Accueil/Blog/Conformité RGPD en mairie : le guide pratique en 8 étapes

Conformité RGPD en mairie : le guide pratique en 8 étapes

Antoine Auffray

01/04/2026

Ce que vous allez apprendre

  • Les obligations RGPD qui s'appliquent à votre collectivité, quelle que soit sa taille
  • Comment désigner un DPO sans exploser votre budget
  • Les 8 étapes concrètes pour atteindre la conformité
  • Une checklist prête à l'emploi pour votre prochaine réunion de conseil

95 % des communes françaises ne respectent pas l'intégralité de leurs obligations en matière de protection des données personnelles. Et la CNIL (Commission Nationale de l'Informatique et des Libertés) ne fait plus de distinction entre une entreprise du CAC 40 et une mairie de 2 000 habitants : les mises en demeure publiques touchent désormais les collectivités.

Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur en mai 2018. Huit ans plus tard, beaucoup de communes n'ont toujours pas de DPO, pas de registre des traitements, et continuent d'envoyer des fichiers Excel contenant les données de leurs administrés par email non chiffré.

Ce guide vous donne les 8 étapes concrètes pour mettre votre mairie en conformité RGPD, sans jargon juridique et sans budget démesuré.

Pourquoi le RGPD concerne votre mairie (et pas seulement les entreprises)

Le RGPD est un règlement européen qui encadre la collecte, le stockage et l'utilisation des données personnelles. Une donnée personnelle, c'est toute information qui permet d'identifier une personne : nom, adresse, numéro de téléphone, mais aussi adresse IP ou numéro de sécurité sociale.

Or une mairie traite des données personnelles en permanence. L'état civil enregistre les naissances, mariages et décès. Les listes électorales contiennent les adresses de tous les électeurs. Les inscriptions scolaires et périscolaires collectent des informations sur les enfants et leurs familles. La vidéoprotection filme les espaces publics. Les ressources humaines gèrent les données des agents. Le CCAS (Centre Communal d'Action Sociale) traite des informations de santé et de situation familiale.

Le RGPD s'applique à toutes les collectivités territoriales, sans seuil de population. Une commune de 500 habitants a les mêmes obligations qu'une métropole de 500 000 habitants.

Les textes de référence sont le Règlement européen 2016/679 (RGPD) et la loi Informatique et Libertés modifiée. En cas de manquement, la CNIL peut prononcer des amendes administratives et des mises en demeure rendues publiques, ce qui représente un risque réputationnel non négligeable pour un élu local.

Étape 1 : Désigner un DPO (c'est obligatoire)

Le DPO (Délégué à la Protection des Données, ou Data Protection Officer) est la personne chargée de piloter la conformité RGPD au sein de votre collectivité. L'article 37 du RGPD rend sa désignation obligatoire pour tous les organismes publics, sans exception.

Trois options s'offrent à vous :

Option Coût annuel indicatif Avantages Limites
Agent interne 0 € (temps de travail) Connaissance de la collectivité, disponibilité Nécessite une formation, conflit de rôles possible si l'agent a d'autres fonctions
DPO mutualisé via le CDG 500 - 2 000 €/an Coût partagé entre communes, expertise garantie Disponibilité partagée, moins de personnalisation
Prestataire externe 2 000 - 8 000 €/an Expertise pointue, indépendance totale Coût plus élevé, connaissance de la collectivité à construire

Pour les communes de moins de 10 000 habitants, la mutualisation via le CDG (Centre de Gestion départemental) est souvent la solution la plus équilibrée. Le CDG de votre département propose probablement déjà ce service. Renseignez-vous auprès de votre centre de gestion.

Une fois le DPO désigné, vous devez le déclarer auprès de la CNIL via le formulaire en ligne sur cnil.fr. Cette formalité prend 10 minutes.

Étape 2 : Cartographier vos traitements de données

Le registre des traitements est le document central de votre conformité RGPD. Il recense tous les traitements de données personnelles réalisés par votre collectivité.

Un "traitement", c'est toute opération sur des données personnelles : collecte, stockage, consultation, transmission, suppression.

Voici les traitements que l'on retrouve dans la quasi-totalité des mairies :

  • État civil : actes de naissance, mariage, décès, livrets de famille
  • Listes électorales : nom, adresse, date de naissance des électeurs
  • Inscriptions scolaires et périscolaires : données des enfants et des familles
  • Cantine : inscriptions, régimes alimentaires, quotients familiaux
  • Vidéoprotection : images des espaces publics
  • Ressources humaines : paie, carrière, formation des agents
  • CCAS : aides sociales, données de santé, situation familiale
  • Urbanisme : permis de construire, déclarations de travaux
  • Police municipale : procès-verbaux, infractions
  • Communication : newsletter, site web, réseaux sociaux

Pour chaque traitement, documentez quatre informations :

  1. Qui traite les données (service responsable)
  2. Quoi est collecté (types de données)
  3. Pourquoi (base légale : mission de service public, obligation légale, consentement)
  4. Combien de temps les données sont conservées (durée de conservation)

La CNIL met à disposition un modèle de registre simplifié sur son site, au format tableur. Commencez par celui-ci et adaptez-le.

Étape 3 : Identifier les données sensibles

Le RGPD distingue les données "classiques" des données dites sensibles, qui bénéficient d'une protection renforcée. Les données sensibles incluent les informations de santé, les opinions politiques, les convictions religieuses, l'appartenance syndicale et les données relatives aux infractions.

Dans une collectivité, les données sensibles se trouvent principalement dans trois services :

  • Le CCAS, qui traite des données de santé et de situation sociale
  • Les listes électorales, qui peuvent révéler indirectement des opinions politiques
  • La police municipale, qui traite des données relatives aux infractions

Le traitement de données sensibles impose une vigilance accrue : accès strictement limité aux agents habilités, chiffrement recommandé, et dans certains cas, une AIPD (Analyse d'Impact relative à la Protection des Données) obligatoire avant de lancer le traitement.

Étape 4 : Sécuriser les données des administrés

La sécurité des données n'est pas qu'un sujet technique. C'est une obligation légale du RGPD (article 32), et c'est aussi une question de confiance entre la collectivité et ses administrés.

Mesures techniques à mettre en place :

  • Mots de passe robustes sur tous les postes (12 caractères minimum, combinaison lettres/chiffres/symboles)
  • Authentification multi-facteur (MFA) pour les accès sensibles (messagerie, logiciels métier)
  • Chiffrement des données stockées sur les postes portables et clés USB
  • Sauvegardes automatiques, testées régulièrement, stockées dans un lieu distinct
  • Mises à jour systématiques des systèmes d'exploitation et logiciels
  • Antivirus à jour sur tous les postes

Mesures organisationnelles :

  • Gestion des accès : chaque agent n'accède qu'aux données nécessaires à ses fonctions
  • Formation des agents : au minimum une sensibilisation annuelle aux bonnes pratiques
  • Charte informatique : document signé par tous les agents, définissant les règles d'utilisation du SI
  • Procédure de gestion des incidents : que faire en cas de fuite de données ou d'intrusion

Pour aller plus loin sur le volet sécurité, consultez notre guide cybersécurité pour les élus.

Étape 5 : Respecter les droits des administrés

Le RGPD accorde aux citoyens des droits sur leurs données personnelles. Votre mairie doit être en mesure d'y répondre dans un délai d'un mois.

Les droits à connaître :

  • Droit d'accès : tout administré peut demander quelles données vous détenez sur lui
  • Droit de rectification : corriger une information erronée
  • Droit d'effacement : supprimer les données quand elles ne sont plus nécessaires (attention : certaines données d'état civil doivent être conservées indéfiniment)
  • Droit d'opposition : refuser un traitement (par exemple, se désinscrire d'une newsletter)
  • Droit à la portabilité : récupérer ses données dans un format lisible

En pratique, organisez un circuit de traitement des demandes. Désignez un agent (ou votre DPO) comme point de contact. Créez un formulaire type de demande d'exercice des droits. La CNIL propose des modèles de courrier de réponse sur son site.

Le point de vigilance : ne confondez pas droit d'accès aux documents administratifs (loi CADA) et droit d'accès RGPD. Les deux coexistent mais répondent à des procédures différentes.

Étape 6 : Gérer le consentement et les cookies du site web

Le site internet de votre mairie est un traitement de données à part entière. Dès qu'un visiteur remplit un formulaire de contact, s'inscrit à une newsletter ou navigue sur le site avec des cookies traceurs, le RGPD s'applique.

Ce que vous devez faire :

  1. Bandeau cookies : informer les visiteurs et recueillir leur consentement avant de déposer des cookies non essentiels (analytics, réseaux sociaux, publicité). Les cookies strictement nécessaires au fonctionnement du site n'ont pas besoin de consentement.

  2. Formulaires : chaque formulaire en ligne (contact, inscription, signalement) doit afficher une mention d'information RGPD : qui collecte, pourquoi, combien de temps, quels droits.

  3. Newsletter : le consentement doit être explicite (case à cocher non pré-cochée) et un lien de désinscription doit figurer dans chaque envoi.

  4. Analytics : si vous utilisez Google Analytics, sachez que la CNIL considère que le transfert de données vers les serveurs américains pose problème. Préférez une solution respectueuse de la vie privée comme Matomo (hébergement en France) ou Plausible.

Un outil de gestion du consentement (CMP, Consent Management Platform) comme Tarteaucitron (gratuit, français) simplifie la gestion des cookies sur votre site.

Étape 7 : Encadrer les sous-traitants

Votre mairie fait appel à des prestataires qui accèdent aux données de vos administrés : hébergeur du site web, éditeur du logiciel de gestion (état civil, finances, RH), prestataire de paie, imprimeur pour les courriers.

Le RGPD vous impose d'encadrer ces relations par des clauses contractuelles spécifiques. Chaque contrat avec un sous-traitant doit préciser :

  • Les données auxquelles le prestataire accède
  • Ce qu'il a le droit d'en faire (et ce qu'il n'a pas le droit de faire)
  • Les mesures de sécurité qu'il applique
  • Ce qu'il fait des données à la fin du contrat (restitution ou suppression)

Pour les marchés publics, intégrez systématiquement une clause RGPD dans vos cahiers des charges. Vérifiez aussi que vos prestataires hébergent les données en France ou dans l'Union européenne. L'hébergement souverain n'est pas qu'un mot à la mode, c'est une garantie juridique.

Pour comprendre les liens entre RGPD, RGS et RGAA, consultez notre tableau comparatif des obligations numériques des collectivités.

Étape 8 : Documenter et maintenir la conformité

La conformité RGPD n'est pas un projet ponctuel que l'on boucle et que l'on oublie. C'est une gouvernance continue qui doit vivre au rythme de votre collectivité.

Les actions récurrentes :

  • Mettre à jour le registre des traitements au moins une fois par an, et à chaque nouveau projet numérique (nouveau logiciel, nouveau formulaire en ligne, nouveau partenaire)
  • Former les nouveaux agents dès leur arrivée dans la collectivité
  • Réaliser une AIPD avant tout traitement à risque (vidéoprotection étendue, croisement de fichiers, traitement de données sensibles à grande échelle)
  • Organiser un audit périodique tous les 2-3 ans pour vérifier que les pratiques restent conformes

Documentez tout. En cas de contrôle de la CNIL, c'est la documentation qui prouve votre bonne foi : registre à jour, procédures écrites, preuves de formation des agents, contrats sous-traitants avec clauses RGPD.

Si vous souhaitez un regard extérieur sur votre niveau de conformité, Bob le développeur propose un accompagnement dédié aux collectivités qui couvre l'audit, la mise en conformité et le suivi dans la durée.

Checklist RGPD mairie : les 8 étapes en résumé

Imprimez cette checklist et apportez-la à votre prochaine réunion de bureau municipal :

  • DPO désigné et déclaré auprès de la CNIL
  • Registre des traitements rédigé et à jour
  • Données sensibles identifiées (CCAS, police municipale, listes électorales)
  • Sécurité en place (mots de passe, sauvegardes, antivirus, MFA)
  • Droits des administrés : procédure de réponse en place, délai 1 mois
  • Site web : bandeau cookies, mentions RGPD sur les formulaires, analytics conforme
  • Sous-traitants : clauses RGPD dans tous les contrats, hébergement vérifié
  • Documentation : registre à jour, AIPD si nécessaire, preuves de formation

Vous ne savez pas par où commencer, ou vous voulez valider votre niveau de conformité actuel ? Réservez un appel de 30 minutes avec notre équipe. Nous vous dirons exactement où vous en êtes et ce qu'il reste à faire.

Questions fréquentes

Un DPO est-il obligatoire pour une commune de moins de 5 000 habitants ?

Oui, sans exception. L'article 37 du RGPD impose la désignation d'un DPO pour tous les organismes publics, quelle que soit leur taille. La solution la plus adaptée pour les petites communes est la mutualisation via le Centre de Gestion départemental (CDG), qui permet de partager un DPO entre plusieurs collectivités pour un coût de 500 à 2 000 euros par an.

Quels risques encourt une mairie non conforme au RGPD ?

La CNIL peut prononcer un rappel à l'ordre, une mise en demeure (rendue publique) ou une amende administrative. Les amendes peuvent atteindre 20 millions d'euros, mais en pratique les collectivités reçoivent surtout des mises en demeure publiques. Le risque principal est réputationnel : une mise en demeure publiée sur le site de la CNIL et relayée par La Gazette des Communes ou Maire-Info porte atteinte à la confiance des administrés.

Combien coûte la mise en conformité RGPD d'une collectivité ?

Le budget varie selon la taille de la commune et son point de départ. Pour une commune de moins de 5 000 habitants partant de zéro : comptez 3 000 à 8 000 euros pour l'audit et la mise en conformité initiale, puis 500 à 2 000 euros par an pour le DPO mutualisé et la maintenance. Pour une intercommunalité, le budget initial se situe entre 8 000 et 15 000 euros. Ces prestations sont éligibles aux subventions DSIL. Consultez notre guide des financements pour les collectivités.

La CNIL sanctionne-t-elle vraiment les collectivités ?

Oui. La CNIL a mis en demeure plusieurs communes et communautés de communes ces dernières années, notamment pour absence de DPO, absence de registre des traitements et non-respect des droits des personnes. Ces décisions sont publiques et consultables sur le site de la CNIL. En 2025, la CNIL a intensifié ses contrôles sur les collectivités territoriales.

Quelle différence entre RGPD et RGS pour une collectivité ?

Le RGPD concerne la protection des données personnelles des administrés (qui y accède, pourquoi, comment les protéger). Le RGS (Référentiel Général de Sécurité) concerne la sécurité des systèmes d'information, notamment les téléservices (formulaires en ligne, démarches dématérialisées). Les deux sont obligatoires et complémentaires. Notre article RGPD, RGS, RGAA : le trio d'obligations numériques détaille les différences et les points communs.

Pour conclure

La mise en conformité RGPD de votre mairie n'est ni un luxe ni une option. C'est une obligation légale, et surtout une question de confiance envers vos administrés. Les 8 étapes de ce guide sont conçues pour être abordées progressivement : commencez par désigner un DPO et rédiger votre registre des traitements. Le reste suivra.

Si votre collectivité a besoin d'un accompagnement structuré, Bob le développeur propose un accompagnement numérique dédié aux élus qui couvre l'audit RGPD, la mise en conformité, et le suivi sur la durée de votre mandat.

Pour compléter votre démarche de conformité, découvrez aussi les obligations RGAA de votre site de mairie et le comparatif RGPD, RGS, RGAA.

Prêt à vous lancer ?

La newsletter qu'on n'ignore pas

Abonnez-vous à notre newsletter pour recevoir nos derniers articles, retours d'expérience et conseils tech directement dans votre boîte mail.

Désinscription en un clic. Vos données restent privées.