RGPD pour les collectivités territoriales : obligations et mise en œuvre

Les collectivités territoriales (communes, intercommunalités, départements, regions) sont particulièrement concernées par le RGPD. En tant qu'organismes publics, elles ont l'obligation de désigner un DPO (article 37) et traitent un volume considérable de données personnelles dans le cadre de leurs missions de service public.

Les traitements spécifiques aux collectivités

• État civil : naissances, mariages, décès, PACS
• Listes électorales et organisation des scrutins
• Gestion scolaire et périscolaire (cantines, garderies, centres de loisirs)
• Action sociale : CCAS, aides sociales, RSA
• Urbanisme : permis de construire, cadastre
• Vidéoprotection de l'espace public
• Police municipale : contraventions, fichiers
• Services en ligne : portail citoyen, téléprocédures
• Ressources humaines : agents territoriaux
• Communication : newsletters municipales, réseaux sociaux
• Bibliotheques et médiathèques : fichiers abonnés

Le DPO mutualisé : la solution pour les petites communes

Les petites communes n'ont souvent pas les moyens de recruter un DPO dédié. La mutualisation est la solution recommandée par la CNIL : un DPO partagé entre plusieurs communes d'une même intercommunalité, ou un DPO externe prestataire. Le centre de gestion (CDG) du département peut également proposer ce service.

Vidéoprotection : un sujet sensible

La vidéoprotection de la voie publique est soumise à un encadrement strict : autorisation préfectorale, information du public, durée de conservation limitée (30 jours maximum sauf enquete), accès restreint aux images, DPIA obligatoire si surveillance systématique à grande échelle. Les cameras dans les bâtiments publics (mairie, écoles) relevent du RGPD et nécessitent également une DPIA.

Services publics numériques et données

La dématérialisation des services publics (portail citoyen, téléprocédures, paiement en ligne) multiplie les traitements de données. Chaque téléservice doit faire l'objet d'une analyse : quelles données sont collectées, pour quelle finalité, quelle durée de conservation, quelles mesures de sécurité. Les sous-traitants (editeurs de logiciels, hébergeurs) doivent être encadrés par des contrats Article 28.