RGPD et sites de collectivités : le guide de conformité
Un site de mairie collecte des données d'administrés : formulaires, statistiques, démarches en ligne. Le RGPD encadre strictement ces traitements. Voici vos obligations et comment vérifier où en est votre collectivité.
Mis à jour le 2026-07-06
Pourquoi le RGPD concerne toutes les collectivités
Dès qu'un site de mairie propose un formulaire de contact, un service d'inscription (cantine, périscolaire, état civil), des statistiques de fréquentation ou un espace citoyen, il traite des données personnelles. Le Règlement Général sur la Protection des Données (RGPD) s'applique alors pleinement, sans exception liée à la taille de la commune.
Les collectivités ont même une responsabilité renforcée : elles gèrent des données parfois sensibles (situation sociale, familiale, scolaire) et sont dépositaires de la confiance de leurs administrés.
Les obligations concrètes pour un site public
Sur le plan du site internet, la conformité repose sur plusieurs éléments visibles et vérifiables :
- des mentions légales complètes (éditeur, directeur de publication, hébergeur) ;
- une politique de confidentialité décrivant les traitements, leur finalité et la durée de conservation ;
- un bandeau cookies conforme CNIL, permettant de refuser aussi facilement que d'accepter ;
- des formulaires sécurisés (HTTPS) ne collectant que les données strictement nécessaires (principe de minimisation) ;
- l'information sur les droits des personnes (accès, rectification, effacement) et le moyen de les exercer.
Le rôle du DPO
Le RGPD impose à tout organisme public de désigner un Délégué à la Protection des Données (DPO). Pour une petite commune, il est rarement interne : il peut être mutualisé au niveau de l'intercommunalité ou confié à un prestataire externe. Le DPO tient le registre des traitements, conseille les élus et sert de point de contact avec la CNIL.
Le piège des cookies et services tiers
C'est le point le plus souvent négligé. Une simple carte Google Maps, une vidéo YouTube intégrée, un bouton de partage vers un réseau social ou un outil de statistiques dépose des cookies tiers avant même tout consentement. Or la CNIL exige que ces dépôts soient bloqués tant que l'internaute n'a pas accepté. Beaucoup de sites de mairies affichent un bandeau… qui ne bloque rien en réalité : une non-conformité invisible mais bien réelle.
Quels risques en cas de manquement ?
La CNIL privilégie l'accompagnement, mais peut prononcer des mises en demeure publiques et des sanctions financières. Le risque le plus lourd reste la fuite de données d'administrés : outre l'obligation de notification sous 72 heures, elle engage durablement la responsabilité et la réputation de la collectivité.
Vérifier la conformité de votre site
Un premier diagnostic permet de repérer rapidement les manques les plus courants : absence de politique de confidentialité, bandeau cookies non conforme, formulaires non sécurisés. Subnova Audit établit gratuitement cet état des lieux à partir des données publiques du site de votre collectivité.
La conformité RGPD va de pair avec les deux autres piliers d'un site public de qualité : l'accessibilité RGAA, également obligatoire, et la performance technique. Les traiter ensemble, à l'occasion d'une refonte, est presque toujours plus efficace que de les corriger séparément.