Collectivités & associations
Par Fabien Wajeman · 21 avril 2026 · 6 min de lecture
Vous savez que le RGPD existe. Vous avez peut-être assisté à une réunion là-dessus il y a deux ans. Mais depuis, rien n’a vraiment avancé. Ce guide est fait pour vous.
Les risques RGPD pour les collectivités territoriales — communes, intercommunalités, départements, régions — traitent chaque jour des milliers de données personnelles : état civil, données sociales, fichiers RH, vidéosurveillance, inscriptions scolaires… Et pourtant, beaucoup d’entre elles n’ont encore pris aucune mesure concrète de mise en conformité RGPD.
Ce n’est plus tenable. Voici pourquoi.
1. Les risques RGPD que la CNIL fait peser sur toutes les collectivités
Longtemps perçue comme un gendarme des grandes entreprises, la CNIL a clairement fait évoluer sa doctrine. Dans son bilan 2024, elle indique avoir mis en demeure des structures publiques de moins de 5 000 habitants. La taille de la collectivité ne constitue plus un bouclier.
Les contrôles peuvent être déclenchés par une plainte d’un administré, un signalement d’un agent, ou une décision de contrôle thématique sur un secteur ciblé (écoles, CCAS, services techniques). Vous n’avez pas besoin d’avoir commis une faute grave pour vous retrouver sous contrôle.
Une collectivité mise en demeure dispose d’un délai — souvent 3 mois — pour se mettre en conformité. Passé ce délai sans action, la CNIL peut prononcer une sanction financière et la rendre publique sur son site.
2. Une violation de données peut mettre en cause la responsabilité personnelle de l’élu
C’est le risque que l’on évoque rarement, et pourtant il est bien réel. En tant que responsable de traitement au sens du RGPD, c’est la collectivité — et par extension son représentant légal — qui porte la responsabilité juridique des traitements de données.
En cas d’incident grave — fuite de données d’administrés, piratage d’un serveur contenant des dossiers sociaux, envoi d’un fichier à de mauvais destinataires — la question de la responsabilité de la direction peut être soulevée, notamment si aucune mesure de sécurité n’avait été mise en place au préalable.
Une commune envoie par erreur un fichier d’aides sociales à un groupe de parents d’élèves. Les données contiennent des informations sur des situations de précarité. L’incident doit être notifié à la CNIL sous 72 heures. L’absence de registre des traitements, de politique de sécurité et de DPO désigné aggravera significativement la situation.
3. L’absence de DPO désigné est une infraction en soi
Contrairement au secteur privé où la désignation d’un DPO est obligatoire seulement dans certains cas, toutes les autorités publiques et tous les organismes publics sont dans l’obligation de désigner un Délégué à la Protection des Données, quelle que soit leur taille.
Cela inclut les communes de moins de 1 000 habitants, les syndicats intercommunaux, les CCAS, les offices de tourisme publics, les régies municipales. Pas de DPO désigné et déclaré auprès de la CNIL = non-conformité immédiate et caractérisée.
La bonne nouvelle : la désignation d’un DPO mutualisé entre plusieurs collectivités est expressément autorisée par le RGPD et constitue une solution économique et efficace pour les petites structures.
4. Les droits des administrés s’exercent — et les collectivités ne savent pas y répondre
Le RGPD confère à chaque personne des droits sur ses données : droit d’accès, de rectification, d’effacement, d’opposition. Ces droits s’appliquent aux administrés exactement comme aux clients d’une entreprise privée.
Or, dans la majorité des collectivités non conformes, il n’existe aucune procédure pour traiter ces demandes. Pas de formulaire, pas de délai défini, pas de responsable identifié. Résultat : quand un administré écrit pour demander la suppression de ses données, personne ne sait quoi faire ni en combien de temps.
Le délai légal de réponse est d’un mois. Le dépassement de ce délai, surtout s’il fait suite à une plainte auprès de la CNIL, constitue un manquement supplémentaire.
5. Les prestataires et logiciels utilisés engagent la collectivité
Logiciel de gestion des cantines, plateforme de réservation de salles, outil de communication avec les familles, logiciel RH… Chaque outil numérique qui traite des données personnelles d’administrés ou d’agents doit faire l’objet d’un contrat de sous-traitance conforme au RGPD.
En l’absence de clauses contractuelles spécifiques, c’est la collectivité — et non le prestataire — qui reste responsable en cas de problème. Un éditeur qui stocke des données sur des serveurs hors Union Européenne sans encadrement contractuel expose directement la collectivité à un risque de non-conformité.
La mise en conformité RGPD d’une collectivité n’est pas un chantier de plusieurs années. Un audit ciblé permet d’identifier les risques prioritaires en quelques jours. La désignation d’un DPO externalisé, la mise en place d’un registre des traitements et quelques procédures documentées suffisent à couvrir l’essentiel des obligations pour une petite structure.
Par où commencer ?
Si vous êtes élu, DGS ou responsable administratif d’une collectivité et que vous n’avez pas encore engagé de démarche RGPD, la première étape est simple : faire l’état des lieux de ce qui existe déjà.
DUO Conseil propose un audit de maturité RGPD spécifiquement conçu pour les collectivités territoriales et associations. En moins d’une heure, vous obtenez une cartographie claire de vos risques prioritaires et un plan d’action concret.
Votre collectivité est-elle en conformité RGPD ?
Faites le point en quelques minutes avec notre test de maturité gratuit.
