DPO mutualise entre communes : la solution pour les petites collectivites

Pourquoi mutualiser un DPO entre communes

Les petites communes et intercommunalites sont soumises aux memes obligations RGPD que les grandes collectivites. Elles doivent designer un delegue a la protection des donnees, tenir un registre des traitements, garantir la securite des donnees et respecter les droits des administres. Pourtant, leurs moyens humains et financiers sont souvent limites.

La mutualisation du DPO entre plusieurs communes constitue la reponse la plus adaptee a cette situation. Le RGPD autorise explicitement cette possibilite dans son article 37 paragraphe 3, qui prevoit qu’un DPO unique peut etre designe pour plusieurs autorites publiques, en tenant compte de leur structure organisationnelle et de leur taille.

Cette solution permet de beneficier d’une expertise professionnelle a un cout partage, tout en garantissant une conformite reelle et durable pour chaque commune participante.

Le cadre reglementaire de la mutualisation

Ce que dit le RGPD

L’article 37 paragraphe 3 du reglement general sur la protection des donnees prevoit specifiquement le cas des collectivites territoriales. Un DPO unique peut etre partage entre plusieurs autorites publiques, a condition que ce DPO soit facilement accessible pour chaque entite.

La CNIL a confirme cette possibilite dans ses recommandations aux collectivites. Elle encourage meme la mutualisation pour les petites communes qui ne disposent pas des ressources necessaires pour recruter un DPO a temps plein.

Les formes de mutualisation possibles

Plusieurs modalites de mutualisation existent pour les communes :

• Convention de mutualisation entre communes voisines
• Designation via l’intercommunalite (EPCI)
• Recours a un centre de gestion departemental
• Contrat avec un DPO externe professionnel
• Mutualisation via un syndicat mixte numerique

Chaque formule presente des avantages specifiques. Le choix depend de la taille des communes, de leur proximite geographique et de leurs besoins en matiere de protection des donnees.

Les missions du DPO mutualise pour les communes

Audit et registre des traitements

Le DPO mutualise realise un audit de conformite dans chaque commune participante. Il identifie les traitements de donnees personnelles courants : etat civil, listes electorales, gestion scolaire et periscolaire, facturation des services, videoprotection, gestion des ressources humaines et fichiers de communication.

Pour chaque commune, il etablit un registre des traitements conforme aux exigences de la CNIL. Ce registre recense l’ensemble des traitements, leurs finalites, les categories de donnees concernees et les mesures de securite mises en place.

Accompagnement a la mise en conformite

Le DPO mutualise guide chaque commune dans la mise en conformite de ses traitements. Il redige les mentions d’information pour les formulaires, les sites internet et les affichages dans les locaux municipaux.

Il aide a la mise en place des procedures de gestion des droits des administres : droit d’acces, de rectification, d’effacement et de portabilite. Ces procedures sont adaptees aux specificites de chaque commune tout en conservant une coherence d’ensemble.

Formation des agents et des elus

La formation constitue un volet essentiel de la mission du DPO mutualise. Il organise des sessions de sensibilisation pour les agents municipaux et les elus, en adaptant le contenu a leurs fonctions respectives.

Les agents en charge de l’etat civil, des affaires scolaires ou des ressources humaines recoivent une formation ciblee sur les traitements qu’ils manipulent au quotidien. Les elus sont sensibilises a leurs responsabilites en matiere de protection des donnees.

Gestion des violations de donnees

Le DPO mutualise met en place une procedure de notification des violations de donnees adaptee aux communes. En cas d’incident (fuite de donnees, piratage, perte de documents), il accompagne la commune concernee dans la notification a la CNIL et aux personnes concernees.

Il organise des exercices de simulation pour preparer les agents a reagir correctement en cas de violation. Cette preparation est particulierement importante pour les petites communes qui n’ont pas de service informatique dedie.

Veille reglementaire et conseil permanent

Le DPO mutualise assure une veille reglementaire continue. Il informe les communes de toute evolution legislative ou reglementaire susceptible d’impacter leurs traitements de donnees. Il repond aux questions des agents et des elus tout au long de l’annee.

Combien coute un DPO mutualise pour les communes

Le cout de la mutualisation depend du nombre de communes participantes et de leur taille. Plus le nombre de communes est eleve, plus le cout individuel diminue.

A titre indicatif :

• Mutualisation entre 2 a 5 communes : entre 200 et 500 euros par mois et par commune
• Mutualisation entre 5 a 15 communes : entre 150 et 350 euros par mois et par commune
• Mutualisation a l’echelle d’un EPCI (15+ communes) : entre 100 et 250 euros par mois et par commune

Ces tarifs incluent generalement l’audit initial, le registre des traitements, la formation des agents, le conseil permanent et la gestion des violations de donnees. Ils representent une fraction du cout d’un DPO a temps plein.

Comment mettre en place la mutualisation

La mise en place d’un DPO mutualise suit plusieurs etapes :

• Identifier les communes interessees et evaluer leurs besoins respectifs
• Choisir la forme de mutualisation la plus adaptee (convention, EPCI, centre de gestion)
• Rediger la convention de mutualisation definissant les droits et obligations de chaque partie
• Selectionner le DPO sur la base de ses competences et de son experience avec les collectivites
• Notifier la designation du DPO a la CNIL pour chaque commune
• Lancer l’audit initial et etablir la feuille de route de mise en conformite

Les criteres de choix d’un DPO mutualise

Pour choisir le bon DPO mutualise, les communes doivent verifier :

• Certification DPO reconnue par la CNIL
• Experience specifique avec les collectivites territoriales
• Connaissance des traitements propres aux communes (etat civil, elections, scolaire)
• Capacite a intervenir sur site dans chaque commune
• Outils de suivi et de reporting adaptes aux collectivites
• Disponibilite et reactivite garanties par contrat
• References verifiables aupres d’autres communes

Le DPO mutualise doit comprendre les enjeux specifiques des collectivites territoriales et adapter ses interventions a la realite du terrain municipal.

Article redige par Laurent de Cavel, DPO certifie et fondateur de DPO Partage. Accompagnement RGPD sur mesure pour les communes et collectivites territoriales.