Depuis l’entrée en vigueur du RGPD en mai 2018, la désignation d’un Délégué à la Protection des Données (DPO) est devenue une obligation pour de nombreux organismes. Pourtant, près de huit ans plus tard, une question fondamentale continue de diviser les décideurs : faut-il nommer un DPO interne ou faire appel à un DPO externe ?
En 2026, cette question se pose avec une acuité renouvelée. L’entrée en vigueur progressive du Règlement européen sur l’Intelligence Artificielle (AI Act), le durcissement des contrôles de la CNIL et l’augmentation spectaculaire des sanctions financières transforment profondément le paysage de la conformité. Le choix entre DPO interne vs DPO externe n’est plus une simple question d’organisation : c’est une décision stratégique qui impacte directement votre niveau de protection juridique, votre capacité d’adaptation réglementaire et votre budget.
Cet article vous propose un comparatif détaillé, objectif et actualisé pour 2026, afin de vous aider à déterminer le modèle le plus adapté à votre organisation.
Rappel : qu’est-ce qu’un DPO et qui doit en désigner un ?
Le rôle du DPO selon le RGPD
Le Délégué à la Protection des Données est le garant de la conformité de l’organisme au RGPD. Ses missions, définies aux articles 37 à 39 du règlement, incluent l’information et le conseil du responsable de traitement, le contrôle du respect du règlement, la coopération avec l’autorité de contrôle et le rôle de point de contact pour les personnes concernées.
Il est essentiel de comprendre que le DPO n’est pas responsable de la conformité en elle-même. Cette responsabilité incombe au responsable de traitement. Le DPO est un conseiller, un auditeur et un facilitateur, qu’il soit interne ou externe.
Qui est concerné par l’obligation ?
La désignation d’un DPO est obligatoire dans trois cas : lorsque le traitement est effectué par une autorité ou un organisme public, lorsque les activités de base exigent un suivi régulier et systématique des personnes à grande échelle, ou lorsque les activités de base consistent en un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales.
En pratique, cela concerne les collectivités territoriales, les établissements de santé, les services de prévention et de santé au travail (SPST), les comités sociaux et économiques (CSE), les établissements scolaires, les grandes entreprises du numérique et de nombreux autres organismes.
| À noter : Même en l’absence d’obligation légale, la CNIL recommande fortement la désignation d’un DPO pour tout organisme traitant des données personnelles de manière significative. En 2026, cette recommandation prend une dimension particulière avec l’arrivée de l’AI Act. |
DPO interne : définition, avantages et limites
Qu’est-ce qu’un DPO interne ?
Le DPO interne est un salarié de l’organisme qui se voit confier la mission de Délégué à la Protection des Données, en complément ou non de ses autres fonctions. Il peut s’agir d’un juriste, d’un responsable informatique, d’un responsable qualité ou de tout collaborateur disposant des compétences requises.
Les avantages du DPO interne
Connaissance approfondie de l’organisme
Le DPO interne connaît parfaitement la culture de l’entreprise, ses processus métier, ses outils informatiques et son organigramme. Cette proximité facilite l’identification des traitements de données et la compréhension des enjeux opérationnels.
Disponibilité immédiate
Présent dans les locaux, le DPO interne est facilement joignable au quotidien. Il peut être sollicité rapidement lors de réunions, de projets ou en cas d’incident.
Intégration dans les projets
Sa présence physique et sa participation aux instances internes lui permettent d’être associé en amont des projets, conformément au principe de privacy by design.
Les limites du DPO interne
Le risque de conflit d’intérêts
C’est le talon d’Achille du DPO interne. Le RGPD (article 38.6) autorise le DPO à exercer d’autres fonctions, mais interdit tout conflit d’intérêts. En pratique, un responsable informatique désigné DPO se retrouve à contrôler des décisions qu’il a lui-même prises. La CNIL a sanctionné à plusieurs reprises cette situation.
Un temps insuffisant dédié à la mission
Dans la majorité des cas, le DPO interne exerce cette fonction en complément de son poste principal. Le temps réellement consacré à la protection des données est souvent insuffisant pour couvrir l’ensemble des obligations : registre des traitements, analyses d’impact, sensibilisation, gestion des demandes de droits, veille réglementaire…
Le déficit de compétences spécialisées
La fonction de DPO exige des compétences juridiques, techniques et organisationnelles de haut niveau. En 2026, avec l’AI Act, la directive NIS 2 et les évolutions constantes des lignes directrices du CEPD, le niveau d’expertise requis s’est considérablement élevé. Former et maintenir à jour un collaborateur interne représente un investissement significatif.
La vulnérabilité aux pressions hiérarchiques
Malgré la protection légale dont bénéficie le DPO (article 38.3 du RGPD), un salarié peut difficilement s’opposer à sa direction avec la même liberté qu’un prestataire externe. Les pressions implicites, la crainte pour son évolution de carrière ou simplement le souci de ne pas créer de tensions peuvent compromettre son indépendance.
Qui ne peut pas être DPO en interne
Dans une entreprise, le délégué à la protection des données ne peut pas être désigné parmi les personnes qui déterminent les finalités et les moyens des traitements ou qui se trouvent en situation de conflit d’intérêts.
Le principe est posé par l’article 38 §6 du Règlement général sur la protection des données : le DPO peut exercer d’autres fonctions, à condition qu’elles n’entraînent pas de conflit d’intérêts. La doctrine de la CNIL et du Comité européen de la protection des données précise que toute fonction impliquant une décision sur les finalités ou les moyens d’un traitement est incompatible.
En pratique, ne peuvent pas être DPO dans leur propre entreprise :
- Le dirigeant, président, gérant ou directeur général.
- Le directeur des systèmes d’information.
- Le responsable informatique ou RSSI lorsqu’il définit l’architecture et les outils.
- Le directeur des ressources humaines.
- Le directeur marketing ou commercial.
- Le directeur financier.Plus généralement, tout membre du comité de direction qui décide des traitements.
La logique est simple. Le DPO doit contrôler la conformité. On ne peut pas contrôler ses propres décisions.
En revanche, peuvent être désignés, sous réserve d’indépendance réelle :
- Un juriste sans pouvoir décisionnel sur les traitements.
- Un responsable conformité.
- Un collaborateur formé spécifiquement, placé hiérarchiquem
DPO externe : définition, avantages et limites
Qu’est-ce qu’un DPO externe ?
Le DPO externe est un professionnel indépendant ou un cabinet spécialisé qui exerce la fonction de Délégué à la Protection des Données pour le compte de l’organisme, dans le cadre d’un contrat de prestation de services. Il est désigné auprès de la CNIL exactement de la même manière qu’un DPO interne et dispose des mêmes prérogatives légales.
3.2 Les avantages du DPO externe
Une expertise spécialisée et actualisée
Le DPO externe est un professionnel dont la protection des données constitue le cœur de métier. Sa pratique quotidienne auprès de multiples organismes lui confère une expertise transversale et une connaissance approfondie de la réglementation. En 2026, cette expertise s’étend naturellement à l’AI Act, au Digital Omnibus et aux dernières délibérations de la CNIL.
Une indépendance renforcée
N’étant pas lié par un contrat de travail, le DPO externe dispose d’une liberté de parole totale. Il peut alerter sur les non-conformités sans craindre de conséquences sur sa carrière. Cette indépendance est un gage de crédibilité vis-à-vis de la CNIL en cas de contrôle.
Un coût maîtrisé et prévisible
Le DPO externe intervient dans le cadre d’un forfait annuel ou d’un volume de jours défini contractuellement. Ce modèle permet à l’organisme de bénéficier d’un niveau d’expertise élevé sans supporter les coûts fixes d’un poste à temps plein (salaire, charges sociales, formation continue, outils).
Un effet d’expérience transversale
Le DPO externe accompagne simultanément plusieurs organismes, parfois dans le même secteur d’activité. Cette expérience lui permet de capitaliser sur les bonnes pratiques, d’anticiper les problématiques récurrentes et de proposer des solutions éprouvées.
3.3 Les limites du DPO externe
Une connaissance initiale limitée de l’organisme
Le DPO externe doit investir du temps pour comprendre les métiers, les processus et la culture de l’organisme. Cette période d’apprentissage initiale peut ralentir la mise en œuvre de certaines actions au démarrage de la mission.
Une disponibilité contractualisée
Le DPO externe n’est pas présent en permanence dans les locaux. Sa disponibilité est encadrée par le contrat de prestation. Toutefois, les DPO externes professionnels garantissent généralement une réactivité rapide, avec des temps de réponse définis pour les situations urgentes (violations de données, contrôle CNIL).
Le choix du bon prestataire
Le marché des DPO externes s’est considérablement développé depuis 2018. Tous les prestataires ne se valent pas. Il est crucial de vérifier les qualifications (certification, expérience), les références, la méthodologie de travail et les garanties contractuelles avant de s’engager.
Tableau comparatif : DPO interne vs DPO externe en 2026
Le tableau suivant synthétise les principales différences entre les deux modèles sur les critères les plus déterminants pour votre organisation.
| Critère | DPO interne | DPO externe |
| Coût annuel moyen | 45 000 à 75 000 € (salaire chargé + formation + outils) | 3 000 à 18 000 € selon le volume de la mission |
| Niveau d’expertise | Variable, dépend du profil et de la formation continue | Élevé, expertise spécialisée et actualisée en continu |
| Indépendance | Risque de conflit d’intérêts et de pressions hiérarchiques | Indépendance structurelle, liberté totale d’alerte |
| Disponibilité | Présence quotidienne, mais temps partiel sur la mission DPO | Disponibilité contractualisée, réactivité garantie pour les urgences |
| Connaissance de l’organisme | Approfondie dès le départ | Monte en puissance progressivement |
| Veille réglementaire | Souvent insuffisante, dépend du temps alloué | Intégrée à l’activité principale du prestataire |
| Gestion de crise (violation) | Peut manquer d’expérience pratique | Expérience multi-clients, méthodologie éprouvée |
| AI Act et nouvelles réglementations | Nécessite une formation spécifique supplémentaire | Compétence intégrée à l’offre de services |
| Flexibilité / scalabilité | Limitée au temps disponible du collaborateur | Ajustable selon les besoins (renfort ponctuel possible) |
| Rapport annuel d’activité | Rarement formalisé de manière structurée | Document professionnel remis annuellement |
L’analyse financière détaillée : quel coût réel en 2026 ?
Le coût complet du DPO interne
Pour évaluer le coût réel d’un DPO interne, il ne suffit pas de considérer le seul salaire. Le coût complet inclut le salaire brut chargé (même pour un temps partiel sur la mission, le salarié est rémunéré à temps plein), la formation initiale et continue (certifications, conférences, veille), les outils spécialisés (logiciel de conformité, registre, AIPD), le temps non productif sur les autres missions lorsque le collaborateur traite des sujets RGPD, et le coût d’opportunité lié à la mobilisation d’une ressource interne.
Pour une structure de taille moyenne, le coût annuel total d’un DPO interne (même à temps partiel sur la fonction) se situe généralement entre 45 000 et 75 000 €, charges et coûts indirects compris. Pour un poste dédié à temps plein, ce coût peut dépasser 90 000 € dans les grandes métropoles.
Le coût du DPO externe
Le DPO externe propose généralement un forfait annuel adapté à la taille et au secteur d’activité de l’organisme. Ce forfait couvre l’ensemble des missions du DPO : tenue du registre, accompagnement des AIPD, formation des équipes, veille réglementaire, gestion des incidents et production du rapport annuel d’activité.
En 2026, les tarifs moyens du marché se situent entre 3 000 et 18 000 € par an selon la complexité de l’organisme. Pour une collectivité de moins de 10 000 habitants, comptez entre 3 000 et 6 000 €. Pour un SPST ou un établissement de santé, le budget se situe davantage entre 8 000 et 15 000 €. Les grandes structures (plus de 500 salariés) se situent dans la fourchette haute, entre 12 000 et 18 000 €.
| Le chiffre clé : Pour une organisation de taille moyenne, le recours à un DPO externe représente en moyenne un économie de 60 à 80 % par rapport à un DPO interne, à niveau de service équivalent voire supérieur. |
Les nouveaux enjeux 2026 qui changent la donne
L’AI Act : un nouveau périmètre de compétences
L’entrée en vigueur progressive du Règlement européen sur l’Intelligence Artificielle ajoute une couche de complexité considérable à la mission du DPO. La CNIL a été désignée comme autorité compétente en France, ce qui rapproche naturellement les enjeux IA et protection des données.
Le DPO doit désormais être capable d’évaluer les risques liés aux systèmes d’IA utilisés par l’organisme, de vérifier la conformité des fournisseurs d’outils basés sur l’IA et d’accompagner la mise en conformité avec les nouvelles obligations de transparence. Cette montée en compétence représente un défi majeur pour les DPO internes, alors qu’elle s’intègre naturellement dans l’offre d’un DPO externe spécialisé.
Le durcissement des sanctions CNIL
L’année 2025 a marqué un tournant dans la politique répressive de la CNIL. Les sanctions se sont multipliées, avec des montants record atteignant plusieurs dizaines de millions d’euros pour les grands groupes et des amendes significatives pour les structures de taille plus modeste. Cette tendance se poursuit en 2026 et renforce l’exigence d’un DPO pleinement compétent et opérationnel.
Le Digital Omnibus et les évolutions législatives
La proposition Digital Omnibus de la Commission européenne, qui vise à simplifier et harmoniser certaines obligations du RGPD, du DSA et du DMA, introduit de nouvelles notions que le DPO devra maîtriser. L’évolution permanente du cadre réglementaire européen rend la veille juridique plus critique que jamais.
Quel modèle pour quel type d’organisation ?
Les organisations pour lesquelles le DPO externe est le plus pertinent
Le modèle du DPO externe est particulièrement adapté aux collectivités territoriales (communes, intercommunalités, CCAS), aux services de prévention et de santé au travail (SPST), aux PME et ETI ne disposant pas de compétences juridiques internes en protection des données, aux associations et fondations, aux comités sociaux et économiques (CSE), et aux établissements de santé de petite et moyenne taille.
Dans tous ces cas, le recours à un DPO externe permet de bénéficier d’une expertise de haut niveau sans les contraintes d’un recrutement spécialisé, tout en garantissant l’indépendance de la fonction.
Les organisations pour lesquelles le DPO interne peut se justifier
Le DPO interne reste pertinent pour les grandes entreprises (plus de 1 000 salariés) disposant d’un volume de traitements tel qu’un poste à temps plein est justifié, les groupes internationaux nécessitant une coordination quotidienne entre filiales, et les organismes dont l’activité principale repose sur le traitement massif de données (ad tech, santé numérique, fintech).
Même dans ces cas, le DPO interne gagne à être accompagné d’un conseil externe pour les sujets les plus complexes ou pour bénéficier d’un regard extérieur lors des audits.
Le modèle hybride : le meilleur des deux mondes ?
Certaines organisations optent pour un modèle hybride combinant un référent interne (point de contact opérationnel au quotidien, sans être formellement désigné DPO) et un DPO externe (garant de la conformité, expert réglementaire, indépendant). Ce modèle permet de conjuguer la proximité opérationnelle du référent interne avec l’expertise et l’indépendance du DPO externe.
Les critères de choix : 7 questions clés à vous poser
Pour déterminer le modèle le plus adapté à votre organisation, voici les sept questions essentielles à vous poser.
| N° | Question | Si la réponse penche vers… |
| 1 | Disposez-vous en interne d’un collaborateur qualifié et formé en protection des données ? | Non → DPO externe |
| 2 | Ce collaborateur peut-il exercer cette mission sans conflit d’intérêts ? | Non → DPO externe |
| 3 | Votre budget permet-il de financer un poste dédié ou un temps significatif sur la mission ? | Non → DPO externe |
| 4 | Votre volume de traitements justifie-t-il une présence quotidienne du DPO ? | Oui → DPO interne |
| 5 | Avez-vous besoin d’une expertise sur l’AI Act et les nouvelles réglementations ? | Oui → DPO externe |
| 6 | L’indépendance de votre DPO a-t-elle déjà été mise en doute ? | Oui → DPO externe |
| 7 | Souhaitez-vous un rapport d’activité structuré et un suivi formalisé ? | Oui → DPO externe |
| Notre recommandation : Si vous répondez « DPO externe » à trois questions ou plus, le recours à un prestataire extérieur est probablement la solution la plus adaptée à votre organisation. |
Comment bien choisir son DPO externe ?
Si votre analyse vous conduit vers le modèle du DPO externe, voici les critères essentiels à vérifier avant de vous engager.
Les qualifications et l’expérience
Vérifiez que le prestataire dispose d’une certification reconnue (par exemple la certification DPO de la CNIL ou d’un organisme accrédité), d’une expérience significative dans votre secteur d’activité, d’une pratique réelle et démontrable de la fonction de DPO (et non uniquement du conseil RGPD), et d’une connaissance à jour de l’AI Act et des nouvelles réglementations.
La méthodologie de travail
Un DPO externe professionnel doit proposer une méthodologie structurée incluant un audit initial de conformité, un plan d’actions priorisé, des outils de suivi (registre, AIPD, gestion des demandes de droits), un programme de sensibilisation adapté, une veille réglementaire partagée et un rapport annuel d’activité détaillé.
Les garanties contractuelles
Le contrat de prestation doit préciser clairement le périmètre de la mission, le volume d’intervention (en jours ou en forfait), les délais de réponse garanti, les conditions de réversibilité, l’assurance responsabilité civile professionnelle du prestataire et les clauses de confidentialité.
Conclusion : DPO interne vs DPO externe, que retenir en 2026 ?
Le débat DPO interne vs DPO externe ne se résume pas à une question de coût. C’est un choix stratégique qui doit prendre en compte la taille de votre organisation, la nature et le volume de vos traitements, votre capacité à garantir l’indépendance du DPO, votre besoin d’expertise face aux nouvelles réglementations et votre budget.
En 2026, la complexité croissante du cadre réglementaire (RGPD, AI Act, NIS 2, Digital Omnibus) et le durcissement des contrôles de la CNIL plaident plus que jamais en faveur d’un DPO disposant d’une expertise solide et d’une indépendance réelle. Pour la grande majorité des organisations françaises, le DPO externe constitue la réponse la plus efficiente à ces exigences.
Quelle que soit votre décision, l’essentiel est de ne pas traiter la désignation du DPO comme une simple formalité administrative. Un DPO compétent, disponible et indépendant est votre meilleur rempart face aux risques juridiques, financiers et réputationnels liés à la protection des données.
| Vous souhaitez être accompagné par un DPO externe certifié ?
DPO Partage accompagne les collectivités, SPST, CSE, associations et entreprises dans leur mise en conformité RGPD. Contactez-nous pour un diagnostic gratuit de vos besoins et une proposition personnalisée. Site : dpo-partage.fr | Contact : contact@dpo-partage.fr |
- DPO externalisé prix : Comparatif des offres du marché en 2025-2026 Guide complet pour choisir votre DPO externe au juste prix
- L’Essentiel des Missions du DPO : Interne, Externe, DPIA, et la Clôture de Mission
- Le nouveau guide indispensable : ‘Recruter son DPO interne ou externe avec la directive NIS2’
