Contrat de DPO externalisé : modèle complet 2026
Modèle de contrat de DPO externalisé 2026 : missions (Art. 39), indépendance, moyens, confidentialité, responsabilité, durée. Clauses prêtes à adapter.
L’essentiel. Le délégué à la protection des données peut être désigné « sur la base d’un contrat de service » (Art. 37.6 du RGPD). Ce contrat n’est pas une simple lettre de mission : il doit garantir l’indépendance du DPO (Art. 38), lui donner les moyens d’exercer, encadrer ses missions (Art. 39), organiser la confidentialité, répartir les responsabilités et fixer une durée protectrice. Ci-dessous, un modèle de contrat complet, clause par clause, prêt à adapter à votre organisation.
Externaliser son délégué à la protection des données est devenu le mode de désignation majoritaire chez les PME et ETI françaises. C’est logique : recruter un DPO interne compétent coûte cher, et la charge réelle ne justifie souvent pas un poste à temps plein. Mais dans ma pratique de conseil, je constate que le contrat qui formalise cette externalisation est presque toujours le maillon faible. On trouve des lettres de mission d’une page, des devis requalifiés en « contrat », ou des prestations de conseil RGPD rebaptisées « DPO » sans que la moindre garantie d’indépendance n’apparaisse. Or c’est précisément le contrat qui rend la désignation opposable et défendable devant la CNIL.
Le contrat de DPO externalisé remplit trois fonctions juridiques distinctes. Il constitue d’abord le support de la désignation exigé par l’article 37.6. Il matérialise ensuite les garanties statutaires du DPO — indépendance, moyens, absence de conflit d’intérêts — que le RGPD impose au responsable de traitement de respecter. Il organise enfin la relation commerciale : périmètre, honoraires, durée, responsabilité. Un bon contrat concilie ces trois logiques sans les confondre.
Pourquoi un contrat, et pas une simple lettre de mission
L’article 37.6 du RGPD prévoit deux modalités de désignation du DPO : « Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service. » Le DPO externalisé relève de la seconde branche. Le contrat de service n’est donc pas une option de confort : c’est le fondement juridique même de la désignation.
Cette exigence n’est pas formelle. Le DPO, interne ou externe, bénéficie d’un statut protecteur : il ne peut être relevé de ses fonctions ni pénalisé pour l’exercice de ses missions (Art. 38.3), il rend compte au plus haut niveau de la direction, il doit être associé « d’une manière appropriée et en temps utile à toutes les questions relatives à la protection des données » (Art. 38.1). Quand le DPO est un prestataire, ces garanties ne peuvent exister que si elles sont écrites. Une prestation de conseil résiliable à tout préavis d’un mois, facturée à l’heure, ne présente aucune des garanties d’indépendance qu’un DPO doit avoir. Le contrat sert précisément à combler cet écart.
Point souvent négligé : le DPO externalisé accède à des données personnelles de l’organisation (registre, dossiers de violations, demandes de droits). Selon la nature de ces accès, une articulation avec l’article 28 peut être nécessaire. Le Comité européen de la protection des données considère que le DPO n’est pas, par principe, un sous-traitant : il exerce une fonction légale, pas un traitement pour le compte du responsable. Mais si le prestataire réalise, au-delà du rôle de DPO, des opérations de traitement (hébergement d’outils, gestion opérationnelle des demandes), des clauses de sous-traitance peuvent devoir compléter le contrat. Le modèle ci-dessous traite le cœur « DPO » ; il vous appartient d’ajouter, le cas échéant, un volet Art. 28.
Les cinq garanties que le contrat doit sécuriser
Avant le modèle, voici la grille de lecture. Un contrat de DPO externalisé qui omet l’un de ces cinq points est fragilisé.
| Garantie | Fondement RGPD | Ce que le contrat doit prévoir |
|---|---|---|
| Missions | Art. 39.1 | Liste des missions légales + périmètre concret de la prestation |
| Indépendance | Art. 38.3 et 38.6 | Absence de conflit d’intérêts, pas d’instruction sur le fond, non-pénalisation |
| Moyens | Art. 38.2 | Accès aux traitements, aux informations, aux personnes, temps et ressources |
| Association | Art. 38.1 | Information en temps utile, participation aux projets, remontée au plus haut niveau |
| Confidentialité | Art. 38.5 | Secret professionnel sur l’ensemble des informations recueillies |
Le sixième point, la responsabilité, ne découle pas d’une garantie du RGPD mais d’un principe fondamental : le DPO n’est jamais personnellement responsable du non-respect du RGPD par l’organisation (considérant 97). Le responsable de traitement reste le responsable au sens juridique. Le contrat doit refléter cette répartition, tout en fixant la responsabilité contractuelle du prestataire pour ses propres manquements (conseil erroné, négligence caractérisée).
Modèle de contrat de DPO externalisé
Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 1.0 — juillet 2026.
CONTRAT DE PRESTATION DE SERVICE DE DÉLÉGUÉ À LA PROTECTION DES DONNÉES
Entre les soussignés :
La société [Dénomination], [forme sociale], au capital de [montant], immatriculée au RCS de [ville] sous le numéro [SIREN], dont le siège social est situé [adresse], représentée par [nom, qualité], ci-après « le Responsable de traitement »,
Et :
[Cabinet / prestataire], [forme], immatriculé sous le numéro [SIREN], dont le siège est situé [adresse], représenté par [nom, qualité], ci-après « le Prestataire »,
Il a été convenu ce qui suit.
Article 1 — Objet
Le présent contrat a pour objet la désignation du Prestataire, sur le fondement de l’article 37.6 du Règlement (UE) 2016/679 (RGPD), en qualité de délégué à la protection des données (DPO) du Responsable de traitement. Le Prestataire exerce les missions définies à l’article 39 du RGPD, dans les conditions d’indépendance et avec les moyens prévus à l’article 38. Le Prestataire désigne [nom de la personne physique] comme interlocuteur DPO, dont les coordonnées seront communiquées à l’autorité de contrôle et publiées.
Article 2 — Missions du DPO (Art. 39 RGPD)
Le Prestataire est chargé, a minima :
- d’informer et de conseiller le Responsable de traitement, ses sous-traitants et les employés concernés sur leurs obligations au titre du RGPD et des autres dispositions relatives à la protection des données ;
- de contrôler le respect du RGPD, du droit national et des politiques internes du Responsable de traitement, y compris la répartition des responsabilités, la sensibilisation, la formation du personnel et les audits associés ;
- de dispenser des conseils sur l’analyse d’impact relative à la protection des données (AIPD) et d’en vérifier l’exécution en application de l’article 35 ;
- de coopérer avec l’autorité de contrôle ;
- de faire office de point de contact de l’autorité de contrôle sur les questions relatives au traitement.
Le périmètre opérationnel de la prestation (nombre de jours, tenue du registre, traitement des demandes de droits, plan d’audit, reporting) est précisé en Annexe 1.
Article 3 — Indépendance et absence de conflit d’intérêts (Art. 38.3 et 38.6)
Le Prestataire exerce ses missions en toute indépendance. Le Responsable de traitement s’interdit de lui donner des instructions quant à la manière de traiter une question relevant de la protection des données ou quant au résultat à atteindre. Le Prestataire déclare n’exercer aucune fonction ou activité, pour le compte du Responsable de traitement ou d’un tiers, susceptible de générer un conflit d’intérêts avec sa mission de DPO. Il informe sans délai le Responsable de traitement de toute situation susceptible d’affecter son indépendance.
Article 4 — Moyens mis à disposition (Art. 38.2)
Le Responsable de traitement s’engage à fournir au Prestataire les ressources nécessaires à l’exercice de ses missions, notamment : l’accès aux traitements de données à caractère personnel et à la documentation afférente (registre, contrats de sous-traitance, AIPD, procédures) ; l’accès aux personnes concernées au sein de l’organisation ; un délai raisonnable de réponse aux sollicitations ; et l’information sur tout nouveau projet impliquant un traitement de données.
Article 5 — Association du DPO (Art. 38.1)
Le Responsable de traitement associe le Prestataire, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel, notamment en amont de tout nouveau traitement, de toute évolution des outils ou de tout incident de sécurité. Le Prestataire rend compte directement au plus haut niveau de la direction du Responsable de traitement.
Article 6 — Confidentialité et secret professionnel (Art. 38.5)
Le Prestataire et toute personne intervenant en son nom sont tenus au secret professionnel ou à une obligation de confidentialité concernant l’exercice de leurs missions. Cette obligation porte sur l’ensemble des informations recueillies dans le cadre du présent contrat et survit à sa cessation pour une durée de [X] ans. Une clause de confidentialité détaillée figure en Annexe 2.
Article 7 — Responsabilité
Le Prestataire exerce une mission de conseil, de contrôle et d’alerte. Conformément au considérant 97 du RGPD, il n’est pas personnellement responsable du non-respect du RGPD par le Responsable de traitement, qui demeure seul responsable de la licéité de ses traitements et de la mise en œuvre des mesures recommandées. Le Prestataire répond des seuls manquements à ses propres obligations (négligence, conseil manifestement erroné), dans la limite de [plafond, ex. le montant des honoraires annuels]. Le Prestataire justifie d’une assurance de responsabilité civile professionnelle couvrant cette activité.
Article 8 — Durée et résiliation
Le contrat est conclu pour une durée de [12 / 24 / 36] mois à compter du [date], renouvelable par tacite reconduction. Chaque partie peut y mettre fin moyennant un préavis de [3 / 6] mois. Le Responsable de traitement s’interdit de résilier le contrat en raison de l’exercice, par le Prestataire, de ses missions de DPO (Art. 38.3). En cas de cessation, le Prestataire assure la transmission ordonnée des dossiers à son successeur et coopère à la mise à jour de la désignation auprès de l’autorité de contrôle.
Article 9 — Honoraires
En contrepartie de sa prestation, le Prestataire perçoit des honoraires de [montant] € HT par [mois / an], selon les modalités de l’Annexe 1. Les prestations hors périmètre (audit approfondi, gestion d’une violation de données, formation) font l’objet d’un devis distinct.
Article 10 — Fin de contrat
À l’échéance ou en cas de résiliation, le Prestataire restitue ou détruit, au choix du Responsable de traitement, les documents et données auxquels il a eu accès, sous réserve des obligations légales de conservation, et remet un rapport de fin de mission.
Fait à [ville], le [date], en deux exemplaires.
Le Responsable de traitement — Le Prestataire
Ce que le modèle ne dit pas (et que vous devez arbitrer)
Un modèle donne l’ossature ; il ne remplace pas les arbitrages propres à votre organisation. Trois points méritent une attention particulière.
Le périmètre réel de la prestation. L’annexe 1 est le cœur économique du contrat. Un DPO externalisé « à 2 jours par mois » ne peut pas contrôler l’ensemble des traitements d’une ETI de 800 salariés. Sous-dimensionner le périmètre, c’est créer un DPO de façade — exactement ce que la CNIL sanctionne lorsqu’elle constate que la fonction n’a pas les moyens de s’exercer. Calibrez le volume au regard de la cartographie de vos traitements et, le cas échéant, d’un audit RGPD initial. Sur le dimensionnement financier, voir notre analyse des tarifs du DPO externalisé.
L’articulation avec la sous-traitance. Si le prestataire héberge votre registre sur son propre outil, gère opérationnellement les demandes de droits d’accès ou stocke vos dossiers de violation, il traite des données pour votre compte : un volet article 28 devient nécessaire. Le questionnaire sous-traitants vous aide à cadrer ces flux. À l’inverse, si le prestataire se limite au rôle de conseil et de contrôle, l’article 28 ne s’applique pas au titre de la fonction DPO.
La notification à la CNIL. La désignation d’un DPO doit être notifiée à la CNIL via son téléservice, et les coordonnées du délégué publiées (typiquement dans la politique de confidentialité). Le contrat prévoit cette formalité, mais c’est bien au Responsable de traitement de l’accomplir. Le courrier de désignation du DPO formalise en interne cette nomination avant la déclaration.
Erreurs fréquentes et points de vigilance CNIL
Dans les contrôles et les audits que j’observe, quatre erreurs reviennent avec constance.
La première est la confusion entre DPO et prestataire de conformité. Vendre une prestation « d’accompagnement RGPD » n’est pas désigner un DPO. Si vous notifiez un DPO à la CNIL, le prestataire doit exercer les missions de l’article 39 avec les garanties de l’article 38 — pas simplement livrer des livrables ponctuels.
La deuxième est l’absence de garantie d’indépendance. Un contrat qui permet au client de dicter les conclusions du DPO, ou de le remercier dès qu’il émet une réserve, vide la fonction de sa substance. La non-pénalisation (Art. 38.3) doit être écrite.
La troisième est le conflit d’intérêts. Le prestataire qui, par ailleurs, vend à la même organisation les outils qu’il est censé auditer en tant que DPO se place en situation prohibée par l’article 38.6. La CNIL a rappelé que le DPO ne peut occuper une position le conduisant à déterminer les finalités et les moyens des traitements qu’il contrôle.
La quatrième est l’absence de moyens réels. Un contrat parfait sur le papier ne suffit pas si, en pratique, le DPO n’est jamais associé aux projets ni informé des incidents. Les sanctions RGPD frappent aussi le DPO « fantôme ».
Sur le plan opérationnel, structurer le suivi d’un DPO externalisé — plan d’audit, registre à jour, traçabilité des conseils rendus — suppose des outils. Un logiciel RGPD permet d’industrialiser la tenue du registre, le suivi des demandes de droits et la documentation des recommandations du DPO, ce qui rend la prestation externalisée à la fois plus efficace et plus démontrable en cas de contrôle.
Foire aux questions
Un DPO externalisé est-il un sous-traitant au sens de l’article 28 ?
Pas au titre de sa fonction de DPO, qui est une mission légale et non un traitement réalisé pour le compte du responsable. Le Comité européen de la protection des données considère que le rôle de DPO n’entre pas, en lui-même, dans le champ de l’article 28. En revanche, si le prestataire réalise, en marge de cette fonction, des opérations de traitement (hébergement d’un outil, gestion opérationnelle de demandes), ces activités-là peuvent relever de la sous-traitance et exiger des clauses dédiées. La solution pragmatique consiste à séparer, dans le contrat, le volet « DPO » du volet « traitements accessoires ».
Le DPO externalisé peut-il être tenu responsable d’une sanction CNIL ?
Non, pas pour le manquement de l’organisation elle-même. Le considérant 97 du RGPD est explicite : le délégué n’est pas personnellement responsable en cas de non-respect du règlement, qui incombe au responsable de traitement. Le prestataire n’engage sa responsabilité contractuelle que pour ses propres fautes — un conseil manifestement erroné, une négligence caractérisée — d’où l’importance de la clause de responsabilité et de l’assurance RC professionnelle. Cette répartition doit figurer noir sur blanc dans le contrat.
Faut-il désigner une personne physique ou le cabinet peut-il être le DPO ?
Le contrat de service est conclu avec une personne morale (le cabinet), mais la fonction de DPO s’incarne dans une personne physique identifiée, qui est l’interlocuteur de la CNIL et des personnes concernées. Le contrat doit donc nommer cette personne, prévoir un remplaçant en cas d’absence prolongée et garantir la continuité de la mission. La CNIL attend un point de contact humain, joignable et compétent.
Quelle durée prévoir pour un contrat de DPO externalisé ?
Une durée trop courte (résiliable à un mois) fragilise l’indépendance ; une durée trop rigide prive de souplesse. En pratique, un engagement de 12 à 36 mois avec préavis de 3 à 6 mois offre un bon équilibre. Le point clé n’est pas tant la durée que l’interdiction de résilier en représailles de l’exercice des missions (Art. 38.3). Sans cette clause, la protection statutaire du DPO reste théorique.
Le contrat suffit-il ou faut-il aussi notifier la CNIL ?
Le contrat formalise la désignation, mais il ne dispense pas de la notification à la CNIL via son téléservice, ni de la publication des coordonnées du délégué. Ce sont deux formalités distinctes, à la charge du responsable de traitement. Le contrat prévoit d’ailleurs la mise à jour de cette déclaration en cas de changement d’interlocuteur ou de fin de mission.
Le DPO externalisé doit-il avoir accès à toutes les données de l’entreprise ?
Il doit avoir accès à ce qui est nécessaire à l’exercice de ses missions : les traitements, la documentation, les personnes concernées — pas nécessairement au contenu de toutes les données. L’article 38.2 impose de lui donner les moyens, ce qui suppose un accès effectif au registre, aux contrats de sous-traitance et aux procédures. En revanche, cet accès s’exerce dans le respect du secret professionnel et du principe de minimisation : le DPO consulte ce qui est utile à son contrôle, pas au-delà.
Le contrat de DPO externalisé est un point de départ, pas une fin en soi. Pour recevoir nos modèles et analyses RGPD à jour, abonnez-vous à la newsletter.