En janvier 2025, la CNIL a annoncé que la cybersécurité des collectivités territoriales serait l’une de ses trois thématiques prioritaires de contrôle pour l’année (source : CNIL, Les contrôles de la CNIL en 2025). Le signal est clair : les communes ne sont plus à l’abri d’un contrôle. Et la “conformité orale” — celle qui repose sur la bonne volonté sans documentation — n’a plus aucune valeur.
Votre commune gère des données d’état civil, des listes électorales, des fichiers de cantine scolaire, des inscriptions au centre de loisirs, des demandes de permis de construire. Autant de traitements de données personnelles qui entrent dans le champ du Règlement Général sur la Protection des Données. Si vous n’avez pas encore structuré votre conformité, voici les étapes concrètes pour le faire.
Pourquoi les collectivités sont particulièrement exposées
Les collectivités territoriales traitent un volume considérable de données personnelles, souvent sensibles : état civil des administrés, prestations sociales, données de santé (CCAS), données financières (impôts locaux, subventions), inscriptions scolaires (source : CNIL, Collectivités territoriales). Ce patrimoine informationnel attire deux types de risques.
Le risque cyber
En 2023, les collectivités représentaient 17 % des incidents de cybersécurité signalés à l’ANSSI. Les rançongiciels ciblent prioritairement les structures mal protégées, et les petites communes — qui n’ont souvent ni RSSI, ni politique de sécurité formalisée — sont des cibles faciles.
L’attaque de la ville d’Angers en 2021 reste dans les mémoires : deux semaines de paralysie des services municipaux, des données inaccessibles, un coût de remédiation estimé à plusieurs centaines de milliers d’euros. Des communes de toutes tailles ont subi des incidents similaires depuis.
Le risque juridique
Le RGPD prévoit des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du budget annuel pour les organismes publics. En pratique, les sanctions contre les collectivités sont pour l’instant modérées (mises en demeure, rappels à l’ordre), mais la trajectoire est claire : la CNIL durcit le ton.
En 2026, la conformité documentée est devenue la norme. “Pas de document = pas de conformité”, résume la CNIL dans sa trajectoire 2025-2028 (source : Axens Audit, RGPD 2026).
Les cinq obligations RGPD incontournables pour votre commune
1. Désigner un Délégué à la Protection des Données (DPO)
Le RGPD impose à toutes les structures publiques de désigner un DPO (source : CNIL, Principes clés pour les collectivités). Cette obligation s’applique à toutes les communes, quelle que soit leur taille. Le DPO peut être un agent interne, un élu formé, ou un prestataire externe mutualisé.
Pour les petites communes, la mutualisation via le Centre de Gestion départemental est une solution pragmatique. Le CDG 35, par exemple, propose un service DPO mutualisé pour les collectivités d’Ille-et-Vilaine (source : CDG 35).
Les missions du DPO :
- Informer et conseiller la collectivité sur ses obligations
- Contrôler le respect du RGPD en interne
- Coopérer avec la CNIL en cas de contrôle
- Être le point de contact des administrés sur leurs droits
2. Tenir un registre des traitements
Le registre des traitements est le socle de votre conformité. Il recense l’ensemble des traitements de données personnelles réalisés par votre commune, avec pour chacun :
- La finalité du traitement (pourquoi vous collectez ces données)
- Les catégories de données collectées
- Les personnes concernées
- Les destinataires des données
- Les durées de conservation
- Les mesures de sécurité
La CNIL propose un modèle de registre simplifié, gratuit et adapté aux petites structures (source : CNIL, Fiches pratiques pour les collectivités). Partez de ce modèle et adaptez-le à votre réalité.
Pour une commune type, les traitements courants sont :
| Traitement | Données | Durée de conservation |
|---|---|---|
| État civil | Nom, prénom, date de naissance, filiation | Illimitée (registres) |
| Listes électorales | Nom, adresse, nationalité | Mise à jour annuelle |
| Cantine scolaire | Nom de l’enfant, régime alimentaire, coordonnées parents | Année scolaire + 1 an |
| Inscriptions activités | Nom, âge, coordonnées, certificat médical | Durée de l’activité + 1 an |
| Vidéoprotection | Images des espaces publics | 30 jours maximum |
3. Informer les administrés
Vos administrés ont le droit de savoir quelles données vous collectez, pourquoi, et comment les exercer (accès, rectification, effacement). Cette information doit être accessible, claire et complète.
Concrètement, cela implique de :
- Ajouter des mentions légales RGPD sur votre site web et votre application mobile
- Afficher une mention d’information sur les formulaires papier et numériques
- Créer une page “Protection des données” accessible depuis votre appli et votre site
- Désigner un point de contact pour les demandes d’exercice de droits
4. Sécuriser les données
Le RGPD impose au responsable de traitement de prendre “toutes les mesures utiles” pour garantir la sécurité des données (source : CNIL, Guide sur les obligations des collectivités). Pour une commune, les mesures de base incluent :
- Mots de passe robustes : 12 caractères minimum, changement tous les 6 mois, pas de réutilisation
- Mises à jour : système d’exploitation, logiciels métiers, antivirus maintenus à jour
- Sauvegardes : quotidiennes, testées régulièrement, stockées en dehors du réseau local
- Gestion des accès : chaque agent n’accède qu’aux données nécessaires à sa mission
- Sensibilisation : formation annuelle des agents aux risques cyber (phishing, rançongiciels)
5. Gérer les violations de données
En cas de fuite, perte ou accès non autorisé à des données personnelles, votre commune a 72 heures pour notifier la CNIL. Si le risque pour les personnes concernées est élevé, vous devez également les informer directement.
Préparez un plan de gestion des incidents avant qu’ils ne surviennent : qui constate ? Qui évalue la gravité ? Qui notifie la CNIL ? Qui informe les administrés ? Ce plan doit être documenté et connu des agents clés.
Le cas particulier de l’application mobile
Si votre commune utilise une application mobile, celle-ci collecte potentiellement des données personnelles : identifiants d’appareil, géolocalisation (si activée), données de formulaire, préférences de notification. La CNIL a justement fait des applications mobiles l’une de ses thématiques prioritaires de contrôle en 2025.
Avant de choisir un prestataire, vérifiez :
- Où sont hébergées les données (idéalement en France ou dans l’UE)
- Quelles données sont collectées et pourquoi
- Si un consentement explicite est demandé pour les données non nécessaires
- Si les données sont chiffrées en transit et au repos
- Si le prestataire est prêt à signer un contrat de sous-traitance RGPD (article 28)
Une solution comme Mairie en Direct intègre ces exigences dès sa conception : hébergement français, collecte minimale de données, consentement natif, et contrat de sous-traitance conforme.
Comment se préparer à un contrôle de la CNIL
La CNIL peut contrôler votre commune de quatre façons : sur place (dans vos locaux), en ligne (en vérifiant vos sites et applications), sur pièces (en demandant des documents), ou sur audition (en convoquant le responsable de traitement).
Pour être prêt, constituez un “dossier de conformité” comprenant :
- La délibération désignant le DPO
- Le registre des traitements à jour
- Les mentions d’information affichées sur vos supports
- Les analyses d’impact (pour les traitements à risque)
- Le plan de gestion des violations de données
- Les preuves de formation des agents
- Les contrats de sous-traitance avec vos prestataires numériques
Ce dossier est votre meilleure protection. En cas de contrôle, il démontre votre démarche de conformité, même si tout n’est pas encore parfait.
Former vos agents au RGPD
La conformité RGPD n’est pas qu’une affaire de juristes ou d’informaticiens. Chaque agent qui manipule des données personnelles doit connaître les règles de base :
- Ne pas communiquer de données par téléphone sans vérifier l’identité du demandeur
- Ne pas laisser un écran allumé avec des données accessibles quand on quitte son poste
- Ne pas envoyer de fichiers contenant des données personnelles par email non sécurisé
- Signaler immédiatement toute anomalie (email suspect, demande inhabituelle, perte d’un appareil)
Prévoyez une session de sensibilisation annuelle de 2 heures pour l’ensemble des agents, avec des cas pratiques adaptés à leur quotidien professionnel.
Un calendrier réaliste de mise en conformité
La mise en conformité RGPD n’est pas un projet à 6 mois. C’est un processus continu. Mais les premières étapes sont rapides :
Mois 1 : Désignez votre DPO (interne ou mutualisé). Déclarez-le à la CNIL via le formulaire en ligne.
Mois 2-3 : Réalisez votre registre des traitements. Commencez par les 10 traitements les plus courants. Complétez au fil de l’eau.
Mois 4 : Mettez à jour vos mentions d’information (site web, application, formulaires). Créez votre page “Protection des données”.
Mois 5-6 : Formez vos agents. Rédigez votre plan de gestion des violations.
En continu : Maintenez votre registre à jour, renouvelez les formations, auditez vos pratiques chaque année.
Passer à l’action
Le RGPD n’est pas un épouvantail. C’est un cadre de bonnes pratiques qui protège vos administrés et sécurise votre commune. La conformité est un investissement, pas une charge. Et les outils existent pour simplifier la démarche, même dans les plus petites collectivités.
Protéger les données de vos administrés, c’est protéger leur confiance. Et la confiance est le socle de toute relation entre une commune et ses habitants.
Vous cherchez une application mobile conforme au RGPD pour votre commune ? Réservez votre démo et découvrez comment Mairie en Direct intègre la protection des données dès sa conception.
Cet article fait partie de notre Guide pour collectivités.
