RGPD collectivité territoriale : obligations et guide pratique 2026
RGPD commune et collectivité : DPO obligatoire, état civil, vidéoprotection, téléservices, mutualisation du DPO, CCAS. Obligations et checklist 2026.
- La collectivité, responsable de traitement de plein exercice
- Traitements typiques d’une collectivité
- Données sensibles et spécificités du secteur public
- DPO : obligatoire, sans exception
- Les sous-traitants d’une collectivité
- Sécurité : les collectivités, cibles privilégiées
- Contrôles CNIL et priorités du secteur public local
- Checklist de conformité pour une collectivité
- FAQ
L’essentiel. Une collectivité territoriale — commune, département, région, EPCI — est un organisme public au sens de l’Art. 37(1)(a) du RGPD : la désignation d’un DPO y est obligatoire, sans seuil de taille. Une commune de 300 habitants comme une métropole doivent en désigner un, la mutualisation via un centre de gestion ou un EPCI étant la solution de terrain. La collectivité traite des données massives et souvent sensibles : état civil, listes électorales, aide sociale, cantine, urbanisme, vidéoprotection. Sa base légale ne peut jamais être l’intérêt légitime : elle repose sur l’obligation légale (Art. 6(1)©) ou la mission d’intérêt public (Art. 6(1)(e)).
Une collectivité territoriale est probablement le responsable de traitement le plus polyvalent qui soit. Une commune de taille moyenne gère en parallèle l’état civil, les listes électorales, l’urbanisme, le centre communal d’action sociale, la restauration scolaire et le périscolaire, la petite enfance, le cimetière, la vidéoprotection de l’espace public, les téléservices en ligne et, comme tout employeur, les données de ses agents. Chacune de ces activités est un traitement de données à caractère personnel, souvent adossé à un logiciel métier distinct et à un éditeur distinct. Dans les accompagnements que je mène auprès de collectivités, la difficulté n’est jamais l’absence de bonne volonté, mais la dispersion : personne n’a une vision d’ensemble des traitements, des durées et des sous-traitants. C’est exactement ce que le RGPD demande de reconstruire. Voici la méthode.
La collectivité, responsable de traitement de plein exercice
La collectivité, personne morale de droit public, est responsable de traitement au sens de l’Art. 4(7) du RGPD. C’est l’exécutif — le maire, le président du conseil départemental ou régional — qui l’engage juridiquement. Cette qualification emporte l’ensemble des obligations : registre, information des administrés, sécurité, gestion des droits, notification des violations.
Une conséquence est trop souvent ignorée : un organisme public ne peut pas fonder ses traitements sur l’intérêt légitime. L’Art. 6(1), dernier alinéa, exclut expressément cette base pour les traitements effectués par les autorités publiques dans l’exécution de leurs missions. La collectivité doit donc rattacher chaque traitement soit à une obligation légale (Art. 6(1)©), soit à une mission d’intérêt public ou à l’exercice de l’autorité publique (Art. 6(1)(e)), soit, résiduellement, au consentement pour les traitements facultatifs (newsletter municipale, application de la ville).
Traitements typiques d’une collectivité
| Traitement | Base légale | Durée de conservation indicative |
|---|---|---|
| Registres de l’état civil | Art. 6(1)© obligation légale | Conservation permanente puis versement aux archives |
| Listes électorales | Art. 6(1)© obligation légale | Mise à jour permanente, historique encadré |
| Urbanisme (permis, déclarations) | Art. 6(1)(e) mission d’intérêt public | Durée du dossier + archivage légal |
| Aide sociale (CCAS) | Art. 6(1)(e) + Art. 9(2)(b)/(h) pour la santé | Durée de l’aide + prescriptions applicables |
| Restauration scolaire et périscolaire | Art. 6(1)(e) mission d’intérêt public | Année scolaire + facturation |
| Téléservices et démarches en ligne | Art. 6(1)© ou Art. 6(1)(e) | Durée de la démarche + archivage |
| Vidéoprotection de l’espace public | Art. 6(1)(e) mission d’intérêt public | 1 mois maximum (sauf réquisition) |
| Gestion des agents (RH, paie) | Art. 6(1)(b)/© | Durées légales RH |
| Communication municipale, newsletter | Art. 6(1)(a) consentement | Jusqu’au retrait du consentement |
Ce tableau doit se retrouver, activité par activité, dans le registre des activités de traitement. Pour une collectivité, ce registre est volumineux : il est fréquent d’y recenser trente à soixante fiches de traitement. Les durées de conservation renvoient largement au Code du patrimoine et aux instructions d’archivage publiques ; le tableau des durées de conservation doit être construit en lien avec le service des archives.
Données sensibles et spécificités du secteur public
Plusieurs activités de la collectivité manipulent des données sensibles au sens RGPD relevant de l’Art. 9, au premier rang desquelles l’action sociale. Le centre communal d’action sociale (CCAS) traite des données de santé, de situation familiale, de précarité, parfois de handicap. La base légale combine la mission d’intérêt public (Art. 6(1)(e)) et une exception de l’Art. 9(2), typiquement l’Art. 9(2)(b) (droit de la protection sociale) ou l’Art. 9(2)(h) (prise en charge sociale). Le principe de minimisation est ici déterminant : on ne collecte que ce qui est strictement nécessaire à l’instruction du droit.
Deux autres spécificités méritent attention. D’une part, l’usage du NIR (numéro de sécurité sociale) est strictement encadré et réservé à des finalités précises. D’autre part, l’état civil, les listes électorales et le recensement produisent des fichiers dont la communicabilité obéit à des règles propres (Code des relations entre le public et l’administration, Code électoral), qui se combinent avec le RGPD sans s’y substituer.
La vidéoprotection de l’espace public
Il faut distinguer deux régimes. La vidéoprotection filmant la voie publique relève du Code de la sécurité intérieure (articles L. 251-1 et suivants) : elle suppose une autorisation préfectorale préalable, une information du public par panneaux, et une durée de conservation des images limitée à un mois au maximum, sauf réquisition judiciaire. La vidéosurveillance des seuls locaux internes de la collectivité (mairie, ateliers) relève, elle, du régime de droit commun sous le contrôle de la CNIL. Le déploiement d’un système étendu de vidéoprotection appelle une analyse d’impact (AIPD).
DPO : obligatoire, sans exception
C’est le point qui distingue radicalement la collectivité du secteur privé. L’Art. 37(1)(a) du RGPD impose la désignation d’un délégué à la protection des données à tout organisme public, quelle que soit sa taille. Une commune de quelques centaines d’habitants est donc soumise à la même obligation qu’une région. Il n’existe pas de seuil, pas de dérogation liée aux moyens. Notre guide détaille l’ensemble des cas où le DPO est obligatoire.
En pratique, aucune petite commune ne peut employer un DPO à temps plein. La réponse est la mutualisation :
- désignation d’un DPO mutualisé au niveau de l’EPCI (communauté de communes, d’agglomération) ;
- recours au DPO d’un centre de gestion de la fonction publique territoriale ;
- adhésion à un syndicat mixte ou à un groupement proposant ce service ;
- externalisation auprès d’un prestataire spécialisé.
Un même DPO peut ainsi couvrir plusieurs dizaines de communes. Le RGPD l’autorise expressément (Art. 37(3) : un DPO unique pour plusieurs organismes publics). Pour arbitrer entre mutualisation et externalisation, les repères de coût figurent dans notre analyse des tarifs d’un DPO externalisé. Dans tous les cas, les coordonnées du DPO doivent être publiées (site de la collectivité) et communiquées à la CNIL.
Les sous-traitants d’une collectivité
Une collectivité s’appuie sur un écosystème dense d’éditeurs et de prestataires qui traitent des données pour son compte, au sens de l’Art. 28 du RGPD :
- éditeurs des logiciels métier (état civil, élections, urbanisme, action sociale, cantine, cimetière) ;
- éditeur de la paie et du SIRH des agents ;
- prestataire des téléservices et de la plateforme de démarches en ligne ;
- hébergeur des données et des sauvegardes ;
- exploitant de la vidéoprotection et de la maintenance des caméras ;
- prestataire d’envoi de la newsletter et de l’application citoyenne.
Chacun doit signer un contrat conforme à l’Art. 28(3). L’évaluation de ces prestataires gagne à s’appuyer sur un questionnaire sous-traitants RGPD standardisé, d’autant que les marchés publics permettent d’exiger ces clauses dès le cahier des charges. Point d’attention : la localisation et l’hébergement des données des téléservices et des solutions cloud, qui doivent rester maîtrisés au regard des transferts hors UE.
C’est ce type de documentation sectorielle qu’un logiciel RGPD permet d’industrialiser, en générant le registre, les fiches de traitement et le suivi des sous-traitants pour l’ensemble des services d’une collectivité.
Sécurité : les collectivités, cibles privilégiées
Les collectivités sont devenues une cible majeure des rançongiciels : hôpitaux, communes et intercommunalités sont régulièrement paralysés. L’Art. 32 du RGPD impose des mesures adaptées, et l’ANSSI a publié des recommandations spécifiques au secteur public local. Le socle attendu :
- authentification forte (MFA) sur les applications métier et les accès distants ;
- gestion rigoureuse des habilitations, par service et par profil ;
- chiffrement des postes et des sauvegardes, sauvegardes hors ligne testées ;
- cloisonnement réseau et maintien à jour des systèmes ;
- traçabilité des accès, notamment aux données de l’état civil et de l’action sociale ;
- charte informatique opposable aux agents ;
- procédure de gestion des incidents et plan de continuité.
Toute violation de données présentant un risque doit être notifiée à la CNIL dans les 72 heures — obligation régulièrement méconnue des petites structures.
Contrôles CNIL et priorités du secteur public local
Le secteur public local fait l’objet d’une attention constante de la CNIL, qui a publié plusieurs guides et packs de conformité dédiés aux collectivités. Sans citer de décisions particulières, les manquements le plus souvent relevés sont :
- Absence de DPO désigné ou DPO fictif, sans moyens ni implication réelle.
- Vidéoprotection non conforme : durée de conservation excessive, absence d’information du public, périmètre filmant des zones interdites.
- Téléservices insuffisamment sécurisés exposant des données d’administrés.
- Registre incomplet et durées de conservation non maîtrisées.
- Sous-traitance des éditeurs non contractualisée au sens de l’Art. 28.
Un audit RGPD organisé autour de ces cinq axes est la meilleure préparation à un contrôle. La collectivité doit pouvoir démontrer sa conformité, la responsabilité pesant sur l’exécutif en tant que responsable de traitement.
Checklist de conformité pour une collectivité
- [ ] Désigner un DPO (interne ou mutualisé) et publier ses coordonnées.
- [ ] Recenser tous les traitements dans un registre service par service.
- [ ] Vérifier que chaque traitement repose sur l’Art. 6(1)© ou (e), jamais sur l’intérêt légitime.
- [ ] Encadrer la vidéoprotection (autorisation préfectorale, panneaux, 1 mois max) et la soumettre à AIPD si nécessaire.
- [ ] Sécuriser les téléservices et informer les administrés (Art. 13).
- [ ] Cloisonner les accès à l’état civil et à l’action sociale (CCAS).
- [ ] Signer un DPA Art. 28 avec chaque éditeur et l’imposer dès le marché public.
- [ ] Construire les durées de conservation avec le service des archives (Code du patrimoine).
- [ ] Déployer MFA, sauvegardes hors ligne, traçabilité et plan de continuité.
- [ ] Formaliser la procédure de notification des violations à la CNIL sous 72 heures.
FAQ
Une petite commune doit-elle vraiment désigner un DPO ?
Oui. L’Art. 37(1)(a) du RGPD impose un DPO à tout organisme public, sans seuil de taille. Une commune de 200 habitants y est soumise comme une métropole. La solution réaliste est la mutualisation : DPO de l’EPCI, du centre de gestion, ou prestataire externe couvrant plusieurs communes.
Une collectivité peut-elle invoquer l’intérêt légitime comme base légale ?
Non, pas pour les traitements liés à ses missions publiques. L’Art. 6(1), dernier alinéa, exclut l’intérêt légitime pour les autorités publiques dans l’exécution de leurs missions. La base légale doit être l’obligation légale (Art. 6(1)©) ou la mission d’intérêt public (Art. 6(1)(e)), voire le consentement pour les services facultatifs.
Combien de temps conserver les images de vidéoprotection de la voie publique ?
Un mois au maximum, sauf réquisition judiciaire ou signalement d’incident. La vidéoprotection de l’espace public relève du Code de la sécurité intérieure : elle suppose une autorisation préfectorale, une information du public et une durée de conservation strictement encadrée.
Un même DPO peut-il servir plusieurs communes ?
Oui. L’Art. 37(3) du RGPD autorise expressément la désignation d’un DPO unique pour plusieurs organismes publics. C’est le fondement de la mutualisation via les EPCI, les centres de gestion ou les syndicats mixtes.
Le CCAS est-il un responsable de traitement distinct de la commune ?
Le CCAS est un établissement public administratif doté de la personnalité juridique : il est responsable de traitement pour ses propres activités d’action sociale, qui manipulent des données sensibles (santé, précarité). Il doit donc disposer de sa propre gouvernance RGPD, en pratique souvent portée par le même DPO que la commune.
La vidéoprotection communale nécessite-t-elle une analyse d’impact ?
Le déploiement d’un système étendu de vidéoprotection, en particulier couplé à des dispositifs de reconnaissance ou de suivi, relève généralement de l’analyse d’impact obligatoire (AIPD) au titre de l’Art. 35, compte tenu de la surveillance systématique d’une zone accessible au public.