Cybersécurité & RGPD

RGPD et mairie : registre des traitements, sous-traitants, DPO mutualisé

Registre des traitements, choix du DPO, sous-traitance, traitements critiques, violation de données : guide RGPD opérationnel pour secrétaires de mairie.

Publié le Mis à jour le 11 min de lecture
Sommaire6

Le RGPD s’applique à toutes les communes françaises sans exception de taille. Une commune de 200 habitants comme une métropole sont également tenues au registre des traitements, à la désignation d’un délégué à la protection des données, à la sécurisation des traitements et à la gestion des droits des administrés. Ce guide opérationnel s’adresse en priorité aux secrétaires de mairie et aux responsables administratifs, pour rendre praticables des textes qui peuvent paraître abstraits.

Cadre légal RGPD appliqué aux mairies

Le cadre juridique repose sur deux textes principaux et leur articulation. Le règlement européen 2016/679 (RGPD), entré en application le 25 mai 2018, fixe les principes directement applicables dans tous les États membres. La loi Informatique et Libertés du 6 janvier 1978, modifiée en profondeur en 2018 puis 2019 pour s’aligner sur le RGPD, complète et précise le règlement en droit national, notamment pour les traitements régaliens du secteur public.

Pour les collectivités locales, la CNIL maintient une rubrique dédiée : cnil.fr/fr/collectivites-locales. On y trouve des fiches pratiques par traitement (état civil, élections, cantine scolaire, vidéoprotection), des modèles de registre, et des avis sectoriels qui précisent l’interprétation des textes pour les communes.

Une spécificité essentielle des communes : le responsable de traitement (la personne morale qui détermine les finalités et les moyens des traitements) est la commune elle-même, représentée par le maire. C’est le maire qui signe les contrats de sous-traitance, qui notifie en cas de violation, qui est l’interlocuteur de la CNIL. Les sanctions administratives prononcées par la CNIL (amende jusqu’à 20 M€ ou 4 % du chiffre d’affaires pour le secteur privé, plafonds adaptés pour les acteurs publics) sont supportées par la commune en tant que personne morale, pas par le maire sur son patrimoine privé. En revanche, le maire reste exposé à des poursuites pénales personnelles en cas de manquement caractérisé (par exemple articles 226-16 à 226-24 du Code pénal sur les atteintes aux droits de la personne résultant des traitements de données : collecte frauduleuse, traitement sans déclaration, conservation au-delà de la durée légale, divulgation à un tiers non habilité). Ces sanctions pénales (jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende selon l’infraction) sont personnelles et relèvent du tribunal correctionnel.

Une seconde spécificité : la majorité des traitements communaux reposent sur une base légale d’obligation légale (article 6.1.c du RGPD) ou de mission d’intérêt public (article 6.1.e). Le consentement (6.1.a), très fréquent dans le secteur privé, est plus rare en commune — on le retrouve surtout pour les newsletters facultatives et certains formulaires de demande citoyenne.

Le registre des traitements : ce qu’il doit contenir

L’article 30 du RGPD impose à toute organisation, y compris les plus petites communes, la tenue d’un registre des activités de traitement. C’est le document central de conformité, et le premier que la CNIL demande en cas de contrôle. Son absence est une non-conformité majeure.

Pour chaque traitement, le registre doit consigner au minimum :

  • Le nom du traitement et sa finalité (par exemple : « Gestion de l’état civil — délivrance d’actes »).
  • La base légale (obligation légale, mission d’intérêt public, consentement, contrat, intérêt vital, intérêt légitime — pour le secteur public, essentiellement les deux premières).
  • Les catégories de personnes concernées (administrés, agents, élus, usagers d’un service spécifique).
  • Les catégories de données traitées (identité, coordonnées, données familiales, données de santé pour la cantine si allergies, etc.).
  • Les destinataires (services internes, organismes externes obligatoires comme la préfecture ou la trésorerie, sous-traitants techniques).
  • La durée de conservation (en archive courante, intermédiaire, puis sort final — élimination, versement aux archives départementales).
  • Les mesures de sécurité (chiffrement, contrôle d’accès, sauvegarde).
  • Les transferts hors UE éventuels (rares en commune, sauf usage d’outils non européens).

La CNIL met à disposition un modèle de registre téléchargeable adapté aux collectivités, ainsi qu’une version pré-remplie pour les communes de moins de 250 habitants. Nous pouvons également fournir un modèle pré-rempli adapté au contexte de Mairie.app — il suffit de nous le demander.

Le registre est un document vivant : il doit être mis à jour à chaque nouveau traitement (ouverture d’un service en ligne, nouveau formulaire, nouvelle base de données) et revu intégralement au moins une fois par an.

Le DPO : 3 options pour les communes

La désignation d’un délégué à la protection des données (DPO, anciennement CIL) est obligatoire pour toutes les autorités publiques, sans seuil de taille (article 37.1.a du RGPD). Une commune de 100 habitants doit donc avoir un DPO désigné comme une métropole. Trois options s’offrent à la collectivité.

Comparaison des trois options de DPO pour une commune française
OptionCoût annuel indicatifAvantagesLimites
DPO interne (agent dédié)25 000 € à 50 000 € (salaire chargé)Connaissance fine de l’organisation, disponibilité immédiateRéservé aux communes > 30 000 habitants ; risque d’isolement
DPO mutualisé (CDG ou intercommunalité)800 € à 2 500 € (selon population)Expertise sectorielle, coût maîtrisé, partage de bonnes pratiquesDisponibilité limitée, charge croissante côté CDG
DPO externalisé (prestataire privé)3 000 € à 8 000 €Réactivité contractuelle, expertise éventuellement sectorielleCoût plus élevé, connaissance secteur public variable

Pour la majorité des communes de moins de 10 000 habitants, le DPO mutualisé via le centre de gestion de la fonction publique territoriale ou l’intercommunalité est l’option la plus rationnelle. Vérifiez si votre CDG ou EPCI propose ce service avant d’explorer d’autres pistes.

Quel que soit le mode retenu, la désignation doit être notifiée à la CNIL via le téléservice dédié, et ses coordonnées doivent figurer dans la politique de confidentialité du site internet.

Sous-traitance et DPA : qui signe quoi

Dès qu’une commune confie un traitement de données personnelles à un tiers (éditeur de site internet, hébergeur, prestataire de mailing, gestionnaire de logiciel métier), elle devient responsable de traitement et le tiers devient son sous-traitant au sens RGPD. L’article 28 du règlement encadre cette relation.

L’instrument central est le DPA — Data Processing Agreement, ou « accord de traitement des données ». Ce document, distinct du contrat commercial, précise les obligations du sous-traitant : nature du traitement, instructions du responsable, confidentialité, mesures de sécurité, gestion des sous-traitants ultérieurs, assistance en cas de violation, sort des données en fin de contrat.

Mairie.app fournit un DPA standard téléchargeable, conforme aux exigences RGPD, signé dès l’ouverture du compte. Voir notre DPA et notre politique de confidentialité pour les modalités précises.

La question des sous-traitants ultérieurs (sous-traitants du sous-traitant) doit être traitée explicitement. Si Mairie.app utilise Scalingo (hébergeur à Strasbourg), Resend (envoi d’emails transactionnels) ou Brevo (newsletters), ces sous-traitants ultérieurs sont listés dans le DPA et soumis aux mêmes obligations. Toute évolution de cette liste doit être notifiée au responsable de traitement (la commune) qui peut s’y opposer dans un délai raisonnable.

Bonne pratique : tenir un tableau des sous-traitants et des DPA signés, à jour, joint au registre des traitements. En cas de contrôle CNIL, c’est la première pièce demandée pour démontrer la maîtrise de la chaîne de sous-traitance.

Les 5 traitements RGPD critiques en commune

Sur la dizaine à la trentaine de traitements qu’opère une commune type, cinq concentrent l’essentiel des risques juridiques et politiques. Ils méritent une vigilance particulière dans le registre et dans la pratique quotidienne.

1. État civil — le livre des registres

Base légale. Obligation légale (Code civil, Code général des collectivités territoriales). Le maire est officier de l’état civil au nom de l’État, ce qui complexifie le partage de responsabilité avec la commune. Données. Identité complète, filiation, événements de vie. Vigilance. Conservation extrêmement longue (registres centenaires), accès strictement encadré, sortie de données aux administrés possible uniquement sur justification.

2. Listes électorales

Base légale. Obligation légale (Code électoral). Données. Identité, adresse, nationalité (pour les ressortissants UE en élections municipales et européennes). Vigilance. L’usage de la liste est strictement encadré par l’article R. 16 du Code électoral : communication aux candidats et partis pour usage électoral exclusivement, jamais à des fins commerciales ou autres. Risque pénal en cas de détournement d’usage.

3. Vidéosurveillance et vidéoprotection

Base légale. Autorisation préfectorale (Code de la sécurité intérieure) + RGPD. Données. Images des personnes filmées dans l’espace public. Vigilance. Information du public obligatoire (panneaux à proximité des caméras), durée de conservation limitée (30 jours en général), accès aux images sur réquisition uniquement. La CNIL contrôle régulièrement ce traitement et publie des avis.

4. Personnel et agents communaux (gestion RH)

Base légale. Exécution du contrat de travail, obligation légale, mission d’intérêt public. Données. Identité, carrière, rémunération, santé (médecine du travail), absences. Vigilance. Données sensibles (santé) à isoler du dossier RH général ; durées de conservation différenciées (dossier administratif vs paie vs maladie professionnelle) ; accès strictement limité aux agents habilités.

5. Contacts citoyens et newsletter

Base légale. Consentement (pour la newsletter facultative) ; mission d’intérêt public (pour la gestion des demandes d’administrés). Données. Email, parfois nom, contenu de la demande. Vigilance. Bouton de désinscription dans chaque envoi de newsletter, durée de conservation paramétrée pour les contacts, séparation stricte entre les listes de diffusion communales et un usage électoraliste (interdiction absolue d’utiliser le fichier mairie pour la campagne).

Que faire en cas de violation de données

Une violation de données personnelles est définie largement par le RGPD : toute atteinte à la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données personnelles. Cela inclut autant un vol par cyberattaque qu’un courriel envoyé par erreur à la mauvaise liste.

Procédure en 5 étapes

  1. Constater et qualifier. Identifier la nature de la violation (confidentialité, intégrité, disponibilité), les données concernées, le nombre de personnes potentiellement impactées, le niveau de risque pour leurs droits et libertés.
  2. Notifier la CNIL sous 72 heures. Obligation de l’article 33 du RGPD dès lors qu’un risque pour les personnes existe. Au-delà des 72 heures, motivation du retard nécessaire. Notification via le téléservice CNIL : cnil.fr — notifier une violation.
  3. Informer les personnes concernées si le risque pour leurs droits et libertés est élevé (article 34 RGPD). Le message doit être clair, concret, en français simple, et indiquer les mesures prises et les actions recommandées (changer son mot de passe, surveiller ses comptes bancaires, etc.).
  4. Documenter la violation dans un registre dédié, même si elle n’a pas été notifiée à la CNIL. La traçabilité interne est obligatoire et permet de démontrer la maîtrise de l’incident en cas de contrôle.
  5. Corriger et prévenir. Analyser la cause racine, déployer les correctifs techniques et organisationnels, sensibiliser à nouveau les agents si la cause était humaine.

Pour préparer concrètement la réponse à incident, voir notre article cybersécurité du site de mairie et notre page sur la conformité RGPD de la plateforme. Pour la dimension cybermalveillance, le portail cybermalveillance.gouv.fr fournit kits de communication et mise en relation avec des prestataires spécialisés.

Erreur fréquente à éviter. Beaucoup de communes considèrent qu’un courriel envoyé par erreur à une mauvaise liste, ou qu’un fichier déposé par erreur sur le site public, ne sont pas des « violations » au sens RGPD. C’est faux : ce sont précisément les cas les plus fréquemment notifiés à la CNIL. La règle est simple : en cas de doute, qualifier l’incident en violation et l’examiner dans la procédure ci-dessus, plutôt que d’écarter sans analyse.

Ressources complémentaires. Les obligations de publication d’un site de commune sont détaillées dans notre guide des 14 obligations légales d’un site de mairie.

Questions fréquentes — RGPD et mairie

Vous pourriez aussi consulter

Passez à l’action

Lancez le site officiel
de votre commune, aujourd’hui.

Essai 30 jours sans carte. Prix publics, accessibilité RGAA visée, hébergement souverain en France. Vous conservez votre site existant en parallèle si la solution ne vous convient pas.