Ir al contenido

DPO Interne vs DPO Externe : le cas en faveur de l'externe est plus solide que la plupart des entreprises ne le réalisent

Comparaison complète entre un Délégué à la Protection des Données interne et un DPO externe en 2026 : coûts réels, inscription AEPD, règles sur les conflits d'intérêts et le modèle hybride.

DPO Interne

Avantages

  • Connaissance approfondie de l'entreprise dès le premier jour : le DPO interne comprend les systèmes, les flux de données et la culture organisationnelle sans période d'intégration
  • Disponibilité immédiate : répond aux incidents et aux demandes ponctuelles sans délais de coordination ni protocoles avec des tiers
  • Intégration naturelle dans l'équipe : participe aux réunions produit, IT et RH sans friction, facilitant un véritable privacy by design
  • Présence physique lors des audits et inspections de l'AEPD : peut accompagner l'équipe dirigeante lors des visites de l'autorité de contrôle sans coût supplémentaire
  • Mémoire institutionnelle accumulée : constitue un dossier organisationnel des décisions de traitement des données, des incidents passés et de l'historique de conformité

Inconvénients

  • Coût total de 50 000-70 000 EUR par an (salaire brut + charges patronales + formation spécialisée RGPD)
  • Portée réglementaire limitée : un DPO interne détient rarement la même profondeur sur le RGPD, la LOPDGDD espagnole, NIS2 et les réglementations sectorielles spécifiques (santé, services financiers, RH)
  • Point de défaillance unique : la démission, l'arrêt maladie ou le licenciement du DPO crée une lacune critique précisément lorsque l'entreprise est la plus exposée
  • Risque de conflit d'intérêts structurel : le DPO ne peut pas superviser les activités de traitement dont il est également responsable — dans les PME, cela se produit dès que le DPO est aussi le Directeur IT ou le Directeur Juridique
  • Les coûts de mise à jour réglementaire incombent entièrement à l'employeur : suivre les lignes directrices du CEPD, les décisions de l'AEPD et les règles de transferts internationaux est un investissement continu que l'entreprise doit financer

DPO Externe

Avantages

  • Coût de 500-1 500 EUR par mois selon le volume et la complexité — équivalant à 15-30 % du coût d'un DPO interne
  • Équipe spécialisée derrière un interlocuteur unique : le client accède à des experts en RGPD, LOPDGDD, NIS2, protection des données RH et transferts internationaux sans coût supplémentaire par spécialité
  • Inscription AEPD DPO incluse : le cabinet gère la communication et la maintenance continue du registre auprès de l'autorité de contrôle
  • Pas de conflit d'intérêts structurel : l'indépendance du DPO externe est garantie par contrat — il ne peut pas être mis sous pression par le PDG ou le conseil
  • Mises à jour réglementaires permanentes intégrées : les décisions de l'AEPD, les lignes directrices du CEPD et les modifications législatives sont immédiatement incorporées dans le service
  • Service évolutif : s'adapte à la croissance de l'entreprise sans processus de recrutement, d'intégration ou de formation initiale

Inconvénients

  • La connaissance de l'entreprise prend du temps à se construire : nécessite une véritable période d'intégration de 1 à 3 mois avant que le DPO externe ait la profondeur d'un homologue interne
  • Attention partagée entre les clients : le DPO externe gère plusieurs clients simultanément — la dédicace par client est partielle, pas exclusive
  • Délais de réponse variables pour les incidents critiques : selon le SLA contractuel, les délais de réponse peuvent être de quelques heures plutôt que quelques minutes
  • Dépendance au prestataire : changer de cabinet nécessite un transfert de documentation, une nouvelle inscription auprès de l'AEPD et une nouvelle courbe d'apprentissage

Notre avis

Le DPO externe est le choix optimal pour les entreprises de moins de 500 salariés. Un DPO interne ne se justifie que dans les grandes entreprises avec des opérations massives de traitement des données, plusieurs responsables du traitement et des données de catégories particulières nécessitant une présence permanente sur site. Pour la grande majorité des entreprises espagnoles, la bonne pratique émergente est le modèle hybride — un DPO externe combiné à un Privacy Champion interne (un référent IT ou Juridique sans la responsabilité formelle de DPO) — qui offre indépendance, profondeur technique et connaissance de l'entreprise à un coût qui a un sens commercial évident.

La décision que la plupart des entreprises prennent mal

Lorsque le RGPD oblige une entreprise à désigner un Délégué à la Protection des Données — ou lorsqu’une entreprise décide de le faire volontairement — la première question est presque toujours la même : interne ou externe ?

La réponse incorrecte la plus courante est « interne, parce qu’il connaîtrait mieux l’entreprise ». L’analyse correcte nécessite de prendre en compte le coût total, le risque de conflit d’intérêts et la profondeur technique requise dans un domaine réglementaire qui évolue rapidement.

Ce que fait réellement un DPO

Un DPO n’est pas un responsable de la cybersécurité ni un technicien informatique. Ses missions, définies à l’article 39 du RGPD, sont :

  • Informer et conseiller le responsable du traitement et le sous-traitant sur leurs obligations au titre du droit de la protection des données
  • Contrôler le respect du RGPD, des politiques internes et la formation du personnel
  • Conseiller sur les analyses d’impact relatives à la protection des données (AIPD) et en superviser la réalisation
  • Coopérer avec l’autorité de contrôle (l’AEPD en Espagne) et lui servir de point de contact
  • Répondre aux personnes concernées exerçant leurs droits (accès, rectification, effacement, portabilité)

Ce profil requiert une connaissance juridique approfondie du RGPD et de la LOPDGDD espagnole, une familiarité avec les technologies de l’information, des compétences en analyse des risques et la capacité de communiquer à tous les niveaux de l’organisation.

Comparaison des coûts 2026

PosteDPO InterneDPO Externe
Coût annuel de base45 000-55 000 EUR (salaire brut)8 000-18 000 EUR (honoraires annuels)
Charges patronales Sécurité Sociale14 000-18 000 EUR
Formation spécialisée RGPD2 000-4 000 EURIncluse
Outils de conformité1 000-3 000 EURInclus
Inscription AEPDGestion interne requiseIncluse
Assurance responsabilité professionnelleIncluse
Couverture congés/maladieAucuneIncluse (équipe)
Coût total estimé62 000-80 000 EUR/an8 000-18 000 EUR/an

Le différentiel annuel de 45 000-65 000 EUR est le chiffre qu’il faut mettre sur la table avant de prendre cette décision. Pour une entreprise de 50 à 500 salariés, ce différentiel finance un programme complet de privacy by design, la formation des collaborateurs et la gestion des incidents pendant plusieurs années.

Le conflit d’intérêts : l’argument juridique définitif

L’article 38.6 du RGPD dispose que le DPO peut exercer d’autres missions et tâches, mais le responsable du traitement doit veiller à ce qu’elles n’entraînent pas de conflit d’intérêts. Le CEPD a précisé qu’un conflit existe lorsque le DPO détermine les finalités et les moyens du traitement qu’il doit superviser.

Cela disqualifie effectivement :

  • Le Directeur IT qui prend des décisions sur les systèmes d’information et les traitements automatisés
  • Le Directeur Juridique qui participe à la définition des politiques de données et des contrats de sous-traitance
  • Le DRH qui gère les traitements les plus sensibles des données des salariés
  • Le PDG ou le DAF pour des raisons évidentes de hiérarchie sur l’ensemble du personnel

Dans les petites et moyennes entreprises où les rôles se recoupent, trouver un salarié sans conflit d’intérêts pour le poste de DPO est réellement difficile. Le DPO externe résout cela structurellement.

Quand un DPO interne se justifie

Un DPO interne est justifié lorsqu’au moins trois de ces conditions s’appliquent :

  • L’entreprise compte plus de 500 salariés avec un accès régulier aux données personnelles
  • Le volume de demandes d’exercice des droits des personnes concernées dépasse 50 par mois
  • L’entreprise opère dans un secteur avec une réglementation sectorielle très spécifique (banque, assurance, santé) nécessitant une présence quotidienne sur site
  • Il existe plusieurs responsables du traitement au sein d’un groupe d’entreprises nécessitant une coordination permanente
  • L’entreprise a subi des violations de données récurrentes ou fait l’objet d’une supervision renforcée de l’AEPD

Pour toutes les autres entreprises — la grande majorité du tissu économique espagnol — le DPO externe offre une couverture technique supérieure, une indépendance garantie et un coût substantiellement inférieur.

Le modèle hybride : Privacy Champion + DPO externe

La pratique la plus avancée dans les entreprises de taille intermédiaire est le modèle hybride :

DPO Externe (cabinet spécialisé) :

  • Responsabilité juridique de la conformité RGPD
  • Inscription et maintenance auprès de l’AEPD
  • Gestion des demandes complexes d’exercice des droits
  • AIPD pour les nouvelles activités de traitement
  • Notifications de violations de données à l’AEPD
  • Interface avec l’AEPD lors des inspections

Privacy Champion Interne (salarié IT, Juridique ou RH) :

  • Point de contact quotidien pour les demandes des équipes
  • Première réponse aux demandes d’exercice des droits
  • Coordination du registre des activités de traitement
  • S’assure que les nouveaux projets passent le contrôle vie privée avant le lancement

Ce modèle combine la disponibilité immédiate d’un salarié interne avec l’indépendance, la profondeur technique et la couverture en responsabilité d’une équipe spécialisée externe.

FAQ

Questions fréquentes

L'article 37 du RGPD établit trois scénarios obligatoires : lorsque le traitement est effectué par une autorité ou un organisme public ; lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, par leur nature, leur portée et/ou leurs finalités, exigent un suivi régulier et systématique des personnes concernées à grande échelle ; ou lorsque les activités de base consistent en un traitement à grande échelle de catégories particulières de données (santé, biométriques, idéologie, religion) ou de données relatives à des condamnations pénales. En pratique, cela concerne les hôpitaux, les assureurs, les institutions financières, les sociétés de marketing numérique avec profilage des utilisateurs et toute entreprise qui traite systématiquement des données de santé ou biométriques. L'AEPD recommande également une désignation volontaire pour les responsables du traitement qui, bien que non légalement tenus, traitent des données à une échelle comportant des risques significatifs.
Un DPO interne de niveau intermédiaire en Espagne a un salaire brut de 45 000-55 000 EUR. À cela s'ajoutent les charges patronales (environ 15 000-18 000 EUR), la formation spécialisée RGPD (2 000-4 000 EUR par an) et les outils de gestion de la conformité (1 000-3 000 EUR par an). Le coût effectif total est d'environ 63 000-80 000 EUR par an. Un service de DPO externe de qualité pour une entreprise de taille intermédiaire coûte 8 000-18 000 EUR par an (660-1 500 EUR par mois). Le différentiel annuel est de 45 000-70 000 EUR — suffisant pour financer l'ensemble du programme de conformité au traitement des données de l'entreprise pendant plusieurs années.
La LOPDGDD espagnole (article 34) exige que la désignation du DPO soit communiquée à l'AEPD dans un délai de dix jours suivant la nomination. La communication est effectuée via le registre électronique de l'AEPD et comprend les coordonnées du DPO, si le rôle est interne ou externe, les coordonnées pour les personnes concernées et le périmètre territorial. Les modifications doivent être notifiées : la radiation de l'ancien DPO et la nouvelle nomination. L'inscription est gratuite et ne nécessite pas d'approbation de l'AEPD — c'est une notification, pas une autorisation. L'absence d'inscription peut entraîner une sanction.
Ils peuvent être formellement désignés, mais le RGPD exige que le DPO ne reçoive pas d'instructions concernant l'exercice de ses missions et ne soit pas relevé de ses fonctions ou pénalisé pour les avoir exercées (article 38.3). Le CEPD a précisé qu'un conflit d'intérêts existe lorsque le DPO doit superviser des activités de traitement dont il est responsable. Un Directeur IT qui prend des décisions concernant les systèmes d'information ne peut pas être le DPO qui supervise si ces systèmes respectent le RGPD. Un Directeur Juridique qui participe à la définition des politiques de données et des contrats de sous-traitance ne peut pas être le DPO qui valide ces politiques. Le conflit d'intérêts est l'un des fondements de sanction les plus fréquents lors des inspections de l'AEPD.
Le Privacy Champion (ou référent interne à la protection des données) est un modèle organisationnel non défini dans le RGPD mais largement recommandé par les cabinets de conformité comme complément au DPO externe. C'est un salarié interne — généralement issu de l'IT, du Juridique ou des RH — qui agit comme intermédiaire du DPO externe au sein de l'entreprise : collecte les demandes des équipes, fait remonter les incidents, coordonne la documentation du registre des activités de traitement et s'assure que les nouveaux projets passent par le DPO externe avant leur lancement. Il ne détient pas la responsabilité juridique du DPO mais sert de pont. Ce modèle résout la principale critique du DPO externe (délai de réponse) sans le coût d'un DPO interne à temps plein.

Service associé

data-protection →

Demandez une consultation personnalisée

Nos experts sont prêts à analyser votre situation et vous proposer des solutions sur mesure.

Consultation gratuite
Appeler Contact