Pour être conforme au RGPD, une collectivité territoriale doit désigner un DPO — obligatoire pour tout organisme public quelle que soit sa taille — fonder ses traitements sur la mission d’intérêt public ou l’obligation légale (jamais le consentement pour l’état civil, les listes électorales ou les téléservices), protéger les données sensibles de ses services sociaux, et encadrer sa vidéoprotection par le double cadre Code de la sécurité intérieure + RGPD. Concrètement : tenir un registre des traitements, mutualiser le DPO entre communes ou au sein de l’EPCI, appliquer des durées de conservation strictes et documenter chaque base légale. Ce guide est le volet opérationnel de notre guide de la conformité des collectivités.
Une commune, même petite, traite l’état civil, les listes électorales, l’urbanisme, la police municipale, l’action sociale et la vidéoprotection : autant de traitements sensibles et fortement encadrés. Voici, poste par poste, ce que la collectivité doit mettre en place.
Obligations RGPD spécifiques aux collectivités
Un DPO obligatoire, y compris pour les petites communes
C’est la règle la plus mal appliquée du secteur public local. Toute collectivité est un organisme public : la désignation d’un DPO est obligatoire (article 37-1-a du RGPD), quelle que soit la taille de la commune — y compris les communes de quelques centaines d’habitants. Il n’existe aucun seuil d’exemption. Voir le rôle et les missions du DPO.
Le DPO mutualisé : autorisé et recommandé
Le RGPD anticipe la contrainte des petites structures : l’article 37-3 autorise expressément plusieurs organismes publics à désigner un DPO mutualisé. C’est la solution recommandée : un DPO partagé entre communes, ou porté par l’EPCI, le centre de gestion départemental ou un syndicat intercommunal. Cela mutualise le coût et garantit une compétence réelle. Pour arbitrer entre internalisation et mutualisation, voir notre analyse du coût d’un DPO externalisé. Le DPO, mutualisé ou non, doit être déclaré à la CNIL.
État civil : conservation longue et publicité encadrée
Les registres d’état civil (naissances, mariages, décès) sont des données personnelles à la conservation quasi permanente : ce sont des archives publiques. Leur communication est strictement encadrée (délais de communicabilité selon la nature de l’acte). La base légale est l’obligation légale. La collectivité doit veiller à la sécurité des registres et à ne délivrer les copies et extraits que dans les conditions légales.
Listes électorales
La tenue des listes électorales, leur mise à jour et leur communication répondent à un cadre réglementaire précis. La base légale est l’obligation légale (article 6-1-c) : les données sont conservées selon la réglementation électorale, et leur réutilisation à des fins commerciales est prohibée.
CCAS et services sociaux : données sensibles
Le CCAS et les services sociaux traitent des informations parmi les plus protégées : situation sociale, santé, précarité, aide alimentaire, logement. Beaucoup relèvent des données sensibles de l’article 9. Elles imposent un accès strictement restreint aux seuls agents habilités, un cloisonnement vis-à-vis des autres services de la mairie, et des durées de conservation calées sur la durée de l’accompagnement puis un archivage limité.
Vidéoprotection de l’espace public : double cadre
La vidéoprotection de la voie publique est soumise à un double cadre : le Code de la sécurité intérieure (CSI) — qui impose une autorisation préfectorale préalable — et le RGPD. La base légale est la mission d’intérêt public. La durée de conservation des images est en principe d’un mois, l’information du public par panneaux est obligatoire, et l’accès aux images est tracé. Ne confondez pas la vidéoprotection de l’espace public (régime CSI + préfecture) avec la vidéosurveillance des bâtiments municipaux (régime RGPD classique).
Téléservices, urbanisme et police municipale
Les démarches en ligne (état civil dématérialisé, inscription scolaire, demandes d’urbanisme) reposent sur la mission d’intérêt public (article 6-1-e) ou l’obligation légale (article 6-1-c) — jamais sur le consentement : un administré ne « consent » pas à une démarche administrative obligatoire. L’urbanisme (permis, cadastre) et la police municipale (procès-verbaux, objets trouvés) obéissent à la même logique. Chaque traitement doit figurer au registre, avec sa base légale documentée.
Durées de conservation
| Donnée / traitement | Durée en base active | Archivage / justification |
|---|---|---|
| État civil | Conservation longue / quasi permanente | Archives publiques ; communicabilité encadrée par la loi |
| Listes électorales | Selon la réglementation électorale | Cadre réglementaire ; pas de réutilisation commerciale |
| Vidéoprotection espace public | 1 mois | Code de la sécurité intérieure + RGPD ; autorisation préfectorale |
| Dossiers sociaux (CCAS) | Durée de l’accompagnement | + archivage limité ; données sensibles (art. 9), accès restreint |
| Téléservices / démarches en ligne | Durée de la démarche | Suppression ou archivage à la clôture du dossier |
| Urbanisme (permis, autorisations) | Durée d’instruction et de validité | Archivage selon les référentiels d’archives publiques |
Bases légales par traitement
| Traitement | Base légale (art. 6 / art. 9) | Commentaire |
|---|---|---|
| État civil | Obligation légale (art. 6-1-c) | Registres publics ; publicité encadrée |
| Listes électorales | Obligation légale (art. 6-1-c) | Réutilisation commerciale interdite |
| Téléservices / démarches en ligne | Mission d’intérêt public (art. 6-1-e) / obligation légale (art. 6-1-c) | Jamais le consentement pour une démarche administrative |
| Services sociaux / CCAS | Mission d’intérêt public + art. 9-2 | Données sensibles ; accès restreint et tracé |
| Vidéoprotection espace public | Mission d’intérêt public (art. 6-1-e) + CSI | Autorisation préfectorale ; conservation 1 mois |
| Urbanisme / police municipale | Mission d’intérêt public / obligation légale | Selon la nature de l’acte |
Sanctions CNIL réelles du secteur
Le secteur public local est bel et bien sanctionné. COMMUNE DE KOUROU — 6 900 € (2023, procédure simplifiée) : une commune sanctionnée pour une vidéoprotection non conforme. Le montant paraît modeste, mais il illustre deux points : la CNIL contrôle les collectivités, et sa procédure simplifiée lui permet de sanctionner rapidement des dossiers « classiques » comme la vidéoprotection mal cadrée. Voir la rubrique sanctions de la CNIL.
Surtout, retenez le signal fort de gouvernance : en 2022, la CNIL a mis en demeure plus de 20 communes pour absence de DPO. C’est le manquement le plus fréquent et le plus facile à constater — une commune sans DPO est en infraction directe, indépendamment de tout autre grief. La priorité absolue d’une collectivité est donc de désigner (ou mutualiser) son DPO et de le déclarer. Pour le reste du dispositif, appuyez-vous sur les repères de la CNIL en matière de durées de conservation et de durées de conservation par traitement.
Erreurs courantes
- Ne pas désigner de DPO parce que « la commune est trop petite » : c’est le manquement n°1, sanctionné par plus de 20 mises en demeure en 2022. Aucun seuil d’exemption n’existe.
- Fonder les téléservices sur le consentement des administrés : une démarche administrative obligatoire repose sur la mission d’intérêt public, pas sur un choix.
- Confondre vidéoprotection de l’espace public (CSI + préfecture) et vidéosurveillance des bâtiments (RGPD classique), et oublier l’autorisation préfectorale.
- Laisser les données sociales du CCAS accessibles à d’autres services de la mairie, alors qu’il s’agit de données sensibles à accès restreint.
- Réutiliser les listes électorales ou les données d’état civil à des fins de communication ou commerciales.
- Conserver les images de vidéoprotection au-delà d’un mois sans motif d’incident.
FAQ
Une petite commune est-elle vraiment obligée de désigner un DPO ?
Oui, sans exception. Toute collectivité est un organisme public : le DPO est obligatoire au titre de l’article 37-1-a, quelle que soit la taille. La bonne nouvelle : l’article 37-3 autorise un DPO mutualisé entre communes, porté par l’EPCI ou le centre de gestion, ce qui rend l’obligation accessible même aux plus petites communes. La CNIL a d’ailleurs mis en demeure plus de 20 communes en 2022 pour absence de DPO.
Peut-on partager un DPO entre plusieurs communes ?
Oui, c’est expressément prévu et recommandé. L’article 37-3 du RGPD permet à plusieurs organismes publics de désigner un DPO unique. La mutualisation via l’intercommunalité, un syndicat ou un centre de gestion réduit le coût et garantit une compétence réelle. Voir notre analyse du coût d’un DPO.
Faut-il le consentement des administrés pour les démarches en ligne ?
Non. Les téléservices et démarches administratives reposent sur la mission d’intérêt public (article 6-1-e) ou l’obligation légale (article 6-1-c). Le consentement serait juridiquement inadapté : un administré ne peut pas « refuser de consentir » à une démarche obligatoire tout en la réalisant. Vous informez, vous ne demandez pas l’autorisation.
Quelles règles pour installer des caméras sur la voie publique ?
La vidéoprotection de l’espace public relève d’un double cadre : le Code de la sécurité intérieure, qui impose une autorisation préfectorale préalable, et le RGPD. Information du public par panneaux, conservation limitée à un mois, accès tracé et finalité de sécurité clairement définie sont obligatoires. C’est précisément sur ce terrain que la commune de Kourou a été sanctionnée.
Conclusion
Pour une collectivité, la conformité RGPD tient d’abord à deux réflexes : désigner (ou mutualiser) son DPO — le manquement le plus sanctionné — et raisonner par base légale, la mission d’intérêt public et l’obligation légale l’emportant partout sur le consentement. Ajoutez-y la protection renforcée des données sociales du CCAS, le double cadre de la vidéoprotection et des durées de conservation strictes, et vous couvrez l’essentiel du risque. Un outil comme Legiscope, qui automatise le registre des traitements et les AIPD, permet à une commune ou à un DPO mutualisé de piloter des dizaines de traitements sans se noyer dans la documentation. Commencez par le registre : il révèle immédiatement les traitements mal fondés, les durées non définies et les accès trop larges. Pour le cadre général, revenez à notre guide de la conformité des collectivités.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial