Depuis l’entrée en application du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, les collectivités territoriales sont tenues de se conformer à des exigences strictes en matière de protection des données personnelles. Parmi ces obligations, la désignation d’un Délégué à la protection des données (DPO) constitue un pilier fondamental.
Le RGPD s’applique aux collectivités : pourquoi ?
Les mairies, communautés de communes, départements et régions traitent chaque jour un grand nombre de données à caractère personnel :
• État civil
• Inscription scolaire
• Services sociaux
• Ressources humaines
• Gestion des listes électorales
• Vidéoprotection
• Urbanisme, etc.
Ces données concernent des administrés, des agents ou des prestataires, et leur traitement engage la responsabilité juridique des collectivités.
Le DPO : un acteur clé de la conformité
❗ Une obligation légale
L’article 37 du RGPD impose la désignation d’un DPO pour toutes les autorités et organismes publics, quelle que soit leur taille ou le volume de données traitées. Cette obligation s’applique donc à toutes les collectivités locales, y compris les petites communes.
Rôle du DPO
Le DPO est chargé de :
• Conseiller l’organisme sur ses obligations en matière de protection des données ;
• Contrôler la conformité des traitements ;
• Informer et sensibiliser les agents ;
• Coopérer avec la CNIL et être son point de contact ;
• Tenir le registre des traitements ou en superviser la mise à jour.
Le DPO doit disposer d’une indépendance fonctionnelle, de moyens suffisants et d’un niveau d’expertise adapté.
DPO mutualisé ou externe : une solution adaptée
Pour les petites communes, la mutualisation est encouragée :
• Entre plusieurs communes d’un EPCI (intercommunalité)
• Via un syndicat de mutualisation
• Ou par recours à un DPO externe (prestataire)
✅ Les étapes pour bien démarrer la mise en conformité RGPD
Voici une feuille de route pratique pour les collectivités :
1. Désigner officiellement un DPO
• Identifier un agent compétent ou externaliser la fonction
• Le déclarer à la CNIL : https://designations.cnil.fr
2. Tenir un registre des traitements
• Documenter tous les traitements : finalités, base légale, destinataires, durée de conservation, etc.
• Utiliser le modèle simplifié proposé par la CNIL pour les collectivités
3. Informer les administrés et agents
• Afficher des mentions d’information claires sur les formulaires papier et en ligne
• Mettre à jour la politique de confidentialité du site web
4. Encadrer les sous-traitants
• Vérifier que les contrats avec les prestataires intègrent des clauses RGPD (sécurité, confidentialité, assistance…)
5. Former et sensibiliser les agents
• Organiser des sessions de formation RGPD
• Diffuser des guides internes (bons réflexes, droits des personnes, sécurité)
6. Mettre en place des mesures de sécurité
• Sécuriser les accès aux données (mots de passe, restrictions)
• Mettre en place une politique de sauvegarde et de gestion des incidents