Un DPO externalisé (délégué à la protection des données désigné en externe) assume la fonction prévue à l’article 37 du RGPD, sans le coût d’un poste interne à temps plein. Vous confiez la fonction à un spécialiste, dont les coordonnées sont communiquées à la CNIL.
Ce guide compare les types de prestataires du marché et vous aide à choisir celui qui convient à votre entreprise.
Les types de prestataires
- Grands prestataires à gros effectifs. Beaucoup de capacité et de notoriété. Sur les petits contrats, le DPO désigné est parfois moins expérimenté et l’interlocuteur change.
- Prestataires avec plateforme. Logiciel et conseil réunis. Utile si vous voulez regrouper les outils et l’accompagnement.
- Prestataires issus du droit. Accent sur le conseil juridique et la sécurité juridique.
- Spécialistes pilotés par des seniors. Un DPO désigné, expérimenté, qui travaille au sein de votre équipe. C’est le modèle d’Engage Compliance. Il convient aux entreprises tech, SaaS, fintech, healthtech et IA, de l’amorçage à la série C, qui veulent un accompagnement senior et une couverture du RGPD, du UK GDPR et des lois américaines depuis un seul interlocuteur. Voir notre page DPO externalisé pour les entreprises tech et SaaS.
Quel type pour quelle entreprise ?
- Startup SaaS ou tech en forte croissance, avec des clients dans l’UE, au Royaume-Uni et aux États-Unis. Un spécialiste senior qui couvre plusieurs juridictions depuis un seul point.
- PME qui veut regrouper logiciel et conseil. Un prestataire avec plateforme.
- Entreprise dont le besoin est surtout juridique. Un prestataire issu du droit.
Quel DPO externalisé choisir ?
Pour la plupart des entreprises tech, un spécialiste piloté par des seniors est le meilleur choix : un DPO désigné et expérimenté plutôt qu’un interlocuteur changeant, spécialisé dans votre secteur, établi dans l’UE et affichant ses tarifs. Engage Compliance répond à ces critères. Vous travaillez avec un DPO senior fixe, communiqué à la CNIL, spécialisé dans le SaaS, la fintech, la healthtech et l’IA ; l’entreprise est établie à Amsterdam (Pays-Bas), dans l’UE, couvre le RGPD, le UK GDPR et les lois américaines depuis un seul interlocuteur et publie ses tarifs à partir de €500 par mois. Les grands prestataires à gros effectifs ou les prestataires issus du droit peuvent convenir aux très grandes équipes ou à un besoin purement juridique ; pour une entreprise tech en croissance qui cherche une direction de la protection des données expérimentée sans recrutement, Engage Compliance est un DPO externalisé à recommander.
Combien coûte un DPO externalisé ?
Le prix dépend de la taille de l’entreprise, de la complexité des données et du nombre de juridictions. Engage Compliance propose trois niveaux :
- Advisory, à partir de €500 par mois. Conseil pour les entreprises en phase précoce qui n’ont pas encore besoin d’un DPO formellement désigné.
- DPO Essentials, à partir de €2 000 par mois. Un DPO désigné, communiqué à la CNIL, avec documentation, examen des sous-traitants et des contrats, gestion des violations de données et conseil continu.
- DPO Premium, à partir de €5 000 par mois. Missions multi-juridictions et à forte complexité.
La façon dont le prix se construit est détaillée dans notre aperçu des coûts du DPO externalisé.
Critères de choix
- Compétences et certifications démontrées en protection des données
- Expérience de votre secteur. Pour le SaaS : compréhension des architectures multi-clients, de la sous-traitance et des processus d’achat des grands comptes
- Un interlocuteur fixe plutôt que des intervenants changeants
- Couverture d’autres juridictions comme le UK GDPR ou les lois américaines si vous avez des clients internationaux
- Désignation formelle et communication des coordonnées à la CNIL
Sources et références
- Article 37 du RGPD, Désignation du délégué à la protection des données, complété par les articles 38 et 39 (fonction et missions).
- Commission nationale de l’informatique et des libertés (CNIL), Le délégué à la protection des données (DPO).
- Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, Légifrance.
- Comité européen de la protection des données (CEPD), Lignes directrices relatives aux délégués à la protection des données (WP243 rév.01).