Pourquoi les collectivites territoriales sont concernees par le RGPD
Les collectivites territoriales comptent parmi les organismes les plus exposes aux obligations du RGPD. Communes, departements, regions, intercommunalites et syndicats mixtes traitent quotidiennement des volumes considerables de donnees personnelles concernant leurs administres, leurs agents et leurs partenaires.
Les donnees collectees couvrent l’ensemble des competences exercees : etat civil, listes electorales, inscriptions scolaires et periscolaires, action sociale, urbanisme, gestion des ressources humaines, police municipale, eau et assainissement. Certaines de ces donnees relevent de categories sensibles au sens de l’article 9 du RGPD, notamment les donnees de sante dans le cadre du CCAS ou les donnees relatives aux infractions dans le cadre de la police municipale.
La CNIL a identifie les collectivites territoriales comme un secteur prioritaire de controle. Les sanctions peuvent atteindre 20 millions d’euros ou 4 % du budget annuel. Au-dela des sanctions financieres, une violation de donnees dans une collectivite affecte directement la confiance des citoyens envers le service public.
La loi Informatique et Libertes modifiee et le decret du 1er aout 2018 renforcent les obligations specifiques des collectivites en matiere de protection des donnees. La designation d’un delegue a la protection des donnees est obligatoire pour toute autorite publique, quelle que soit sa taille.
L’obligation de designer un DPO dans une collectivite
L’article 37 du RGPD impose la designation d’un delegue a la protection des donnees lorsque le traitement est effectue par une autorite publique ou un organisme public. Cette obligation s’applique sans exception a toutes les collectivites territoriales, independamment de leur taille ou du nombre d’habitants.
Une commune de 200 habitants est soumise a la meme obligation qu’une metropole de 500 000 habitants. Le RGPD ne prevoit aucun seuil minimal. La CNIL a rappele cette obligation a plusieurs reprises et a engage des procedures de mise en demeure contre des collectivites n’ayant pas designe de DPO.
Le DPO peut etre un agent de la collectivite designe en interne ou un prestataire externe. Pour les petites et moyennes collectivites, la mutualisation du DPO entre plusieurs communes ou le recours a un DPO externe constitue souvent la solution la plus adaptee. Les centres de gestion departementaux proposent egalement des services de DPO mutualise.
La designation du DPO doit etre communiquee a la CNIL via le teleservice dedie. Le DPO doit disposer des ressources necessaires a l’exercice de ses missions et ne peut recevoir aucune instruction concernant l’exercice de ses fonctions.
Les donnees personnelles traitees par les collectivites
Etat civil et elections
Les registres d’etat civil contiennent des donnees particulierement sensibles : naissances, mariages, deces, reconnaissances, mentions marginales. Les listes electorales comprennent les coordonnees de l’ensemble des electeurs inscrits. Le DPO veille au respect des durees de conservation specifiques et a la securisation de l’acces a ces registres.
Action sociale et CCAS
Les centres communaux d’action sociale traitent des donnees relatives a la situation familiale, aux revenus, a l’etat de sante et au handicap des beneficiaires. Ces donnees relevent des categories sensibles du RGPD et exigent des mesures de protection renforcees. Le DPO s’assure que les traitements respectent le principe de minimisation et que l’acces est strictement limite aux agents habilites.
Urbanisme et amenagement
Les demandes de permis de construire, les declarations prealables et les certificats d’urbanisme contiennent des donnees personnelles des petitionnaires : identite, adresse, situation cadastrale. Le DPO verifie que ces donnees sont conservees conformement aux durees reglementaires et que leur communication respecte les regles d’acces aux documents administratifs.
Ressources humaines
La gestion des agents territoriaux genere des traitements nombreux : paie, carrieres, formation, medecine professionnelle, action sociale interne, evaluations. Le DPO accompagne la direction des ressources humaines dans la securisation de ces traitements et le respect des droits des agents.
Police municipale et videoprotection
Les dispositifs de videoprotection, les proces-verbaux electroniques et les fichiers de police municipale font l’objet d’un encadrement renforce. Le DPO veille au respect des autorisations prefectorales, des durees de conservation des images et de l’information des personnes filmees.
Services scolaires et periscolaires
Les inscriptions scolaires, la restauration, les activites periscolaires et extrascolaires necessitent la collecte de donnees sur les enfants et leurs familles, y compris des donnees de sante pour les projets d’accueil individualise (PAI). Le DPO s’assure que le consentement parental est recueilli lorsqu’il est necessaire et que les donnees des mineurs beneficient d’une protection adaptee.
Les missions du DPO dans une collectivite territoriale
Le DPO realise un audit exhaustif des traitements de donnees personnelles de la collectivite. Il cartographie l’ensemble des traitements par service : etat civil, social, urbanisme, ressources humaines, finances, technique, police municipale. Cette cartographie constitue la base du registre des traitements obligatoire.
Il conseille les elus et la direction generale sur les obligations liees a la protection des donnees. Chaque nouveau projet impliquant des donnees personnelles fait l’objet d’une analyse prealable : teleservices, applications mobiles, plateformes participatives, smart city, open data. Le DPO integre la protection des donnees des la conception du projet.
Le DPO elabore les analyses d’impact relatives a la protection des donnees (AIPD) pour les traitements a risque. La videoprotection, le fichier d’action sociale, les teleservices avec authentification et la gestion des infractions de stationnement figurent parmi les traitements necessitant une AIPD.
Il met en place les procedures de gestion des droits des personnes : droit d’acces, de rectification, d’effacement, de limitation. Les collectivites recoivent regulierement des demandes d’acces aux donnees de la part des administres. Le DPO forme les agents a identifier et traiter ces demandes dans les delais legaux.
Le DPO supervise la securite des systemes d’information. Il travaille en lien avec le responsable de la securite des systemes d’information (RSSI) ou le prestataire informatique pour garantir la protection des donnees contre les cyberattaques, les rancongiciels et les fuites de donnees. Les collectivites sont des cibles privilegiees des cyberattaques.
Les enjeux specifiques des collectivites territoriales
L’open data et la protection des donnees
La loi pour une Republique numerique impose aux collectivites de plus de 3 500 habitants la publication en open data de leurs documents administratifs et bases de donnees. Le DPO intervient pour garantir l’anonymisation effective des donnees avant publication. Les techniques de pseudonymisation et d’anonymisation doivent etre suffisamment robustes pour empecher toute reidentification.
Les teleservices et la dematerialisation
La generalisation des teleservices (inscriptions en ligne, paiement en ligne, demarches administratives) multiplie les points de collecte de donnees personnelles. Le DPO verifie que chaque teleservice respecte les principes de protection des donnees des la conception et par defaut. L’authentification des usagers, le chiffrement des echanges et la gestion des consentements font l’objet d’une attention particuliere.
La mutualisation intercommunale
Les transferts de competences entre communes et intercommunalites impliquent des transferts de fichiers et de traitements de donnees. Le DPO accompagne ces transferts en s’assurant que les conditions de partage des donnees sont formalisees par des conventions et que les droits des personnes sont preserves.
Comment choisir un DPO externe pour une collectivite
Le choix d’un DPO externe pour une collectivite exige des competences specifiques au secteur public. La certification DPO delivree par un organisme accredite par la CNIL constitue le prerequis minimal. L’experience dans le secteur des collectivites territoriales est un critere determinant.
Le DPO doit connaitre le cadre reglementaire propre aux collectivites : code general des collectivites territoriales, loi CADA, loi pour une Republique numerique, referentiel general de securite (RGS). Cette double competence RGPD et droit public permet d’adapter les recommandations au contexte specifique de chaque collectivite.
Evaluez la capacite du prestataire a intervenir sur site pour former les agents, animer des ateliers de sensibilisation et participer aux reunions avec les elus. La proximite geographique et la disponibilite du DPO constituent des elements importants pour une collectivite.
Verifiez les references du prestataire aupres d’autres collectivites de taille comparable. Un DPO ayant accompagne des communes, des intercommunalites ou des departements connait les problematiques specifiques et propose des solutions eprouvees.
Le cout d’un DPO externe pour une collectivite
Les tarifs d’un DPO externe pour une collectivite varient selon la taille de la structure et le nombre d’habitants. Pour une commune de moins de 5 000 habitants, les tarifs se situent entre 200 et 500 euros par mois. Ce montant couvre l’audit initial, la mise en conformite et le suivi regulier.
Les communes de 5 000 a 20 000 habitants doivent prevoir un budget mensuel de 500 a 1 000 euros. L’accompagnement inclut la gestion des teleservices, la formation des agents et le suivi des sous-traitants.
Les intercommunalites et les grandes collectivites investissent entre 1 000 et 3 000 euros mensuels pour un accompagnement complet incluant la coordination multi-sites, la gestion des AIPD et le support aux equipes pluridisciplinaires.
Ces montants restent bien inferieurs au cout d’un DPO interne a temps plein dont le salaire annuel se situe entre 45 000 et 70 000 euros. La mutualisation entre plusieurs communes permet de reduire encore les couts tout en beneficiant d’une expertise de qualite.
Les erreurs a eviter pour une collectivite
La premiere erreur consiste a considerer la conformite RGPD comme un projet ponctuel alors qu’il s’agit d’une demarche continue. Le DPO doit etre associe a chaque nouveau projet de la collectivite impliquant des donnees personnelles.
Negliger la formation des agents constitue une lacune frequente. Les agents d’accueil, les agents d’etat civil, les travailleurs sociaux et les policiers municipaux manipulent quotidiennement des donnees personnelles. Leur sensibilisation aux bonnes pratiques est indispensable.
Confier la mission de DPO au directeur general des services ou au responsable informatique sans lui degager du temps et des moyens suffisants compromet l’efficacite de la demarche. Le DPO doit pouvoir exercer ses missions en toute independance.
Ne pas formaliser les relations avec les sous-traitants informatiques expose la collectivite a des risques importants. Les editeurs de logiciels metier, les hebergeurs et les prestataires de maintenance doivent signer des clauses conformes a l’article 28 du RGPD.
Article redige par Laurent de Cavel, DPO certifie. Contactez DPO France pour un accompagnement specialise de votre collectivite territoriale.
