2 min de lecture

DPO externe : tarifs, coûts cachés, et désignation CNIL

DPO externe : tarifs, coûts cachés, et désignation CNIL

Le marché du RGPD et des DPO externes est comparable au marché de la rénovation énergétique. Pour un tarif bien dimensionné, vous trouverez des prestataires de qualité qui réaliserons des travaux RGPD en toute sécurité et balayeront devant votre porte avant de partir. De l'autre côté, vous trouverez des offres de DPO bas de gamme ou excessivement chères donnant lieu à des travaux de conformité incomplets (voire à reprendre) et laissant tout un tas de poussière dans vos dossiers. 

Tarif DPO externe à partir de 190 € HT

Sur le marché du RGPD, les tarifs des DPO externe varient entre 190 € et 4200 € HT par mois, avec parfois un coût mensuel plus élevé la première année.

Les tarifs fluctuent selon votre activité et les prix pratiqués par nos confrères pour la mise en œuvre de la conformité...

En effet, il y a une distinction importante entre :

  • le rôle de DPO désigné auprès de la CNIL
  • et le travail de mise en conformité RGPD (c'est à dire le travail opérationnel). 

C'est pourquoi il est crucial de comparer les devis DPO entre eux.

Exemple : en 2018, des Communes ont nommé des DPO externes via des Centres de Gestion à un faible coût mais ces DPO externes n'ont pas avancé dans la constitution du dossier de conformité. Il est revenu aux salariés des Communes (généralement des agents administratifs) de réaliser le travail de conformité et de suivi dans le temps. En effet, le Délégué à la Protection des Données externe désigné exerçait uniquement ses fonctions essentielles de DPO. Conséquence ? Plus de 200 Communes ont été rattrapées par la CNIL. Il est crucial de prendre en considération les missions du DPO et l'opérationnel du RGPD.

Les critères de prix d'un DPO externe

  1. la nature de votre activité principale
  2. le nombre d'activité(s) au sein de votre organisme
  3. le nombre d'entités juridiques
  4. la nature des données personnelles collectées
  5. le nombre de salariés
  6. le volume de données collectées
  7. l'usage d'un outil de gestion du RGPD par le prestataire
  8. la spécialisation du DPO dans votre secteur d'activité

Dans le choix de votre prestataire, veillez donc à comparer les devis et la profondeur de l'offre puis gardez en tête que la simple nomination d'un Délégué à la Protection des Données ne suffira pas à prouver aux autorités que vous êtes en règle. Découvrez dans un autre article RGPD le véritable coût de la conformité.

Devis DPO externe : les pièges à éviter

La charge de travail pour vos équipes

Attention aux entreprises qui vous proposent la "tenue du Registre des activités" par exemple, mais qui vous demandent ensuite de lister toutes les données personnelles de votre établissement dans un Excel ou un outil RGPD.

Dans ce cas là, le délégué à la protection des données va seulement consolider les informations. Ce sera d'abord à vous, en plus de votre fonction principale, de réaliser toute la saisie manuelle.

Les DPO externes qui "ne font rien" en matière opérationnelle

Attention les offres externalisées peu fournies sont souvent équivalentes à un DPO qui "ne fait rien".

Un DPO externe qui ne réalise pas la conformité opérationnelle signifie que vous ne serez pas conforme au RGPD tant que votre entreprise n'aura pas demandé à des salariés des heures de travail régulières dédiées à la mise en oeuvre et au suivi du RGPD dans le temps. Si vous souhaitez que votre DPD s'occupe de la conformité, demandez au prestataire de lister dans le devis de manière exhaustive les livrables produits.

Les tarifs DPO indexés uniquement sur le nombre de salariés

Le nombre de salariés n'impacte pas directement le travail du DPO. Ce qui compte, ce sont les données collectées. Plus vous disposez de traitements, plus la charge du DPO est importante. En pratique, si votre entité "fait tout le temps la même chose", le prix ne devrait pas varier que vous soyez 20 ou 100 salariés. En premier lieu, ce qui impacte le plus la charge de travail sera le nombre d'activités et nombre d'entités juridiques. Le nombre de salariés arrive au second plan.

Les services DPO très chers en comparaison d'autres devis DPO

Une offre trop onéreuse n'est pas forcément signe d'une offre de qualité. Il peut s'agir d'une offre complètement surdimensionnée par rapport à votre besoin ou d'une entreprise qui ne sait pas gérer son temps. Dans les deux cas, ce n'est pas bon signe. Une fois encore, pour votre sécurité, nous vous recommandons de comparer les devis entre plusieurs confrères, même si vous trouvez que Blockproof par exemple, vous propose le service le plus adapté à votre besoin. Comparer vous permettra d'être serein dans votre décision à devenir client. Pour aller plus loin sur les pièces à éviter, découvrez notre article sur le véritable coût du RGPD dans notre section blog.

Quel prestataire peut être DPO externe auprès de la CNIL ?

Pour être désigné DPO externe auprès de la CNIL, dans la mesure où la fonction de Data Protection Officer n’est pas une profession réglementée telle que la profession de notaires, seule une maîtrise adéquate de la législation et des pratiques sont exigées par le Règlement général sur la protection des données. 

La fonction de DPO externe peut être exercée par des juristes spécialisés mais aussi des avocats, des consultants indépendants, des cabinets de consulting spécialisés, etc.

Pour ne pas payer un DPO dans le vent, nous vous recommandons de choisir un DPO externe de formation juridique (juriste BAC+5 en droit du numérique ou avocat ayant suivi un cursus en droit des nouvelles technologies).

DPO externe mutualisé définition

On parlera de “DPO mutualisé” lorsque la personne physique désignée DPO est en charge et nommé pour un groupe de plusieurs organismes distincts. Le prestataire RGPD proposera un contrat de mutualisation (ou différents contrats avec remise de groupe) qui unira le groupement d'entreprises ou d'associations avec un seul DPO externe mutualisé pour l'ensemble de ses clients. Pour information, nous disposons d'une méthode spécifique chez Blockproof pour gérer la conformité en DPO externe mutualisé. A noter que le DPO mutualisé peut aussi être DPO interne (salarié d'une des entités participant au regroupement).

Qui est désigné auprès de la CNIL en cas de DPO externe ?

Le DPO externe est une personne physique désignée auprès de la CNIL (cf. procédure de désignation expliquée dans notre guide DPO RGPD pour la Direction) et rattaché à l'entreprise qui vous vend sa prestation.

Votre DPO externe peut ainsi être :

  • salarié de votre prestataire
  • sous-traitant de votre prestataire (en qualité d'auto-entrepreneur)
  • ou collaborateur de votre prestataire (en qualité d'avocat)

Le DPO externalisé peut être désigné par la Direction, ou se désigner "par lui-même" avec l'accord de la Direction.

Chez Blockproof par exemple, nous nous chargeons des formalités administratives pour votre entreprise ou association. A la suite de ces formalités, vous recevrez une notification de désignation de la part de la CNIL (Commission nationale de l'informatique et des libertés). 

Comparer les devis DPO externe

Il est crucial de comparer les devis DPO externe entre eux pour éviter les pièges et coûts cachés pour votre entreprise ou votre association.

Pourquoi demander plusieurs devis DPO ?

  1. vous aurez une vision éclairée du choix que vous réalisez
  2. cela vous rassurera dans le choix de votre prestataire RGPD
  3. vous éviterez les pièges et discours commerciaux
  4. vous connaîtrez les éventuels coûts cachés

Même si vous êtes séduit(e)s par une offre d'accompagnement, qu'il s'agisse de celle de Blockproof ou d'un confrère, nous vous recommandons de toujours avoir a minima deux devis (voir 3). Pour comparer entre deux devis, n'hésitez pas à faire une demande gratuite et sans engagement sur notre page devis chez Blockproof.

article author
Vincent R.