contact identifié.
Erreurs courantes
- Acheter un forfait sans audit initial : le prestataire découvre l’ampleur du chantier au mois 3 et tout passe en hors-forfait.
- Confondre DPO externalisé et « conformité externalisée » : le DPO conseille et contrôle (article 39), il ne se substitue pas au responsable de traitement, qui reste seul responsable (article 24). Un DPO externe ne vous « rend » pas conforme.
- Choisir au prix plancher : un forfait à 200 €/mois finance environ une heure de travail mensuelle. C’est une désignation de façade — que la CNIL requalifie en manquement à l’article 38(2) (ressources insuffisantes).
- Négliger la clause de réversibilité : registre, AIPD et historiques doivent vous être restitués dans un format exploitable.
- Oublier d’associer le DPO aux nouveaux projets : l’article 38(1) impose son association « d’une manière appropriée et en temps utile » — externe ou pas.
FAQ
Un DPO externalisé est-il accepté par la CNIL ?
Oui, expressément : l’article 37(6) du RGPD prévoit le DPO « sur la base d’un contrat de service ». Des milliers de désignations CNIL visent des cabinets ou consultants externes. Les exigences (compétence, ressources, indépendance, absence de conflit d’intérêts) sont identiques à celles d’un interne.
Quel budget annuel prévoir pour une PME de 50 salariés ?
Ordre de grandeur : 8 000 à 18 000 € HT/an en rythme de croisière (forfait 700-1 500 €/mois), plus 3 000 à 10 000 € la première année pour la mise à niveau initiale si le socle (registre, politiques, procédures) n’existe pas.
Le DPO mutualisé, c’est quoi ?
Un DPO partagé entre plusieurs entités — d’un même groupe (article 37(2)) ou de plusieurs organisations clientes d’un cabinet. C’est le modèle économique qui permet les forfaits PME : vous achetez une fraction d’un expert senior au lieu d’un junior à temps plein.
Peut-on désigner son expert-comptable ou son prestataire IT comme DPO ?
Fortement déconseillé : le prestataire IT détermine souvent les moyens des traitements qu’il devrait contrôler (conflit d’intérêts, article 38(6)), et l’expert-comptable n’a généralement ni la compétence spécialisée ni la disponibilité. La CNIL vérifie la réalité de la fonction, pas la ligne sur l’organigramme.
Conclusion
Le marché 2026 est mature : 400-2 500 €/mois en forfait PME, 600-1 200 € le jour en régie, point de bascule vers l’interne autour de 40-60 jours/an. Le bon achat n’est pas le moins cher mais le mieux calibré : audit initial séparé, SLA violation, livrables définis, réversibilité des données. Et souvenez-vous que le DPO — interne ou externe — conseille : la conformité elle-même reste votre obligation d’accountability.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial