Collectivités

RGPD pour les collectivités — Conformité simplifiée

Communes, intercommunalités, CCAS, syndicats mixtes, établissements publics : le RGPD vous impose des obligations renforcées, dont la désignation obligatoire d'un DPO. Dativo vous aide à structurer votre conformité pas à pas.

Démarrer ma conformité Pourquoi sommes-nous concernés ?

Le RGPD dans les collectivités territoriales

Les collectivités territoriales sont parmi les organisations les plus exposées au RGPD. Elles traitent quotidiennement des données personnelles de milliers de citoyens, souvent des données sensibles, dans des contextes variés.

Le Règlement Général sur la Protection des Données s'applique à toutes les collectivités sans exception : communes (y compris les plus petites), intercommunalités (communautés de communes, d'agglomération, métropoles), départements, régions, ainsi que les établissements publics locaux (CCAS, offices de tourisme, syndicats mixtes, offices HLM, régies municipales).

Le DPO est obligatoire pour les collectivités

Contrairement aux entreprises privées où la désignation d'un DPO dépend de certains critères, l'article 37 du RGPD impose la désignation d'un Délégué à la Protection des Données (DPO) à tout organisme public. Cette obligation est sans condition de taille : une commune de 200 habitants est soumise à la même exigence qu'une métropole de 500 000 habitants.

Le DPO peut être un agent de la collectivité, un DPO mutualisé entre plusieurs communes (solution courante pour les petites collectivités), ou un DPO externalisé (prestataire privé). Dans tous les cas, il doit être déclaré auprès de la CNIL et dispose d'une indépendance fonctionnelle.

Des contraintes spécifiques au secteur public

Les collectivités font face à des enjeux particuliers :

Volume et variété des données : état civil, listes électorales, cadastre, aide sociale, inscriptions scolaires, vidéosurveillance, ressources humaines. Le spectre est considérablement plus large que celui d'une entreprise classique.
Données sensibles : les collectivités traitent régulièrement des données de santé (CCAS, PMI), des données relatives aux infractions (police municipale), ou des données concernant des mineurs (cantines, crèches, écoles).
Bases légales spécifiques : les traitements reposent majoritairement sur la mission d'intérêt public (article 6.1.e du RGPD) ou sur une obligation légale (article 6.1.c), plutôt que sur le consentement. Cela simplifie certains aspects mais impose une rigueur documentaire accrue.
Sous-traitants multiples : éditeurs de logiciels métier (comptabilité, état civil, urbanisme), prestataires informatiques, hébergeurs cloud. Chaque contrat doit comporter des clauses RGPD conformément à l'article 28.
Transparence vis-à-vis des citoyens : les administrés disposent de droits (accès, rectification, opposition) que la collectivité doit respecter dans des délais stricts (1 mois maximum).

La CNIL a d'ailleurs publié un guide spécifique pour les collectivités territoriales, soulignant l'importance de structurer la conformité autour d'un registre des traitements complet et à jour.

Traitements courants dans les collectivités

Tour d'horizon des principaux traitements de données personnelles que l'on retrouve dans la plupart des collectivités.

État civil

Naissances, mariages, décès, PACS : les registres d'état civil contiennent des données personnelles à conservation longue durée (75 à 100 ans). La sécurisation de ces données et la limitation des accès sont essentielles.

Listes électorales

Gestion des inscriptions, des radiations et des procés-verbaux électoraux. Ces fichiers contiennent noms, adresses et dates de naissance de l'ensemble des électeurs inscrits sur le territoire.

Ressources humaines

Paie, gestion de carrière, formation, congés, médecine du travail : les données des agents et élus sont soumises au RGPD. Les données de santé liées aux arrêts maladie nécessitent une protection renforcée.

Vidéosurveillance

Vidéoprotection sur la voie publique, dans les bâtiments municipaux ou les parkings. Ce traitement nécessite systématiquement une analyse d'impact (AIPD) en raison de la surveillance systématique à grande échelle d'un espace public.

Action sociale (CCAS)

Aide à domicile, RSA, aide alimentaire, logement d'urgence : le CCAS traite des données très sensibles (revenus, situation familiale, santé). La confidentialité et la sécurité d'accès sont primordiales.

Périscolaire et scolaire

Inscriptions à la cantine, au périscolaire, aux centres de loisirs. Les données des enfants mineurs bénéficient d'une protection renforcée et les règles de consentement parental s'appliquent.

Urbanisme et cadastre

Permis de construire, déclarations préalables, certificats d'urbanisme : ces dossiers contiennent l'identité des propriétaires, les adresses des parcelles et parfois des informations financières.

Communication et newsletters

Bulletin municipal, alertes SMS, newsletters, comptes sur les portails citoyens : la collecte des coordonnées de contact des administrés doit respecter le principe de minimisation et le droit d'opposition.

Police municipale

Procès-verbaux, mains courantes, fichiers de stationnement. Ces traitements impliquent des données relatives aux infractions, soumises à des règles particulières (article 10 du RGPD).

Comment Dativo accompagne les collectivités

Dativo propose un outil structuré et adapté aux spécificités du secteur public. Voici comment nous vous aidons à chaque étape de votre mise en conformité.

1. Un registre des traitements adapté au secteur public

Dativo vous fournit des modèles de traitements pré-remplis spécifiques aux collectivités : état civil, inscriptions scolaires, vidéosurveillance, gestion du personnel territorial, action sociale. Vous partez d'une base solide et l'adaptez à votre contexte. Le registre est le pilier de votre conformité, et il doit être exhaustif et à jour.

2. Gestion des droits des citoyens

Les administrés ont le droit d'accéder à leurs données, de les faire rectifier ou supprimer. Dativo centralise les demandes d'exercice de droits, suit les délais légaux (1 mois) et génère les courriers de réponse. Plus aucune demande ne passe entre les mailles du filet, même dans une petite commune sans service juridique dédié.

3. Suivi des analyses d'impact (AIPD)

La vidéosurveillance, les fichiers d'aide sociale ou le croisement de fichiers nécessitent une analyse d'impact. Dativo vous guide dans la réalisation de vos AIPD avec des trames structurées conformes aux recommandations de la CNIL, et assure le suivi des plans d'action associés.

4. Documentation et preuves de conformité

Le principe d'accountability impose de pouvoir démontrer votre conformité à tout moment. Dativo centralise toute votre documentation : registre, AIPD, contrats sous-traitants, politiques internes, preuves de formation des agents. En cas de contrôle de la CNIL, tout est prêt et accessible en quelques clics.

5. Mutualisation entre collectivités

Un DPO mutualisé accompagne plusieurs communes ? Dativo permet de gérer plusieurs entités depuis un même compte, avec des registres distincts mais une vision consolidée. Idéal pour les intercommunalités et les centres de gestion.

Questions fréquentes des collectivités

Les petites communes sont-elles concernées par le RGPD ?

Oui, sans exception. Le RGPD s'applique à tout organisme public, quelle que soit sa taille. Une commune de 150 habitants qui gère un fichier d'état civil, une liste électorale et un registre du personnel traite des données personnelles et doit se conformer au règlement. De plus, l'article 37 impose la désignation d'un DPO pour tous les organismes publics, même les plus petits.

Le DPO est-il obligatoire pour une collectivité ?

Oui, c'est une obligation légale (article 37.1.a du RGPD). Toute autorité publique ou tout organisme public doit désigner un Délégué à la Protection des Données. Pour les petites communes, la solution la plus courante est la mutualisation : un DPO partagé entre plusieurs collectivités, souvent porté par l'intercommunalité ou le centre de gestion départemental.

Quels traitements nécessitent une analyse d'impact (AIPD) ?

La CNIL a publié une liste de traitements nécessitant une AIPD. Pour les collectivités, les cas les plus courants sont : la vidéosurveillance (surveillance systématique d'un espace public), les fichiers d'aide sociale (données sensibles à grande échelle), le croisement de fichiers (recoupement de données entre services), et les téléservices avec authentification (portail citoyen, démarches en ligne).

Comment gérer les demandes de droit d'accès des administrés ?

Tout citoyen peut demander l'accès à ses données personnelles détenues par la collectivité. Vous devez répondre dans un délai d'un mois maximum. Il est recommandé de mettre en place un formulaire de demande standardisé, de désigner un référent par service et de tracer chaque demande. Un outil comme Dativo centralise ces demandes et vous aide à respecter les délais en envoyant des rappels automatiques.

Structurez la conformité RGPD de votre collectivité

Registre adapté, suivi des droits citoyens, documentation centralisée : Dativo vous donne les outils pour répondre aux exigences du RGPD sans mobiliser des ressources considérables.

Essayer Dativo gratuitement