Accueil/Blog/RGPD, RGS, RGAA : le trio d'obligations numériques des collectivités

RGPD, RGS, RGAA : le trio d'obligations numériques des collectivités

Antoine Auffray

19/04/2026

RGPD, RGS, RGAA. Trois sigles, trois obligations légales, trois organismes de contrôle différents. La confusion est généralisée dans les collectivités, et pour cause : les périmètres se chevauchent, les acronymes se ressemblent, et les guides officiels sont rédigés par des juristes pour des juristes.

Cet article clarifie chaque obligation en 5 minutes, avec un tableau comparatif synthétique et un plan d'action pour avancer sur les trois fronts simultanément.

RGPD, RGS, RGAA : tableau comparatif complet

RGPD RGS RGAA
Nom complet Règlement Général sur la Protection des Données Référentiel Général de Sécurité Référentiel Général d'Amélioration de l'Accessibilité
Objet Protection des données personnelles des administrés Sécurité des systèmes d'information publics Accessibilité numérique pour les personnes en situation de handicap
Texte de référence Règlement européen 2016/679 Décret 2010-112, référentiel ANSSI Loi handicap 2005, décret 2019, directive UE 2016/2102
Organisme de contrôle CNIL ANSSI ARCOM
S'applique à Tout traitement de données personnelles (fichiers, logiciels, formulaires, vidéoprotection) Téléservices : formulaires en ligne, démarches dématérialisées, extranets Sites web, applications mobiles, intranet, mobilier urbain numérique
Obligation principale Désigner un DPO, tenir un registre des traitements, respecter les droits des personnes Homologuer la sécurité des téléservices (analyse de risques) Publier une déclaration d'accessibilité et un schéma pluriannuel
Sanctions Amende CNIL (jusqu'à 20 millions d'euros), mise en demeure publique Mise en demeure ANSSI 50 000 euros par service non conforme, renouvelable tous les 6 mois
Des collectivités sanctionnées ? Oui. Plusieurs mises en demeure publiques ces dernières années Rarement, mais des audits sont possibles Oui, depuis 2024 (contrôle ARCOM)
En vigueur depuis 25 mai 2018 2010 (renforcé par la directive NIS 2) 2020 pour tous les sites publics existants

Ce tableau est votre aide-mémoire. Imprimez-le et affichez-le dans le bureau du DGS.

RGPD : ce que ça implique concrètement pour votre mairie

Le RGPD encadre la manière dont votre collectivité collecte, stocke et utilise les données personnelles de ses administrés. Toutes les collectivités sont concernées, quelle que soit leur taille.

Les obligations essentielles :

  • DPO obligatoire : désigner un Délégué à la Protection des Données (agent interne, CDG mutualisé ou prestataire externe) et le déclarer auprès de la CNIL
  • Registre des traitements : documenter tous les fichiers contenant des données personnelles (état civil, listes électorales, cantine, RH, vidéoprotection)
  • Consentement explicite : pour les newsletters, les inscriptions en ligne, les cookies du site web
  • Droits des administrés : répondre sous 1 mois aux demandes d'accès, de rectification ou de suppression

Le risque principal n'est pas l'amende financière (rare pour les collectivités) mais la mise en demeure publique, relayée par la presse spécialisée.

Notre guide RGPD en 8 étapes pour les mairies détaille chaque obligation avec des checklists actionnables.

RGS : le volet sécurité que les collectivités oublient

Le RGS (Référentiel Général de Sécurité) est le grand oublié. Il impose à toutes les collectivités d'homologuer la sécurité de leurs téléservices, c'est-à-dire tout service en ligne proposé aux administrés : formulaires de contact, inscriptions périscolaires, demandes d'urbanisme, paiement en ligne.

Les obligations essentielles :

  • Homologation de sécurité : chaque téléservice doit faire l'objet d'une analyse de risques formalisée et d'une décision d'homologation signée par l'autorité compétente (le maire ou le président de l'EPCI)
  • Signature électronique conforme : si votre collectivité utilise la signature électronique, elle doit respecter les niveaux de sécurité définis par le RGS
  • Certificats conformes : les certificats SSL/TLS de vos téléservices doivent provenir d'autorités de certification reconnues

La directive européenne NIS 2, en cours de transposition, va renforcer les obligations de cybersécurité pour les collectivités dans les années à venir. Les communes qui anticipent la conformité RGS seront mieux préparées.

Pour approfondir le volet sécurité, notre guide cybersécurité en mairie détaille les menaces et les mesures de protection.

RGAA : l'obligation qui se sanctionne désormais

Le RGAA impose que tous les services numériques des collectivités soient accessibles aux personnes en situation de handicap. C'est l'obligation la plus visible (elle concerne le site web que consultent les administrés) et la plus sanctionnée depuis 2024.

Les obligations essentielles :

  • Toutes les collectivités sont concernées, sans exception de taille
  • Déclaration d'accessibilité : obligatoire sur le site, même si celui-ci n'est pas conforme. Son absence est sanctionnable.
  • Schéma pluriannuel : un plan d'amélioration de l'accessibilité sur 3 ans, publié sur le site
  • 50 000 euros par service non conforme depuis 2024, contrôle assuré par l'ARCOM
  • RGAA 5 annoncé en mars 2026, avec de nouveaux critères alignés sur les WCAG 2.2

Le constat est alarmant : 95 % des sites de communes ne respectent pas les normes d'accessibilité. L'urgence est réelle.

Notre article RGAA 2026 : votre site de mairie risque 50 000 euros d'amende détaille les sanctions, les critères les plus souvent violés et un plan d'action en 4 étapes.

Comment se mettre en conformité sur les 3 fronts

Trois obligations distinctes ne signifient pas trois projets séparés. Un accompagnement structuré permet de couvrir les trois volets en parallèle.

1. Commencer par un diagnostic global

Avant de lancer des chantiers individuels, faites un état des lieux sur les trois volets. Où en êtes-vous sur le RGPD ? Vos téléservices sont-ils homologués RGS ? Votre site est-il conforme RGAA ? Un diagnostic croisé prend 2 à 5 jours selon la taille de la collectivité et permet de prioriser les actions.

2. Prioriser selon le risque de sanction

L'ordre de priorité recommandé en 2026 :

  1. RGAA : les sanctions sont les plus imminentes (ARCOM active, 50 000 euros/service). Publiez au minimum la déclaration d'accessibilité et le schéma pluriannuel.
  2. RGPD : la CNIL multiplie les contrôles sur les collectivités. Désignez un DPO et constituez le registre des traitements.
  3. RGS : le moins contrôlé à ce jour, mais NIS 2 va changer la donne. Anticipez.

3. Un seul prestataire pour les 3 volets

Plutôt que de mandater un spécialiste RGPD, un auditeur RGAA et un expert cybersécurité séparément, choisissez un prestataire capable de couvrir les trois domaines. Cela réduit les coûts, simplifie la gouvernance et assure la cohérence des actions.

4. Financer via DSIL/DETR

La mise en conformité réglementaire fait partie des projets éligibles aux subventions d'État. Un dossier DSIL ou DETR portant sur la "mise en conformité numérique" (RGPD + RGS + RGAA) est recevable et bien vu des services instructeurs. Notre guide des financements explique comment constituer le dossier.

Bob le développeur propose un diagnostic 360° couvrant les trois obligations. Prenez rendez-vous pour évaluer votre situation.

Questions fréquentes

Quelle est la différence entre RGPD et RGS ?

Le RGPD concerne la protection des données personnelles : qui y accède, pourquoi, comment les sécuriser, quels droits ont les personnes concernées. Le RGS concerne la sécurité technique des systèmes d'information, en particulier les téléservices (formulaires en ligne, démarches dématérialisées). Les deux sont obligatoires et complémentaires : le RGPD impose de sécuriser les données, le RGS définit comment sécuriser les systèmes qui les traitent.

Le RGAA est-il obligatoire pour les petites communes ?

Oui, sans exception. L'obligation d'accessibilité numérique s'applique à tous les organismes publics, y compris une commune de 200 habitants qui possède un site internet. La taille de la collectivité n'est pas un critère d'exemption.

Peut-on se mettre en conformité sur les 3 obligations en même temps ?

Oui, et c'est même recommandé. Un diagnostic croisé RGPD/RGS/RGAA permet d'identifier les actions communes (sécurité des données, hébergement souverain, formation des agents) et d'éviter de mener trois chantiers indépendants. Le budget global est inférieur à la somme de trois missions séparées.

Quel budget prévoir pour la conformité RGPD + RGS + RGAA ?

Pour une commune de moins de 10 000 habitants, comptez entre 8 000 et 25 000 euros pour un diagnostic croisé et les premières actions de mise en conformité (DPO, déclaration accessibilité, audit de sécurité). Pour une intercommunalité, le budget se situe entre 20 000 et 60 000 euros. Ces montants sont éligibles à la DSIL. Le détail par poste est dans notre article sur les coûts de la transformation numérique.

Pour conclure

RGPD, RGS, RGAA : trois obligations, un seul objectif. Garantir aux citoyens un numérique public conforme, sécurisé et accessible à tous.

Commencez par le diagnostic. Priorisez le RGAA (sanctions les plus imminentes). Mutualisez avec un prestataire unique. Financez via la DSIL.

Découvrez l'accompagnement numérique de Bob le développeur pour les collectivités.

Prêt à vous lancer ?

La newsletter qu'on n'ignore pas

Abonnez-vous à notre newsletter pour recevoir nos derniers articles, retours d'expérience et conseils tech directement dans votre boîte mail.

Désinscription en un clic. Vos données restent privées.