RGPD et collectivites territoriales : le guide complet de conformite pour les communes, intercommunalites et departements

Les collectivites territoriales traitent quotidiennement des volumes considerables de donnees personnelles : etat civil, inscriptions scolaires, listes electorales, aide sociale, urbanisme, police municipale, videoprotection. Pourtant, la mise en conformite au RGPD reste un defi pour de nombreuses communes, intercommunalites et departements, faute de moyens humains et financiers dedies. Ce guide complet fait le point sur les obligations specifiques des collectivites et propose une feuille de route concrete pour atteindre la conformite.

Pourquoi les collectivites sont particulierement concernees par le RGPD

Les collectivites territoriales cumulent plusieurs facteurs qui rendent leur conformite a la fois indispensable et complexe. Elles traitent des donnees de l’ensemble de la population de leur territoire, y compris des personnes vulnerables (mineurs, personnes agees, beneficiaires d’aides sociales). Elles gerent des donnees sensibles (biometrie pour la CNI, donnees de sante pour les CCAS, infractions pour la police municipale). Elles sont soumises a des obligations de transparence democratique qui doivent se concilier avec la protection de la vie privee. Elles font appel a de nombreux prestataires et editeurs de logiciels metier. Enfin, elles ont une obligation legale de designer un DPO en vertu de l’article 37 du RGPD, car elles exercent des missions de service public.

Designation du DPO : une obligation pour toutes les collectivites

Toute collectivite territoriale doit designer un delegue a la protection des donnees, quelle que soit sa taille. Cette obligation decoule du fait que les collectivites sont des autorites publiques au sens du RGPD. Le DPO peut etre un agent de la collectivite (DPO interne), un prestataire externe (cabinet specialise, DPO mutualise), ou un agent mis a disposition par un centre de gestion ou une structure intercommunale. Pour les petites communes, la mutualisation du DPO au niveau intercommunal ou departemental est une solution recommandee par la CNIL, permettant de partager les couts et de beneficier d’une expertise specialisee.

Les principaux traitements de donnees des collectivites

Le registre des traitements d’une collectivite est generalement volumineux. Les traitements les plus courants incluent : l’etat civil (naissances, mariages, deces, mentions marginales), les listes electorales (inscription, radiation, communication aux candidats), les inscriptions scolaires et periscolaires (cantine, garderie, activites), la gestion des ressources humaines (paie, carriere, formation des agents), l’urbanisme (permis de construire, cadastre), les aides sociales (CCAS, RSA, APA), la videoprotection (cameras de voie publique), la police municipale (contraventions, mains courantes), la communication (site web, newsletter, reseaux sociaux), les equipements sportifs et culturels (bibliotheque, piscine, mediatheque).

Registre des traitements : la pierre angulaire

Le registre des activites de traitement est le document central de la conformite. Pour une collectivite, il doit recenser chaque traitement avec precision : la finalite (gestion de l’etat civil, inscription scolaire), les categories de donnees (identite, adresse, donnees bancaires), les destinataires (services internes, prefectures, prestataires), les durees de conservation (qui varient enormement selon les domaines), les mesures de securite et les transferts eventuels hors UE. La CNIL a publie des modeles de registre adaptes aux collectivites, disponibles sur son site. Chaque service doit contribuer a l’elaboration et a la mise a jour du registre.

Durees de conservation specifiques au secteur public

Les collectivites sont soumises a des regles de conservation particulieres, definies par le Code du patrimoine et les instructions de tri archivistique. Les registres d’etat civil sont conserves indefiniment. Les listes electorales sont archivees apres chaque revision. Les dossiers d’urbanisme sont conserves dix ans apres la decision. Les dossiers d’aide sociale sont conserves cinq ans apres la fin de la prise en charge. Les images de videoprotection sont conservees 30 jours maximum sauf procedure judiciaire. Ces regles doivent etre integrees dans le registre des traitements et dans les parametrages des logiciels metier.

Securite des systemes d’information

Les collectivites sont des cibles privilegiees des cyberattaques, comme l’ont illustre les incidents ayant touche plusieurs mairies et hopitaux publics. La securite des donnees passe par une politique de securite des systemes d’information (PSSI) adaptee au contexte local. Les mesures essentielles comprennent : la segmentation des reseaux, le chiffrement des donnees sensibles, la gestion des habilitations par service et par agent, la mise a jour reguliere des systemes, la sauvegarde quotidienne avec test de restauration, la sensibilisation des agents aux risques (phishing, mots de passe) et un plan de continuite d’activite en cas d’incident majeur.

Open data et protection des donnees

Les collectivites de plus de 3 500 habitants et les EPCI sont soumises a une obligation de publication en open data de certaines donnees administratives. Cette obligation doit se concilier avec le RGPD : seules les donnees ne permettant pas l’identification des personnes peuvent etre publiees en open data. Les donnees personnelles doivent etre anonymisees avant publication. Les deliberations du conseil municipal mentionnant des noms de personnes doivent etre pseudonymisees. Le DPO doit etre consulte avant toute publication pour verifier l’absence de donnees personnelles.

Votre collectivite a besoin d’un DPO externe ou mutualise ? DPO France accompagne les communes, intercommunalites et departements dans leur mise en conformite RGPD.

Decouvrir DPO France

Sous-traitants et editeurs de logiciels

Les collectivites font appel a de nombreux editeurs de logiciels pour la gestion de leurs missions : logiciel d’etat civil, de gestion financiere, de gestion des ressources humaines, de videoprotection, de gestion scolaire. Chaque editeur qui accede a des donnees personnelles est un sous-traitant au sens du RGPD. Les marches publics doivent integrer des clauses de conformite RGPD : contrat de sous-traitance article 28, localisation des donnees, mesures de securite, notification des violations, portabilite et suppression en fin de contrat. La migration entre editeurs doit etre anticipee pour eviter toute perte de donnees.

Feuille de route de mise en conformite

Pour les collectivites qui debutent leur demarche de conformite, une approche progressive est recommandee. Etape 1 : designer un DPO et le doter de moyens. Etape 2 : recenser les traitements de donnees par service et constituer le registre. Etape 3 : mettre a jour les mentions d’information (formulaires, site web, accueils). Etape 4 : auditer les contrats avec les prestataires et editeurs. Etape 5 : mettre en place les procedures d’exercice des droits. Etape 6 : securiser les systemes d’information et former les agents. Etape 7 : realiser les analyses d’impact pour les traitements a risque (videoprotection, aide sociale). Etape 8 : instaurer une gouvernance perenne de la protection des donnees.

Pilotez la conformite RGPD de votre collectivite avec DPO Suite : registre des traitements, analyses d’impact, suivi des sous-traitants et gestion des violations.

Decouvrir DPO Suite

Laurent de Cavel, DPO certifie

A lire aussi sur le meme sujet :