CC-02 · Conformité réglementaire

DPD externe

Nous assumons la fonction de Délégué à la Protection des Données (DPD) externe avec des filières propres en santé, éducation, secteur religieux, associatif, hôtellerie et administration locale. Canal de violation réel en moins de 24 heures, inscription formelle auprès de l'AEPD et formation annuelle — pas un DPD qui se contente de signer la lettre de désignation.

Modalitémensuel, externalisé
Filières sectorielles propres6 verticales
Violation de données< 24h à compter de la détection

Le Délégué à la Protection des Données (DPD) est la fonction que l'article 37 du Règlement général sur la protection des données (RGPD, UE 2016/679) et l'article 34 de la loi organique espagnole 3/2018 relative à la protection des données personnelles et à la garantie des droits numériques (LOPDGDD) réservent pour superviser la conformité réglementaire, servir de point de contact avec l'Agence espagnole de protection des données (AEPD) et conseiller en interne sur tout traitement de données personnelles. Ce n'est pas un titre décoratif : l'AEPD peut exiger son intervention directe lors d'une inspection, et son absence — lorsqu'elle est obligatoire — constitue en soi une infraction sanctionnable.

Un DPD externe exerce exactement les mêmes fonctions qu'un DPD interne, avec deux différences pratiques : le coût (on paie pour le service, pas pour un salaire complet et sa formation continue) et l'indépendance (l'article 38.3 du RGPD exige que le DPD ne reçoive aucune instruction sur l'exercice de ses missions et ne soit pas révoqué pour les avoir exercées, ce qui est plus simple à garantir dans une relation contractuelle que dans une relation salariale hiérarchisée). Nous intervenons comme tiers inscrit auprès de l'AEPD, avec des modèles de travail différents selon le secteur — nous n'appliquons pas la même procédure à une paroisse qu'à un cabinet dentaire ou à un établissement scolaire sous contrat — car les catégories de données, les risques et la réglementation sectorielle changent dans chaque cas.

L'article 37.1 du RGPD impose la désignation d'un DPD dans trois cas : lorsque le traitement est effectué par une autorité ou un organisme public (à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle) ; lorsque les activités de base du responsable ou du sous-traitant exigent un suivi régulier et systématique des personnes concernées à grande échelle ; et lorsque les activités de base consistent en un traitement à grande échelle de catégories particulières de données (santé, opinions, appartenance syndicale, orientation sexuelle, données biométriques ou génétiques) ou de données relatives à des condamnations et infractions pénales.

L'article 34.1 de la LOPDGDD développe ces cas pour l'Espagne et ajoute une liste d'entités soumises à l'obligation en tout état de cause, indépendamment du fait qu'elles atteignent les seuils de grande échelle de l'article 37.1 : ordres professionnels et leurs conseils généraux, établissements scolaires dispensant un enseignement de niveau réglementé et universités publiques et privées, opérateurs de réseaux et de services de communications électroniques traitant des données à grande échelle, prestataires de services de la société de l'information qui profilent les utilisateurs à grande échelle, établissements de crédit, établissements financiers de crédit et assureurs, entreprises de services d'investissement, distributeurs et fournisseurs d'électricité et de gaz, entités gérant des fichiers communs de solvabilité et de crédit, entités menant des activités de publicité et de prospection commerciale fondées sur les préférences des personnes concernées ou sur le profilage, centres de santé légalement tenus de conserver les dossiers cliniques, entités émettant des rapports commerciaux sur des personnes physiques, opérateurs de jeux par canaux électroniques, entreprises de sécurité privée, et fédérations sportives lorsqu'elles traitent des données de mineurs.

En dehors de ces cas obligatoires, désigner un DPD externe garde tout son sens : cela renforce le système de protection des données avec une fonction formellement inscrite auprès de l'AEPD, offre un canal de conseil et de gestion des incidents que l'organisation n'aurait pas autrement, et anticipe ce que de nombreux grands clients exigent désormais avant de signer un contrat.

La réglementation n'exige pas que le DPD fasse partie du personnel salarié : l'article 37.6 du RGPD autorise expressément l'exercice de la fonction sur la base d'un contrat de service. La différence réelle réside dans le coût (un DPD interne avec la formation juridico-technique qu'exige la fonction coûte en général plus cher qu'un service externalisé dimensionné aux besoins réels de l'organisation), dans la disponibilité (un DPD externe travaille avec plusieurs clients et actualise sa pratique avec des dossiers de secteurs variés, ce qui est rarement le cas d'un profil interne qui ne voit que sa propre organisation), et dans l'indépendance fonctionnelle exigée par l'article 38.3, plus simple à garantir dans une relation contractuelle que dans une relation salariale hiérarchisée.

Il est également fréquent de combiner les deux fonctions : une personne de l'équipe agit comme référent interne au quotidien — elle recueille les incidents, coordonne la formation, tient à jour le registre des traitements — tandis que le DPD externe assume la responsabilité formelle devant l'AEPD, révise périodiquement le système et intervient lors d'un incident ou d'une inspection. Si vous disposez déjà d'un DPD interne, un DPD externe le complète comme second avis et comme appui dans les moments les plus exigeants, sans le remplacer.

Le régime de sanctions de l'article 83 du RGPD comporte deux paliers. Les infractions du palier inférieur — parmi lesquelles l'absence de désignation d'un DPD lorsqu'elle est obligatoire (art. 37), le défaut de moyens nécessaires ou l'absence de publication de ses coordonnées — peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Les infractions du palier supérieur — violation des principes du traitement, absence de base légale ou manquement systématique aux droits des personnes concernées — peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

La LOPDGDD, dans ses articles 72 à 74, classe les infractions en très graves, graves et légères, avec des délais de prescription respectifs de trois, deux et un an. L'AEPD retient comme circonstances atténuantes l'existence d'une fonction de supervision active (précisément celle exercée par le DPD), l'adoption de mesures correctives avant toute mise en demeure, et le degré de coopération avec la procédure d'enquête. En pratique, disposer d'un DPD — interne ou externe — n'est pas seulement une obligation dans certains cas : c'est aussi la preuve documentaire de diligence que l'AEPD attend de trouver lorsqu'elle ouvre une enquête.

Summum accompagne des organisations en conformité réglementaire depuis 2007, avec plus de 2 000 projets de digitalisation réalisés et près de 200 processus de certification ISO accompagnés au sein du groupe — la même équipe qui peut vous mener, le moment venu, vers l'ISO 27001 ou l'ISO 27701 avec Summum Calidad, sans changer d'interlocuteur. Nous travaillons depuis cinq bureaux à Valladolid (siège), Burgos, Palencia, Aranda de Duero et Las Palmas de Gran Canaria, ce qui nous permet de proposer un DPD que vous rencontrez en personne, et non un compte géré depuis une autre province.

Nous ne promettons pas de résultat précis face à l'AEPD et ne nous substituons pas à son appréciation : nous accompagnons l'organisation pour qu'elle arrive à toute inspection ou demande avec la documentation, les procédures et l'historique que le régulateur s'attend à trouver.

Nous ne publions pas de tarif fixe car le coût réel d'un DPD externe dépend de variables qui changent beaucoup d'une organisation à l'autre : le nombre de traitements de données personnelles réalisés, le fait de traiter ou non des catégories particulières de données (santé, mineurs, données biométriques), le nombre de sites ou d'établissements, l'appartenance à un secteur soumis à une réglementation supplémentaire (santé, éducation, finance), le volume de personnes dont les données sont traitées, et le fait que le service remplace entièrement un DPD interne ou le complète comme second avis et appui.

Nous le confirmons toujours lors d'un premier appel gratuit, une fois compris le traitement réel de l'organisation — pas avant, car tout chiffre donné sans ce diagnostic serait une approximation peu utile. Pour une référence de marché et savoir quelles variables font le plus varier le prix, nous avons publié une analyse dédiée sur le blog : Prix du DPD externe : variables et fourchette indicative en 2026.

+Santé

Cliniques, résidences et cabinets traitent des données de santé, catégorie particulière au sens de l'article 9 du RGPD, avec des exigences de sécurité renforcées et un dossier clinique qui ne s'accommode d'aucun modèle générique.

RGPD art.9LOPDGDD
AÉducation

Établissements sous contrat, écoles privées et centres de formation professionnelle traitent des données de mineurs, ce qui exige des garanties d'information et de consentement renforcées selon la LOPDGDD et les recommandations de l'AEPD.

LOPDGDD21001
Secteur religieux

Paroisses, congrégations et associations affiliées relèvent du régime spécifique de l'article 91 du RGPD pour les Églises et confessions, ainsi que d'un accord propre avec l'Église catholique qui encadre le traitement des données des fidèles.

RGPD art.91
Secteur associatif

Fondations, ONG et associations culturelles ou sportives gèrent des données de membres et de donateurs — beaucoup relevant du régime fiscal de la loi 49/2002 — et s'appuient souvent sur le bénévolat, ce qui appelle des procédures plus simples mais tout aussi exigibles.

Loi 49/2002
Hôtellerie-restauration

Restaurants dotés d'un CRM, hôtels et programmes de fidélité traitent des données marketing et des profils clients qui exigent des bases légales claires et une gestion correcte des cookies de suivi.

CookiesMarketing
§Administration locale

Mairies et regroupements intercommunaux sont responsables du traitement par définition légale (art. 37.1.a RGPD) et doivent souvent combiner le DPD avec la mise en conformité au Schéma national de sécurité (ENS) lorsqu'ils fournissent des services numériques aux citoyens.

RGPD administrationsENS

Le processus DPD externe.

Le processus · quatre étapes
01

Analyse sectorielle

Nous identifions les traitements spécifiques au secteur avant de proposer quoi que ce soit : les risques, les catégories de données et les modèles de travail ne sont pas les mêmes pour une paroisse que pour un cabinet dentaire, un établissement scolaire sous contrat ou une mairie.

02

Inscription AEPD et désignation formelle

Nous vous inscrivons comme DPD auprès de l'Agence espagnole de protection des données, avec notification formelle de la désignation à l'organe de gouvernance de l'organisation et publication des coordonnées exigée par l'article 37.7 du RGPD.

03

Fonctionnement continu

Révision périodique du registre des traitements et des mesures de sécurité, canal de violation opérationnel 24h/24, réponse aux questions de l'équipe et des personnes concernées, et formation annuelle documentée.

04

Simulations et audit

Au moins une simulation de violation par an et une revue de conformité avec compte-rendu, pour arriver à une inspection de l'AEPD — ou à la due diligence d'un grand client — avec le travail déjà fait, pas à faire.

Ce qui est inclus

Ce qu'inclut DPD externe.

Le détail opérationnel : ce que nous livrons dans le cadre de la mission et ce que nous maintenons actif par la suite.

  • Désignation et notification à l'AEPD

    Inscription formelle comme DPD de l'organisation auprès de l'Agence espagnole de protection des données et notification interne de la désignation, comme l'exige l'article 37.7 du RGPD.

  • Registre des activités de traitement

    Tenue à jour du document de l'article 30 du RGPD : chaque traitement, sa finalité, sa base légale, les catégories de données, les cessions et les durées de conservation, actualisé à chaque évolution d'un processus.

  • Analyses d'impact (AIPD) lorsque nécessaire

    Lorsqu'un nouveau traitement répond aux critères de risque élevé du Comité européen de la protection des données, nous réalisons l'analyse d'impact exigée par l'article 35 du RGPD avant sa mise en œuvre.

  • Prise en charge des droits des personnes concernées

    Procédure et délais pour l'accès, la rectification, l'effacement, l'opposition, la portabilité et la limitation (art. 12 à 22 RGPD), avec modèles de réponse et registre de chaque demande traitée.

  • Canal de violation < 24h et notification à l'AEPD

    Détection et confinement en moins de 24 heures via un canal direct — pas un formulaire web — avec évaluation du risque et, le cas échéant, notification à l'AEPD dans le délai de 72 heures de l'article 33 du RGPD, et communication aux personnes concernées lorsque le risque est élevé (art. 34).

  • Formation annuelle de l'équipe + simulation

    Session de formation annuelle adaptée au secteur et au poste de chaque personne, avec test et compte-rendu servant de preuve de conformité, ainsi qu'une simulation de violation pour tester la procédure avant d'en avoir réellement besoin.

  • Interlocution continue avec l'AEPD

    Le DPD agit comme point de contact unique auprès de l'Agence : il répond aux demandes, traite les requêtes et, en cas d'ouverture d'une procédure d'enquête, accompagne l'organisation tout au long de la démarche.

  • Audits périodiques du système

    Révision planifiée des mesures techniques et organisationnelles en place, des contrats de sous-traitance (art. 28 RGPD) avec les prestataires, et de la cohérence entre ce qui est documenté et ce qui se passe au quotidien.

  • Plateforme de gestion client

    Accès à tout moment à l'état du service : documents en vigueur, violations enregistrées, formations dispensées et audits réalisés, sans avoir à demander l'information par e-mail.

Cadre normatif

Le cadre réglementaire.

Article 37 du RGPD et Ley 2/2023 lorsqu'un canal de signalement est en place.

EU RGPD art.37 Applicable à ce service
ES LOPDGDD art. 34 Applicable à ce service
L 2/2023 Signalement Applicable à ce service
AEPD Enregistrement Applicable à ce service

Questions fréquentes sur DPD externe.

La désignation d'un DPD est-elle obligatoire pour mon entreprise ?

Cela dépend du secteur et de l'échelle du traitement. C'est obligatoire dans les trois cas de l'article 37.1 du RGPD (administration publique, suivi systématique à grande échelle, traitement à grande échelle de catégories particulières de données) et dans la liste supplémentaire de l'article 34 de la LOPDGDD, qui inclut les établissements scolaires, les entités du secteur de la santé, les ordres professionnels, les assureurs, les entités financières et d'autres secteurs réglementés, indépendamment de leur taille. En dehors de ces cas, cela reste une bonne pratique recommandée. Nous le clarifions lors du diagnostic initial, gratuit.

Quelle sanction encourt-on en l'absence de désignation d'un DPD obligatoire ?

L'absence de désignation d'un DPD lorsque la loi l'exige relève du régime de sanctions de l'article 83.4 du RGPD : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. L'AEPD retient l'existence d'un plan de mise en conformité et la diligence préalable comme circonstances atténuantes.

Quelle différence entre un DPD externe et un consultant RGPD ?

Le consultant RGPD aide à mettre l'organisation en conformité (documentation, formation, procédures), mais n'assume pas la fonction formelle de supervision et d'interlocution avec l'AEPD exigée par l'article 37 du RGPD, sauf s'il est également désigné DPD. Notre service de DPD externe inclut les deux : la mise en conformité et l'exercice continu de la fonction.

Si nous avons déjà un DPD interne, pouvons-nous en engager un externe ?

Oui. Nous le complétons : le DPD interne assure le quotidien et la connaissance de l'activité, et le DPD externe apporte un second avis, une révision indépendante et un appui dans les moments les plus exigeants, comme une inspection ou une violation grave.

Prenez-vous en charge le canal de signalement de la loi 2/2023 ?

Oui. Si votre organisation compte plus de 50 salariés — ou y est soumise pour un autre motif —, nous mettons en place le canal de signalement en coordination avec le service de conformité pénale du groupe, avec un responsable désigné et la documentation pour l'Autorité indépendante de protection du lanceur d'alerte (AIPI).

Comment le DPD est-il inscrit auprès de l'AEPD ?

L'article 37.7 du RGPD exige que les coordonnées du DPD soient communiquées à l'autorité de contrôle et publiées. Nous gérons l'inscription sur le site électronique de l'AEPD dans le cadre de la désignation initiale, sans coût supplémentaire.

Que se passe-t-il si nous changeons de DPD externe par la suite ?

Le registre des traitements, la documentation et l'historique des violations appartiennent à votre organisation, pas au prestataire. Si vous décidez de changer de DPD externe, nous remettons l'ensemble du dossier documentaire et coordonnons la radiation formelle auprès de l'AEPD ainsi que l'inscription du nouveau DPD, sans interruption de couverture.

Le DPD externe réalise-t-il aussi la mise en conformité RGPD complète depuis zéro ?

Oui, lorsque l'organisation part de zéro. Dans ce cas, le premier trimestre du service inclut le diagnostic et la mise en œuvre décrits dans notre service de mise en conformité RGPD et LOPDGDD, puis le DPD maintient le système vivant.

Combien de temps le DPD externe consacre-t-il à mon entreprise ?

Il n'existe pas de nombre d'heures fixe : le dimensionnement dépend du volume et du risque des traitements. Ce qui est fixe, c'est la disponibilité du canal de violation (moins de 24 heures) et la fréquence de la révision annuelle et de la formation, quelle que soit la taille de l'organisation.

Le DPD externe peut-il travailler avec des administrations publiques locales ?

Oui. Nous disposons d'une filière spécifique pour les mairies et regroupements intercommunaux, combinable avec la mise en conformité au Schéma national de sécurité (ENS) proposée par Summum Calidad lorsque l'entité fournit des services au secteur public.

Vous accompagnons-nous dans la démarche ?