Guide RGPD pour les Mairies
& Collectivités Locales
Toutes vos obligations légales en matière de protection des données, expliquées simplement par un ingénieur spécialiste du secteur public.
C'est quoi le RGPD pour une mairie ?
Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis mai 2018, s'applique à toutes les organisations qui traitent des données personnelles de citoyens européens — y compris les communes, intercommunalités et établissements publics.
Une mairie collecte et traite des données personnelles en permanence : état civil, liste électorale, inscriptions scolaires, demandes d'urbanisme, vidéosurveillance, formulaires en ligne… Toutes ces données sont soumises au RGPD.
Les 5 obligations principales des communes
📝 Tenir un registre des activités de traitement
Obligation légale (art. 30 RGPD) : lister tous les traitements de données (quel type de données, dans quel but, qui y accède, combien de temps les données sont conservées).
🍪 Informer et obtenir le consentement pour les cookies
Tout cookie non strictement nécessaire (analytics, réseaux sociaux) doit être accepté explicitement par l'utilisateur. Le refus doit être aussi simple que l'acceptation.
🔒 Sécuriser les données
Chiffrement, contrôle d'accès, sauvegardes, protection contre les intrusions. En cas de violation de données, vous devez notifier la CNIL dans les 72 heures.
📋 Publier les mentions légales
Votre site web doit mentionner : le responsable de traitement, le DPO, les données collectées, leur durée de conservation, et les droits des utilisateurs (accès, rectification, suppression).
🏢 Choisir des sous-traitants conformes
Si vous hébergez des données sur des serveurs tiers (votre hébergeur web), il doit être conforme RGPD. L'utilisation de serveurs américains (Google Cloud, AWS) pour des données publiques est problématique au regard du Cloud Act.
Le DPO : obligatoire pour votre commune ?
Oui. L'article 37 du RGPD impose la désignation d'un Délégué à la Protection des Données (DPO) pour toutes les autorités et organismes publics, quelle que soit leur taille.
Options possibles
- ✓ Agent interne formé
- ✓ DPO mutualisé (EPCI, syndicat)
- ✓ DPO externe prestataire
- ✓ Service proposé par certains CDG
Obligations du DPO
- → Tenir le registre des traitements
- → Former les agents
- → Interlocuteur CNIL
- → Gérer les demandes d'exercice de droits
Hébergement : pourquoi les serveurs américains posent problème
Le Cloud Act américain (2018) oblige les entreprises américaines (Google, Microsoft, Amazon) à communiquer les données hébergées sur leurs serveurs aux autorités américaines sur simple demande administrative, sans autorisation judiciaire et sans en informer les personnes concernées.
La CJUE (arrêt Schrems II, 2020) a annulé le Privacy Shield, invalidant les transferts de données personnelles vers les USA sans garanties supplémentaires. Héberger des données de citoyens français sur AWS ou Google Cloud vous expose donc à des risques de non-conformité RGPD.
Sanctions : les risques réels pour votre commune
Amende maximale RGPD (4% du chiffre d'affaires annuel mondial pour les entreprises)
Amende pour non-conformité RGAA (inaccessibilité du site web d'une collectivité)
Délai pour notifier la CNIL en cas de violation de données personnelles
La CNIL réalise des contrôles réguliers sur les collectivités locales depuis 2023. Les sanctions sont publiées publiquement, ce qui peut nuire à l'image de la commune.
Checklist RGPD 2026 pour votre mairie
Certains points ne sont pas cochés ? Nous pouvons vous aider à les traiter.
Demander l'Audit Gratuit →