Les collectivités territoriales – communes, intercommunalités, départements, régions – traitent un volume considérable de données personnelles de leurs administrés : état civil, listes électorales, services sociaux, cantine scolaire, vidéoprotection. La CNIL a sanctionné la commune de Kourou de 6 900 euros via la procédure simplifiée (2023) pour un système de vidéoprotection non conforme, et a mis en demeure plus de 20 communes en 2022 pour absence de DPO. Ce guide détaille les obligations RGPD collectivités territoriales et les solutions pratiques.
Points Clés
- La désignation d’un DPO est obligatoire pour toutes les collectivités territoriales sans exception (Art. 37(1)(a) RGPD).
- Le registre des traitements doit couvrir tous les services : état civil, social, scolaire, urbanisme, police municipale.
- La vidéoprotection dans l’espace public relève à la fois du Code de la sécurité intérieure et du RGPD.
- La mutualisation du DPO entre communes est autorisée et recommandée par la CNIL pour les petites collectivités.
DPO obligatoire : une exigence non négociable
L’Art. 37(1)(a) RGPD impose la désignation d’un délégué à la protection des données (DPO) pour tout organisme public, quelle que soit sa taille. Cette obligation s’applique à toutes les collectivités territoriales : de la commune de 200 habitants à la métropole de 2 millions.
En pratique, la CNIL constate un taux de conformité insuffisant. En 2022, elle a lancé une campagne de mise en demeure ciblant 22 communes n’ayant pas désigné de DPO. En mars 2025, elle a rappelé que seulement 59 % des communes de plus de 20 000 habitants et 30 % des communes plus petites avaient formalisé cette désignation.
Mutualisation du DPO. L’Art. 37(3) RGPD autorise explicitement la mutualisation : un même DPO peut être désigné pour plusieurs collectivités. Les centres de gestion (CDG) proposent souvent ce service. La CNIL recommande que le DPO mutualisé ne couvre pas plus de 15 à 20 collectivités pour assurer un suivi effectif.
Profil du DPO. Le DPO doit disposer de connaissances juridiques et techniques suffisantes (Art. 37(5) RGPD). Il peut être un agent de la collectivité (DPO interne) ou un prestataire externe. L’élu ou le directeur général des services ne peut pas être DPO en raison du conflit d’intérêts avec ses fonctions décisionnelles.
Registre des traitements : périmètre spécifique
Le registre des traitements (Art. 30 RGPD) d’une collectivité territoriale doit couvrir l’ensemble des services. Voici les traitements les plus courants à documenter.
État civil. Naissances, mariages, décès, PACS. Base légale : obligation légale (Art. 6(1)© RGPD). Durée de conservation : registres conservés indéfiniment (archives publiques).
Listes électorales. Inscription, radiation, communication aux candidats et partis. Base légale : obligation légale. La liste électorale est communicable dans les conditions fixées par le Code électoral.
Services scolaires et périscolaires. Inscriptions cantine, garderie, transport scolaire. Données des enfants (données de mineurs, protection renforcée). Base légale : mission d’intérêt public (Art. 6(1)(e) RGPD). Les données de tarification (quotient familial) impliquent des données financières dont la diffusion doit être strictement limitée.
Action sociale. CCAS, aide sociale, RSA, aide alimentaire. Ces traitements impliquent souvent des données sensibles (situation familiale, handicap, revenus) protégées par l’Art. 9 RGPD. L’exception de l’Art. 9(2)(h) (protection sociale) s’applique.
Urbanisme. Permis de construire, déclarations préalables, cadastre. Les données d’urbanisme sont en partie communicables au titre de la transparence administrative mais les données personnelles des pétitionnaires restent protégées.
Police municipale. Main courante, vidéoprotection, verbalisations. Ces traitements impliquent des obligations spécifiques au titre de la directive Police-Justice (UE) 2016/680 pour les traitements à finalité pénale.
Vidéoprotection : double cadre juridique
La vidéoprotection dans l’espace public par les collectivités relève de deux cadres juridiques cumulatifs.
Code de la sécurité intérieure (CSI). L’installation de caméras sur la voie publique nécessite une autorisation préfectorale (Art. L.251-1 et suivants du CSI). La demande doit préciser les finalités (prévention des atteintes à la sécurité des personnes et des biens, régulation du trafic, constatation d’infractions), le nombre et l’emplacement des caméras, et les conditions de conservation des images.
RGPD. La vidéoprotection constitue un traitement de données personnelles (les images de personnes identifiables sont des données personnelles). Le traitement doit figurer au registre, une analyse d’impact (AIPD) est obligatoire (la CNIL l’a inscrit dans sa liste de traitements nécessitant systématiquement une AIPD), et les personnes doivent être informées (panneaux d’affichage sur zone, information en mairie).
Durée de conservation. Les images de vidéoprotection doivent être conservées 30 jours maximum (Art. L.252-3 CSI). En pratique, la CNIL recommande une durée de 15 à 30 jours sauf extraction pour les besoins d’une enquête.
Sanctions. La CNIL a sanctionné la commune de Kourou (6 900 euros, 2023) pour un système de vidéoprotection ne respectant pas les durées de conservation et l’information des personnes. Plusieurs communes ont fait l’objet de mises en demeure pour des caméras filmant l’intérieur d’habitations privées.
Sous-traitants éditeurs de logiciels
Les collectivités territoriales s’appuient massivement sur des éditeurs de logiciels spécialisés (Berger-Levrault, Arpège, Ciril Group, JVS-Mairistem) pour la gestion de leurs traitements. Ces éditeurs sont sous-traitants au sens de l’Art. 28 RGPD.
Obligations contractuelles. Chaque contrat avec un éditeur doit inclure un DPA conforme précisant les instructions de traitement, les mesures de sécurité, les conditions de sous-traitance ultérieure (hébergement cloud), les modalités d’audit et les conditions de restitution des données en fin de contrat.
Problème récurrent : l’absence de DPA. La CNIL constate que de nombreux marchés publics conclus avant 2018 ne contiennent pas de clauses conformes à l’Art. 28 RGPD. Les collectivités doivent mettre à jour ces contrats par avenant.
Hébergement cloud. Vérifiez la localisation des données : certains éditeurs hébergent chez AWS ou Azure, ce qui implique des enjeux de transfert hors UE. Pour les données sensibles (action sociale, santé scolaire), un hébergement en France ou en UE est fortement recommandé.
Mutualisation et coopération intercommunale
La coopération intercommunale soulève des questions spécifiques en matière de RGPD.
Transfert de compétences. Lorsqu’une commune transfère une compétence à un EPCI (communauté de communes, d’agglomération), la responsabilité du traitement des données associées est transférée avec la compétence. Le registre des traitements doit être mis à jour en conséquence.
Mise à disposition de services. Lorsqu’un agent communal est mis à disposition de l’intercommunalité, les données RH sont traitées sous la responsabilité conjointe (Art. 26 RGPD) ou selon les modalités définies dans la convention de mise à disposition.
DPO mutualisé. Au-delà des CDG, les EPCI peuvent mutualiser un DPO pour l’ensemble de leurs communes membres. Cette solution est la plus efficace pour les petites collectivités.
La conformité RGPD des collectivités territoriales est un processus structurant qui améliore la gouvernance des données publiques. Les outils de conformité comme Legiscope permettent de centraliser le registre, de suivre les demandes d’exercice de droits et d’automatiser les audits de conformité des sous-traitants.
FAQ
Une commune de 500 habitants doit-elle vraiment désigner un DPO ?
Oui, sans exception. L’Art. 37(1)(a) RGPD impose la désignation d’un DPO à tout organisme public, sans seuil de population. La CNIL a mis en demeure des communes de toutes tailles pour absence de DPO. La mutualisation via un centre de gestion (CDG) ou un EPCI est la solution recommandée pour les petites collectivités.
La vidéoprotection municipale nécessite-t-elle une AIPD ?
Oui. La CNIL a inscrit les dispositifs de vidéoprotection dans sa liste de traitements nécessitant systématiquement une analyse d’impact (Art. 35 RGPD). L’AIPD doit évaluer la nécessité et la proportionnalité du dispositif, les risques pour les droits des personnes filmées et les mesures d’atténuation (limitation des zones filmées, durées de conservation, restriction des accès).
Les listes électorales sont-elles communicables aux citoyens ?
Les listes électorales sont communicables dans les conditions fixées par l’Art. L.37 du Code électoral : tout électeur peut en prendre connaissance en mairie. Cependant, la communication de la liste sous forme numérique à des fins de prospection politique ou commerciale est interdite. La CNIL a rappelé que l’utilisation de la liste électorale à des fins de prospection commerciale constitue un détournement de finalité (Art. 5(1)(b) RGPD).
Une collectivité peut-elle être sanctionnée financièrement par la CNIL ?
Oui. Depuis le RGPD, la CNIL peut prononcer des amendes administratives contre les organismes publics, y compris les collectivités territoriales. Les montants restent généralement plus modérés que pour le secteur privé (quelques milliers à dizaines de milliers d’euros via la procédure simplifiée), mais la publicité de la décision constitue une sanction réputationnelle significative pour un élu local.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope