L'une des questions les plus fréquentes posées par les solopreneurs et les TPE qui démarrent : « Est-ce que je dois désigner un DPO ? » La réponse courte est non, dans la grande majorité des cas. La désignation d'un Délégué à la Protection des Données est obligatoire dans trois situations précises définies par l'Article 37 RGPD, et ces situations ne concernent pas un solopreneur classique qui vend un produit IA, un consultant indépendant, un freelance, ou une TPE B2B en amorçage.
La confusion vient du fait que beaucoup de cabinets, de prestataires DPO délégué, et même de plateformes SaaS de conformité induisent en erreur en suggérant qu'un DPO est « recommandé » ou « sage » dès qu'on traite des données personnelles. Le RGPD est plus précis que ça. Cet article cite l'article exact, explique la jurisprudence, et propose une grille de décision claire — y compris pour le cas particulier des solopreneurs IA qui traitent des données potentiellement sensibles.
Le texte est court et précis. Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données dans tous les cas suivants :
« a) le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'Article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'Article 10. »
Ces trois critères sont exhaustifs, c'est-à-dire que toute autre situation n'oblige pas à désigner un DPO. La désignation reste possible volontairement, mais elle n'est pas une obligation. Source officielle : eur-lex.europa.eu/eli/reg/2016/679/oj.
Vous êtes une administration, un EPIC, une collectivité, un organisme de sécurité sociale, un établissement scolaire public. Pas un solopreneur de droit privé. Sans objet pour notre population.
C'est ici que l'interprétation devient critique. La notion de « grande échelle » n'est pas chiffrée dans le RGPD. Les lignes directrices du WP29 (devenu EDPB) de 2017 (WP243 rev.01) précisent : nombre de personnes concernées, volume de données, durée du traitement, portée géographique. Pas de seuil numérique fixé.
Cas typiques relevant du critère b : un assureur en ligne (millions de polices), un opérateur télécom (millions d'abonnés), une plateforme publicitaire en ligne (tracking sur tout le web), une chaîne de magasins (cartes de fidélité), un opérateur de surveillance vidéo urbaine, un hôpital privé (suivi médical longitudinal).
Un solopreneur SaaS avec 500 ou 5 000 utilisateurs ne tombe pas dans ce critère. Une startup B2B avec 200 entreprises clientes et 5 000 utilisateurs cumulés non plus. Le seuil pratique commence à 100 000 utilisateurs traités systématiquement, et même là c'est sujet à interprétation cas par cas.
Note importante : « suivi régulier et systématique » signifie un traitement continu structurel, pas un envoi occasionnel d'emails marketing. Avoir 50 000 contacts dans son CRM n'est pas un suivi systématique. Faire du retargeting publicitaire continu sur 50 000 visiteurs identifiés, oui.
L'Article 9 vise : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques (à des fins d'identification), données concernant la santé, vie sexuelle ou orientation sexuelle.
Si vous traitez ces données à grande échelle, le DPO est obligatoire. Cas typiques : application santé / médecine en ligne avec milliers de patients, plateforme de mise en relation politique / syndicale, app de rencontre traitant l'orientation sexuelle, plateforme biométrique d'identification.
Un solopreneur SaaS classique ne traite quasiment jamais ces données. Si vous opérez en secteur santé / RH sensible / juridique pénal, oui, prudence.
Le Framework EUDAI v1 (§ 2.0.1, « Trois niveaux d'usage IA ») clarifie une zone de confusion fréquente : utiliser un LLM comme outil interne (Niveau 2) n'engage pas d'obligation Art. 37, parce que vous ne traitez pas vos données clients via le LLM si vous ne le faites pas. Vous restez sur la grille générale.
Le cas devient plus subtil au Niveau 3 EUDAI (système IA exposé à vos clients) si :
Dans ces trois cas, le DPO devient obligatoire dès que la grande échelle est atteinte (~10 000 personnes concernées en pratique). Avant ce seuil, c'est zone grise interprétative, et la prudence dicte la désignation préventive.
Vous pouvez désigner un DPO volontairement même sans obligation Art. 37. Le RGPD le permet (Considérant 97), et c'est même encouragé par la CNIL dans les situations où le traitement présente « des risques particuliers ».
Avantages. Vous signalez à vos clients B2B EU sophistiqués que vous prenez la conformité au sérieux. Vous avez un signataire qualifié pour vos AIPD, vos demandes Art. 15-22, vos notifications de violation 72 h. Vous évitez de devoir improviser en cas de contrôle CNIL.
Inconvénients. Une fois désigné, le DPO doit respecter toutes les obligations Art. 38-39 : indépendance fonctionnelle (pas de double casquette avec le responsable de traitement), ressources nécessaires pour exercer ses missions, formation continue, contact public, notification CNIL. Si vous désignez quelqu'un qui ne respecte pas ces obligations, vous êtes en violation pure, ce qui est pire que de ne pas avoir désigné du tout.
Conclusion pratique : la désignation volontaire d'un DPO délégué externalisé est la voie raisonnable. L'externe est qualifié, indépendant par construction, et propose des forfaits adaptés au volume d'un solopreneur (1-4 h/mois mutualisé).
| Type de prestataire | Fourchette de prix | Pour qui ? |
|---|---|---|
| Cabinet de DPO délégué (Naaia, Trustia, Witik, Mathilde France) | 1 500 - 4 000 €/an | Solopreneur sérieux 30-100 k€ CA |
| Avocat indépendant DPO | 2 500 - 6 000 €/an | TPE avec exigences sectorielles spécifiques |
| Réseau d'experts vérifiés (Annuaire EuTrustedIA) | Prestations à la carte, ~300-600 €/h | Solopreneur qui veut un cadrage initial expert puis tournée annuelle |
| DPO interne salarié | 50-80 k€/an chargé | ETI > 50 employés ou risque réglementaire élevé |
Notre Annuaire EuTrustedIA référence des DPO délégués vérifiés et des avocats tech IA accessibles en mode rendez-vous à la carte avec remise de 10 % sur la première heure pour les abonnés AVANTAGES. C'est une voie pragmatique pour cadrer son projet sans s'engager sur un forfait d'heures imposé.
| Votre situation | Recommandation DPO |
|---|---|
| Solopreneur consulting / SaaS B2B, < 50 k€ CA, pas d'Art. 9 | Pas obligatoire, pas besoin pour l'instant. Tenez votre registre Art. 30. |
| Solopreneur SaaS avec 500-5 000 utilisateurs, données classiques | Pas obligatoire. Désignation volontaire optionnelle, à coût-bénéfice. |
| Solopreneur santé, RH IA, légal IA, traitement Art. 9 grande échelle | Probablement obligatoire (critère c). Désigner un DPO délégué externalisé immédiatement. |
| Startup B2B 10-50 k€ MRR avec clients EU sophistiqués | Désignation volontaire recommandée comme signal commercial + opposabilité. DPO délégué externalisé. |
| ETI > 50 employés, ou suivi systématique grande échelle | Obligatoire (critère b). DPO interne ou prestation lourde dédiée. |
Avant de souscrire un forfait DPO, validez les 4 questions suivantes :
Le DPO n'est obligatoire que dans 3 situations précises définies par l'Art. 37. Un solopreneur classique en dehors de ces situations n'a pas l'obligation, mais peut désigner volontairement un DPO délégué externalisé comme stratégie commerciale ou prudentielle. Pour un solopreneur IA Niveau 3 (produit exposé aux clients) au-delà de ~10 000 utilisateurs, la désignation devient prudente.
Notre Annuaire EuTrustedIA référence des DPO délégués vérifiés accessibles à la carte. Pour un audit cartographié de votre traitement avec analyse des trois critères Art. 37, voir nos plans POSITRONIA-CORE.
Cet article a été rédigé par Claude Opus 4.7 sur la base du Framework EUDAI v1. Relecture humaine Laurent SOUHY. Vos retours : contact@eutrustedia.eu.