Faut-il un DPO quand on est solopreneur ou TPE à moins de 50k€ de CA ?

Dans la grande majorité des cas, non. La désignation d'un DPO est obligatoire dans trois situations précises définies par l'Art. 37 RGPD, qui ne s'appliquent pas à un solopreneur classique. Le DPO délégué externalisé reste néanmoins une option stratégique.

Laurent SOUHY's profile

Rédigé par Laurent SOUHY

7 min de lecture
Faut-il un DPO quand on est solopreneur ou TPE à moins de 50k€ de CA ?

L'une des questions les plus fréquentes posées par les solopreneurs et les TPE qui démarrent : « Est-ce que je dois désigner un DPO ? » La réponse courte est non, dans la grande majorité des cas. La désignation d'un Délégué à la Protection des Données est obligatoire dans trois situations précises définies par l'Article 37 RGPD, et ces situations ne concernent pas un solopreneur classique qui vend un produit IA, un consultant indépendant, un freelance, ou une TPE B2B en amorçage.

La confusion vient du fait que beaucoup de cabinets, de prestataires DPO délégué, et même de plateformes SaaS de conformité induisent en erreur en suggérant qu'un DPO est « recommandé » ou « sage » dès qu'on traite des données personnelles. Le RGPD est plus précis que ça. Cet article cite l'article exact, explique la jurisprudence, et propose une grille de décision claire — y compris pour le cas particulier des solopreneurs IA qui traitent des données potentiellement sensibles.

En résumé

  • L'Art. 37 RGPD liste trois critères d'obligation : autorité publique, suivi systématique grande échelle, traitement Art. 9 grande échelle.
  • Un solopreneur classique (consulting, SaaS B2B, e-commerce) n'a quasiment jamais l'obligation de désigner un DPO.
  • Désigner un DPO volontairement : c'est faisable et possiblement utile, mais engage des obligations strictes (indépendance, ressources, contact CNIL public).
  • Le DPO délégué externalisé (1 500-4 000 €/an) est une stratégie raisonnable pour les TPE qui veulent une signature opposable sans embauche interne.
  • Pour un solopreneur IA Niveau 3 EUDAI (système IA exposé à des clients finaux), la désignation volontaire d'un DPO délégué externalisé devient stratégiquement intéressante autour de 50 k€-100 k€ de CA.

L'Article 37 RGPD, tel qu'il est rédigé

Le texte est court et précis. Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données dans tous les cas suivants :

« a) le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;

b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;

c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'Article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'Article 10. »

Ces trois critères sont exhaustifs, c'est-à-dire que toute autre situation n'oblige pas à désigner un DPO. La désignation reste possible volontairement, mais elle n'est pas une obligation. Source officielle : eur-lex.europa.eu/eli/reg/2016/679/oj.

Décortique des trois critères, appliqués au solopreneur

Critère a — Autorité publique

Vous êtes une administration, un EPIC, une collectivité, un organisme de sécurité sociale, un établissement scolaire public. Pas un solopreneur de droit privé. Sans objet pour notre population.

Critère b — Suivi régulier et systématique grande échelle

C'est ici que l'interprétation devient critique. La notion de « grande échelle » n'est pas chiffrée dans le RGPD. Les lignes directrices du WP29 (devenu EDPB) de 2017 (WP243 rev.01) précisent : nombre de personnes concernées, volume de données, durée du traitement, portée géographique. Pas de seuil numérique fixé.

Cas typiques relevant du critère b : un assureur en ligne (millions de polices), un opérateur télécom (millions d'abonnés), une plateforme publicitaire en ligne (tracking sur tout le web), une chaîne de magasins (cartes de fidélité), un opérateur de surveillance vidéo urbaine, un hôpital privé (suivi médical longitudinal).

Un solopreneur SaaS avec 500 ou 5 000 utilisateurs ne tombe pas dans ce critère. Une startup B2B avec 200 entreprises clientes et 5 000 utilisateurs cumulés non plus. Le seuil pratique commence à 100 000 utilisateurs traités systématiquement, et même là c'est sujet à interprétation cas par cas.

Note importante : « suivi régulier et systématique » signifie un traitement continu structurel, pas un envoi occasionnel d'emails marketing. Avoir 50 000 contacts dans son CRM n'est pas un suivi systématique. Faire du retargeting publicitaire continu sur 50 000 visiteurs identifiés, oui.

Critère c — Catégories particulières Art. 9 ou condamnations pénales Art. 10 grande échelle

L'Article 9 vise : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques (à des fins d'identification), données concernant la santé, vie sexuelle ou orientation sexuelle.

Si vous traitez ces données à grande échelle, le DPO est obligatoire. Cas typiques : application santé / médecine en ligne avec milliers de patients, plateforme de mise en relation politique / syndicale, app de rencontre traitant l'orientation sexuelle, plateforme biométrique d'identification.

Un solopreneur SaaS classique ne traite quasiment jamais ces données. Si vous opérez en secteur santé / RH sensible / juridique pénal, oui, prudence.

Le cas spécifique du solopreneur IA

Le Framework EUDAI v1 (§ 2.0.1, « Trois niveaux d'usage IA ») clarifie une zone de confusion fréquente : utiliser un LLM comme outil interne (Niveau 2) n'engage pas d'obligation Art. 37, parce que vous ne traitez pas vos données clients via le LLM si vous ne le faites pas. Vous restez sur la grille générale.

Le cas devient plus subtil au Niveau 3 EUDAI (système IA exposé à vos clients) si :

  • vous opérez un chatbot santé consommé par des centaines d'utilisateurs (Art. 9 santé + grande échelle → critère c possible)
  • vous opérez un outil de recrutement IA sur des milliers de candidats (potentiellement Art. 9 si CV mentionnent santé, opinions, syndic + Art. 22 décision automatisée + grande échelle → critère c probable)
  • vous opérez un système biométrique d'identification (Art. 9 biométrie → critère c quasi-systématique)

Dans ces trois cas, le DPO devient obligatoire dès que la grande échelle est atteinte (~10 000 personnes concernées en pratique). Avant ce seuil, c'est zone grise interprétative, et la prudence dicte la désignation préventive.

La désignation volontaire : pour ou contre ?

Vous pouvez désigner un DPO volontairement même sans obligation Art. 37. Le RGPD le permet (Considérant 97), et c'est même encouragé par la CNIL dans les situations où le traitement présente « des risques particuliers ».

Avantages. Vous signalez à vos clients B2B EU sophistiqués que vous prenez la conformité au sérieux. Vous avez un signataire qualifié pour vos AIPD, vos demandes Art. 15-22, vos notifications de violation 72 h. Vous évitez de devoir improviser en cas de contrôle CNIL.

Inconvénients. Une fois désigné, le DPO doit respecter toutes les obligations Art. 38-39 : indépendance fonctionnelle (pas de double casquette avec le responsable de traitement), ressources nécessaires pour exercer ses missions, formation continue, contact public, notification CNIL. Si vous désignez quelqu'un qui ne respecte pas ces obligations, vous êtes en violation pure, ce qui est pire que de ne pas avoir désigné du tout.

Conclusion pratique : la désignation volontaire d'un DPO délégué externalisé est la voie raisonnable. L'externe est qualifié, indépendant par construction, et propose des forfaits adaptés au volume d'un solopreneur (1-4 h/mois mutualisé).

Le marché du DPO délégué externalisé

Type de prestataireFourchette de prixPour qui ?
Cabinet de DPO délégué (Naaia, Trustia, Witik, Mathilde France)1 500 - 4 000 €/anSolopreneur sérieux 30-100 k€ CA
Avocat indépendant DPO2 500 - 6 000 €/anTPE avec exigences sectorielles spécifiques
Réseau d'experts vérifiés (Annuaire EuTrustedIA)Prestations à la carte, ~300-600 €/hSolopreneur qui veut un cadrage initial expert puis tournée annuelle
DPO interne salarié50-80 k€/an chargéETI > 50 employés ou risque réglementaire élevé

Notre Annuaire EuTrustedIA référence des DPO délégués vérifiés et des avocats tech IA accessibles en mode rendez-vous à la carte avec remise de 10 % sur la première heure pour les abonnés AVANTAGES. C'est une voie pragmatique pour cadrer son projet sans s'engager sur un forfait d'heures imposé.

Décision rapide

Votre situationRecommandation DPO
Solopreneur consulting / SaaS B2B, < 50 k€ CA, pas d'Art. 9Pas obligatoire, pas besoin pour l'instant. Tenez votre registre Art. 30.
Solopreneur SaaS avec 500-5 000 utilisateurs, données classiquesPas obligatoire. Désignation volontaire optionnelle, à coût-bénéfice.
Solopreneur santé, RH IA, légal IA, traitement Art. 9 grande échelleProbablement obligatoire (critère c). Désigner un DPO délégué externalisé immédiatement.
Startup B2B 10-50 k€ MRR avec clients EU sophistiquésDésignation volontaire recommandée comme signal commercial + opposabilité. DPO délégué externalisé.
ETI > 50 employés, ou suivi systématique grande échelleObligatoire (critère b). DPO interne ou prestation lourde dédiée.

Et avant de désigner — la grille à valider

Avant de souscrire un forfait DPO, validez les 4 questions suivantes :

  1. Mon traitement entre-t-il vraiment dans l'un des 3 critères Art. 37 ? Si oui : obligatoire, désignation immédiate. Si non : poursuivez le raisonnement.
  2. Ai-je des clients B2B EU sophistiqués qui exigent un DPO contractuellement ? Si oui : la désignation volontaire devient un argument commercial direct.
  3. Mon traitement présente-t-il un risque résiduel élevé même après AIPD signée ? Si oui : la désignation volontaire est prudente.
  4. Ai-je le budget pour un DPO bien fait (1 500 €/an minimum) plutôt qu'un « DPO papier » à 300 €/an inutile en cas de contrôle ? Si non : ne désignez pas, gardez la stratégie expert à la carte via Annuaire.

Conclusion

Le DPO n'est obligatoire que dans 3 situations précises définies par l'Art. 37. Un solopreneur classique en dehors de ces situations n'a pas l'obligation, mais peut désigner volontairement un DPO délégué externalisé comme stratégie commerciale ou prudentielle. Pour un solopreneur IA Niveau 3 (produit exposé aux clients) au-delà de ~10 000 utilisateurs, la désignation devient prudente.

Notre Annuaire EuTrustedIA référence des DPO délégués vérifiés accessibles à la carte. Pour un audit cartographié de votre traitement avec analyse des trois critères Art. 37, voir nos plans POSITRONIA-CORE.


Cet article a été rédigé par Claude Opus 4.7 sur la base du Framework EUDAI v1. Relecture humaine Laurent SOUHY. Vos retours : contact@eutrustedia.eu.

Partager: