DPO & RGPD11 avril 20269 min de lecture

DPO IA externalise a Marseille : comment une PME PACA se met en conformite AI Act et RGPD en 2026

Avant le 2 aout 2026, toute PME de Marseille, Aix, Vitrolles ou Nice utilisant l'IA doit avoir un referent conformite. DPO externalise, cout moyen, obligations AI Act et RGPD, plan d'action concret : le guide complet pour une PME PACA.

Pourquoi les PME de Marseille ont besoin d'un DPO IA en 2026

En avril 2026, la plupart des dirigeants de PME a Marseille, Aix-en-Provence, Vitrolles ou Nice utilisent deja des outils d'intelligence artificielle au quotidien : ChatGPT pour les emails, Copilot pour les devis, un logiciel de recrutement avec scoring, un chatbot sur le site. Le probleme : quasiment aucune de ces PME n'a formalise de gouvernance conformite autour de ces outils.

Le 25 mai 2018, le RGPD a impose aux entreprises europeennes de reflechir a leurs donnees personnelles. Le 2 aout 2026, l'EU AI Act imposera la meme discipline pour l'intelligence artificielle. Et comme pour le RGPD, la majorite des PME attendront la derniere minute, voire le premier controle, pour s'organiser.

Digital Work accompagne depuis Vitrolles les PME de la region PACA sur leurs obligations reglementaires. Cet article explique concretement pourquoi vous avez besoin d'un DPO etendu aux obligations IA, combien ca coute, et comment choisir entre DPO interne et DPO externalise.

Qu'est-ce qu'un DPO IA et pourquoi maintenant ?

Le DPO classique (RGPD)

Le Delegue a la Protection des Donnees (DPO) est un role cree par le RGPD en 2018. Son role est simple : veiller a ce que l'entreprise respecte les obligations de protection des donnees personnelles, documenter les traitements, former les equipes, et etre l'interlocuteur de la CNIL en cas de controle.

La designation d'un DPO est obligatoire dans trois cas : autorite ou organisme public, suivi regulier et systematique a grande echelle, traitement a grande echelle de donnees sensibles. En pratique, la grande majorite des PME ne sont pas obligees d'en designer un, mais beaucoup le font quand meme pour se proteger en cas de controle.

Le DPO etendu a l'IA Act

Avec l'entree en application de l'EU AI Act le 2 aout 2026, les obligations s'etendent. Le reglement n'impose pas formellement la creation d'un nouveau poste, mais il introduit des obligations qui recoupent largement le role du DPO :

  • Inventaire des systemes d'IA utilises dans l'entreprise (article 6)
  • Classification des risques (minimal, limite, haut risque, inacceptable)
  • Documentation technique pour chaque systeme haut risque (article 11 et Annexe IV)
  • Analyse d'impact sur les droits fondamentaux (FRIA, article 27) pour les organismes publics et prestataires de services publics
  • Transparence vis-a-vis des personnes concernees (article 52)
  • Supervision humaine formalisee (article 14)

En pratique, pour une PME PACA, la solution la plus efficace est de confier ces obligations a un DPO etendu a l'IA, souvent designe comme "DPO IA" ou "Referent Conformite IA et Donnees". C'est le meme profil, le meme interlocuteur, avec des competences elargies.

Les 3 options pour une PME PACA

Option 1 : DPO interne a plein temps

Recruter un DPO en CDI. Cout salarial complet : entre 55 000 et 80 000 euros par an (salaire + charges patronales) pour un profil senior capable de traiter RGPD et AI Act. C'est l'option la plus solide, mais elle n'est justifiee que pour des PME de 100 salaries et plus, ou pour des entreprises tres exposees (sante, RH, finance).

Pour une PME PACA de 10 a 50 salaries, c'est disproportionne.

Option 2 : DPO interne a temps partiel

Former un collaborateur existant (RSSI, juriste, DAF) aux obligations RGPD et AI Act, et lui allouer 20 a 30 pourcent de son temps au role de DPO. Cout : formation initiale 2 000 a 4 000 euros + temps interne (variable). C'est une option courante dans les PME, mais elle presente trois limites : surcharge de la personne designee, montee en competence lente, absence d'independance (le DPO doit pouvoir contester les decisions de sa direction).

Option 3 : DPO externalise

Confier le role a un prestataire externe specialise, avec un forfait mensuel ou annuel. C'est l'option retenue par la majorite des PME PACA entre 5 et 100 salaries. Cout : entre 200 et 800 euros par mois selon le niveau d'accompagnement. Digital Work propose cette prestation a Marseille, Aix, Vitrolles, Toulon et Nice, avec une approche qui combine outil SaaS (MaConformite) et expertise humaine.

Ce que fait concretement un DPO externalise Digital Work

Mois 1 : audit initial

  • Cartographie des traitements de donnees personnelles (RGPD)
  • Inventaire des systemes d'IA utilises (EU AI Act)
  • Identification des zones a risque (recrutement, scoring, sante, surveillance)
  • Diagnostic de conformite et priorisation des actions
  • Remise d'un rapport ecrit avec un plan d'action sur 6 mois

Mois 2 a 3 : mise en conformite documentaire

  • Production ou mise a jour du registre des traitements RGPD
  • Production de l'Annexe IV pour chaque systeme d'IA haut risque
  • Realisation des FRIA (analyses d'impact sur les droits fondamentaux)
  • Mise a jour de la politique de confidentialite et des mentions legales
  • Redaction des procedures internes : droits des personnes, violation de donnees, reponse a un controle CNIL

Mois 4 et au-dela : suivi continu

  • Interlocuteur designe aupres de la CNIL et de l'autorite de surveillance IA
  • Veille reglementaire (nouvelles recommandations CNIL, lignes directrices europeennes, jurisprudence)
  • Formation des equipes (2 a 4 sessions par an)
  • Reponse aux demandes d'exercice de droits (acces, effacement, opposition)
  • Audits de conformite semestriels
  • Support en cas d'incident de securite ou de controle

Combien coute un DPO externalise a Marseille ?

Les tarifs varient selon la taille de l'entreprise, le nombre de traitements et les risques specifiques. Voici une grille indicative pour une PME PACA :

Forfait Starter (200 a 350 euros/mois)

Pour une PME de 5 a 20 salaries, sans usage sensible (pas de sante, pas de recrutement automatise, pas de scoring). Comprend : audit initial, registre des traitements, politique de confidentialite, 1 point mensuel, interlocuteur CNIL.

Forfait Standard (400 a 600 euros/mois)

Pour une PME de 20 a 50 salaries avec usage modere de l'IA (ChatGPT, copilots, chatbot client). Comprend tout le Starter + analyses d'impact IA, formation annuelle des equipes, veille reglementaire, audit semestriel.

Forfait Premium (700 a 1 200 euros/mois)

Pour une PME de 50 a 150 salaries avec usages IA a haut risque (recrutement, scoring credit, sante, education). Comprend tout le Standard + production complete des Annexes IV et FRIA, 2 formations par an, audit trimestriel, support incident 24h.

Comparaison : une mise en demeure CNIL coute entre 3 000 et 20 000 euros en frais d'avocat pour la reponse initiale, sans compter l'amende. Un DPO externalise Standard sur 12 mois coute 4 800 a 7 200 euros et previent la quasi totalite des risques de controle. Le retour sur investissement est immediat des qu'il y a un debut de controle.

DPO externalise Digital Work : pourquoi cette combinaison ?

Digital Work est une agence basee a Vitrolles qui intervient dans toute la region PACA. Notre approche DPO externalise repose sur trois piliers :

1. Un outil SaaS qui automatise 70 pourcent du travail

Nous utilisons MaConformite, notre plateforme de conformite EU AI Act, pour automatiser la production documentaire. Le diagnostic initial est fait en 3 minutes par le dirigeant, l'Annexe IV est pre-generee avec les bonnes sections, la FRIA est guidee etape par etape. Le DPO Digital Work n'a plus qu'a valider, adapter et personnaliser les 30 pourcent restants.

Resultat : une prestation plus rapide et moins couteuse qu'un cabinet d'avocats parisien qui facture chaque document en heures.

2. Proximite et connaissance du terrain PACA

Nous ne sommes pas un cabinet parisien qui vient en visio une fois par trimestre. Nous sommes bases a Vitrolles, nous intervenons sur site a Marseille, Aix, Toulon ou Nice, nous connaissons les PME de la region (artisans, commerce, sante, services, industrie). Nous parlons le langage des dirigeants de PME, pas celui des juristes d'un grand groupe.

3. Combinaison RGPD + AI Act + creation de site

Digital Work est aussi une agence web et une societe de developpement. Nous refondons votre site internet en integrant la conformite des le design (bandeau cookies propre, politique de confidentialite, mentions legales, securite). Quand un DPO externalise traditionnel pointe un probleme sur votre site, il vous envoie chez un developpeur. Nous, nous corrigeons directement.

FAQ : les questions que les PME PACA nous posent

Notre entreprise est obligee d'avoir un DPO ?

Techniquement non, sauf si vous etes un organisme public, si vous faites du suivi systematique a grande echelle (plateforme en ligne, application mobile tres utilisee) ou si vous traitez des donnees sensibles a grande echelle (sante, donnees genetiques, opinions politiques). Mais sans DPO, vous vous exposez a un risque en cas de controle. La grande majorite des PME PACA au dessus de 10 salaries ont interet a avoir au moins un referent formel.

Je peux designer mon responsable informatique comme DPO ?

Non. Le RGPD interdit les conflits d'interet. Votre RSI configure les outils, il ne peut pas en meme temps etre celui qui controle la conformite de ces memes outils. De meme pour le DAF qui valide les achats. La bonne pratique est de designer un DPO independant : soit un collaborateur non operationnel (juriste, qualite, secretaire general), soit un DPO externalise.

L'EU AI Act s'applique meme si j'utilise juste ChatGPT ?

Oui, meme ChatGPT. Si vous envoyez des donnees de candidats, de clients ou de salaries dans ChatGPT, vous etes concerne a la fois par le RGPD (transfert de donnees personnelles vers un prestataire hors UE pour la version grand public) et par l'EU AI Act (usage d'une IA qui peut influencer des decisions). L'obligation est proportionnelle : si l'usage est a risque limite, vous avez juste une obligation de transparence et de formation.

Combien de temps faut-il pour une mise en conformite complete ?

Pour une PME standard, comptez 3 a 6 mois pour atteindre un niveau satisfaisant de conformite : audit, documentation, registre, formation. Ensuite, c'est un travail continu. L'erreur classique est de vouloir tout faire en 2 semaines : la conformite n'est pas un etat qu'on atteint une fois, c'est un processus.

Quelle est la sanction maximale pour une PME ?

Pour le RGPD : 20 millions d'euros ou 4 pourcent du CA mondial. Pour l'EU AI Act : 15 millions d'euros ou 3 pourcent du CA. En pratique, les PME ne recoivent pas directement une amende maximale : la premiere visite d'une autorite de controle se solde souvent par une mise en demeure avec delai de mise en conformite. Mais il arrive de plus en plus frequemment que la CNIL publie le nom des PME sanctionnees, avec un impact reputationnel considerable.

Pourquoi Digital Work plutot qu'un cabinet parisien ?

Prix, proximite, operationnalite. Un cabinet parisien facture entre 1 500 et 3 000 euros par mois pour une prestation DPO similaire a notre Standard a 500 euros. Nous sommes a 30 minutes de Marseille et de Aix. Et surtout, nous sommes aussi votre agence web et votre expert IA, donc quand il y a un probleme technique, nous le reglons immediatement au lieu de vous rediriger vers trois prestataires differents.

Conclusion : prenez de l'avance sur le 2 aout 2026

La deadline EU AI Act approche et la plupart des PME PACA ne sont pas preparees. Designer un DPO etendu aux obligations IA est la solution la plus simple pour se mettre en conformite et dormir tranquille. Digital Work propose un accompagnement concret, a un prix adapte aux PME, avec une presence physique en region PACA.

Si vous etes a Marseille, Aix-en-Provence, Vitrolles, Toulon, Nice ou ailleurs en PACA et que vous voulez savoir ou vous en etes, prenez contact. Le diagnostic initial est gratuit et vous donnera une feuille de route claire.

Questions fréquentes

Combien coute un DPO externalise a Marseille pour une PME ?+
Entre 200 et 800 euros par mois selon la taille de la PME et la complexite des traitements. Digital Work propose trois forfaits : Starter (200 a 350 euros/mois pour 5 a 20 salaries), Standard (400 a 600 euros/mois pour 20 a 50 salaries avec IA) et Premium (700 a 1 200 euros/mois pour 50 a 150 salaries avec usage IA haut risque). A comparer aux 55 000 a 80 000 euros/an d'un DPO interne ou aux 1 500 a 3 000 euros/mois d'un cabinet parisien.
Est-ce que ma PME est obligee d'avoir un DPO en 2026 ?+
Obligatoire dans trois cas : organisme public, suivi systematique a grande echelle, traitement a grande echelle de donnees sensibles. La majorite des PME PACA n'ont pas l'obligation formelle, mais il est tres recommande d'avoir au moins un referent formellement designe. Avec l'entree en application de l'EU AI Act le 2 aout 2026, toute PME qui utilise l'IA pour des taches a risque haut ou limite a interet a designer un DPO IA externalise.
Quelle difference entre DPO classique et DPO IA ?+
Le DPO classique couvre le RGPD (donnees personnelles). Le DPO IA etend ce role aux obligations de l'EU AI Act (inventaire des systemes IA, classification des risques, documentation Annexe IV, analyses d'impact FRIA, supervision humaine). En pratique, c'est le meme interlocuteur mais avec des competences elargies. Digital Work forme ses DPO aux deux reglements et propose un accompagnement unifie.
Je peux designer mon RSSI ou mon DAF comme DPO interne ?+
Non, c'est interdit. Le RGPD exige l'absence de conflit d'interet. Un RSSI ou un DAF prend des decisions operationnelles et ne peut pas en meme temps en controler la conformite. La solution est soit un collaborateur non operationnel (juriste, qualite, secretaire general) soit un DPO externalise, qui est une personne independante du fonctionnement operationnel et capable de challenger la direction.
Combien de temps dure une mise en conformite RGPD et AI Act pour une PME ?+
Comptez 3 a 6 mois pour atteindre un niveau satisfaisant : mois 1 pour l'audit et la cartographie, mois 2 et 3 pour la production documentaire (registre, Annexe IV, FRIA, procedures), mois 4 a 6 pour la formation des equipes et les premiers audits internes. Ensuite, la conformite est un travail continu avec des points trimestriels et des mises a jour reglementaires. L'erreur a eviter est de vouloir tout faire en 2 semaines : ca donne une conformite superficielle qui ne tient pas en controle.
Que se passe-t-il si ma PME ne fait rien avant le 2 aout 2026 ?+
A partir du 3 aout 2026, toute PME qui utilise un systeme d'IA haut risque non conforme est techniquement en infraction. Les autorites de surveillance (probablement la CNIL en France) ciblent les secteurs les plus exposes en priorite : sante, RH, finance, education. La premiere etape est generalement une mise en demeure avec delai de mise en conformite. En cas de non reponse ou de recidive, les sanctions peuvent atteindre 3 pourcent du CA mondial pour l'EU AI Act et 4 pourcent pour le RGPD. Plus important, les noms des PME sanctionnees sont de plus en plus publics, avec un impact reputationnel considerable.

Besoin d'un accompagnement personnalisé ?

Digital Work vous accompagne dans la mise en conformité RGPD et AI Act, de l'audit initial au suivi annuel, depuis Vitrolles.

Diagnostic DPO IA gratuit pour votre PME PACA