DPO pour les communes : choisir entre interne, externe ou mutualisé
Pourquoi un DPO est indispensable pour les communes ?
Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, toutes les structures publiques, y compris les collectivités territoriales, sont soumises à un cadre juridique européen rigoureux en matière de protection des données personnelles. Ce texte fondamental qu’est le RGPD et qui s’applique directement dans l’ensemble des États membres de l’Union européenne, impose notamment la désignation obligatoire d’un Délégué à la Protection des Données (DPO) pour tous les organismes publics. Cette obligation est précisée à l’article 37 du RGPD, qui vise spécifiquement les autorités ou organismes publics, quelles que soient leur taille ou la nature de leurs missions.
Concrètement, cela signifie que chaque commune, intercommunalité, centre communal d’action sociale (CCAS), syndicat mixte ou établissement public local doit désigner une personne – interne, externe ou mutualisée – chargée d’assurer le respect du RGPD au sein de la structure. Cette exigence n’est pas purement formelle. Elle s’inscrit dans une dynamique plus large de professionnalisation de la gestion des données dans le secteur public, à une époque où les collectivités manipulent un nombre croissant de données à caractère personnel : état civil, listes électorales, services périscolaires, dossiers sociaux, vidéosurveillance, applications citoyennes, etc.
Le DPO devient ainsi un acteur clé de la gouvernance numérique locale. Il est à la fois conseiller, contrôleur et médiateur, garant du respect des droits des administrés et interlocuteur des agents comme des autorités de contrôle, en particulier la Commission nationale de l’informatique et des libertés (CNIL).
Pourtant, si la désignation d’un DPO est impérative, la manière dont une commune choisit d’y répondre reste ouverte à plusieurs modalités : désignation d’un DPO interne, recours à un DPO mutualisé au sein d’une structure intercommunale ou d’un centre de gestion, ou encore externalisation auprès d’un prestataire spécialisé. Chaque option comporte ses avantages, ses limites, ses implications budgétaires, juridiques et organisationnelles.
C’est précisément ce choix que doivent aujourd’hui opérer de nombreuses collectivités, petites ou moyennes, souvent confrontées à un manque de ressources internes, à des doutes sur la répartition des responsabilités, ou à une méconnaissance des exigences du RGPD. Mal orienté, ce choix peut conduire à une désignation peu opérationnelle, à des manquements au RGPD, voire à une exposition accrue aux contrôles, sanctions et risques.
Dans cet article, nous vous proposons donc un panorama clair, structuré et comparatif des différentes modalités de désignation du DPO pour les communes, afin de vous aider à faire un choix juridiquement sécurisé, financièrement adapté et réellement efficace pour votre structure.
DPO et RGPD : rôle, missions et responsabilités dans une collectivité territoriale
Le DPO (ou DPD pour “délégué à la protection des données”) est le garant de la conformité des traitements de données à caractère personnel. Il est à la fois conseiller, auditeur, formateur, et interlocuteur privilégié de la CNIL. Ses missions sont définies par les articles 37 à 39 du RGPD et comprennent notamment :
- l’information et le conseil auprès du responsable de traitement et des agents ;
- le contrôle du respect du RGPD et de la loi Informatique et Libertés ;
- la sensibilisation et la formation du personnel ;
- la tenue du registre des activités de traitement ;
- l’accompagnement à la réalisation des analyses d’impact (AIPD) ;
- la coopération avec la CNIL.
Il doit être désigné par la collectivité via une délibération ou une décision de l’exécutif, et sa désignation doit être notifiée à la CNIL.
Le DPO doit disposer des moyens nécessaires à l’exercice de sa mission, mais aussi d’une position d’indépendance hiérarchique : il ne peut pas recevoir d’instruction sur l’exécution de ses missions RGPD.
Les trois modèles de DPO pour une commune
Le DPO interne : un agent communal en responsabilité
Certaines communes choisissent de désigner un agent ou un cadre en interne comme DPO. Il s’agit souvent de la secrétaire de mairie, du maire ou d’un responsable informatique. Cette solution présente un atout majeur : la connaissance fine de la structure, de ses métiers et de ses contraintes. Le DPO interne est disponible sur place et connaît les interlocuteurs.
Cependant, les limites sont réelles : le RGPD est une matière technique et juridique exigeante. L’agent désigné doit suivre une formation approfondie, qui peut s’avérer coûteuse et chronophage. Surtout, les missions RGPD viennent s’ajouter à une charge de travail déjà lourde, avec un risque réel de non-conformité. Enfin, l’indépendance du DPO est parfois difficile à garantir dans une structure de petite taille. En effet lorsque le maire est désigné comme DPO, il est de fait juge et partie, puisqu’il est en même temps le contrôleur de l’action du responsable de traitement (DPO), et responsable de traitement (maire). Le RGPD proscrit clairement ce genre de pratiques qui restent pourtant répandues.
Le DPO mutualisé : une option adaptée aux petites communes
Pour les communes de taille modeste, il est possible de mutualiser la fonction de DPO via un groupement, un EPCI, un centre de gestion (CDG) ou un GIP. Le DPO mutualisé permet de partager les coûts et de bénéficier d’une expertise spécialisée. C’est une option souvent privilégiée par les intercommunalités et les syndicats mixtes.
Néanmoins, cette solution a ses limites. La mutualisation implique une standardisation des procédures, et une disponibilité moindre du DPO pour chaque commune. L’accompagnement peut être moins personnalisé, avec un risque d’insuffisance sur certaines missions sensibles. C’est pour cette raison qu’il est capital de trouver un prestataire adéquat qui saura proposer un accompagnement modulable et proche des réalités du terrain.
Le DPO externe : le choix de la sérénité et de l’expertise
De nombreuses communes choisissent aujourd’hui de faire appel à un DPO externe, qu’il s’agisse d’un professionnel indépendant ou d’un cabinet spécialisé en mise en conformité. Le DPO externe est un expert formé au RGPD, bénéficiant d’une veille réglementaire constante et d’une expérience transversale.
Il apporte une neutralité indispensable et permet à la commune de gagner un temps précieux dans la mise en conformité. Sa prestation est encadrée par un contrat ou une convention, ce qui offre une sécurité juridique supplémentaire.
Le principal frein reste le coût. Toutefois, en comparaison avec le temps consacré par un agent interne non spécialisé, l’externalisation s’avère souvent plus rentable, surtout lorsque la mise en conformité initiale de la commune est prévue par le prestataire sur une durée précise.
Comment bien choisir son DPO communal ?
Le choix du DPO dépend avant tout des besoins de la commune et de sa taille. Une collectivité de moins de 1 000 habitants n’a pas les mêmes enjeux ni les mêmes capacités qu’une ville de 20 000 habitants. Toutefois, certains critères sont essentiels pour tous :
- Une compétence juridique solide en droit des données personnelles ;
- Une maîtrise des aspects techniques de la sécurité des systèmes d’information ;
- Une capacité à accompagner, former et sensibiliser les agents ;
- Une véritable indépendance hiérarchique et fonctionnelle.
Il est également important de formaliser la relation via une convention (en cas de mutualisation) ou un contrat de prestation (en cas d’externalisation), précisant les missions, les responsabilités, les modalités d’intervention et les régimes de responsabilité.
Des situations concrètes
La désignation d’un DPO ne peut être pensée indépendamment des réalités organisationnelles, humaines et financières propres à chaque commune. Ainsi, une petite commune rurale de moins de 1 000 habitants, sans service juridique structuré, sans DSI en interne, ni personnel dédié aux enjeux numériques, se retrouve dans l’incapacité pratique de désigner un DPO interne qui soit à la fois compétent, indépendant et suffisamment disponible. Dans ce cas de figure très fréquent, le recours à une mutualisation avec un centre de gestion ou à une externalisation vers un prestataire spécialisé constitue une solution réaliste et conforme au RGPD. À l’inverse, une ville de taille moyenne ou importante – à partir de 30 000 habitants – disposera généralement de ressources internes plus structurées, avec des juristes, un RSSI, voire un chargé de mission données personnelles, ce qui rend envisageable la désignation d’un DPO interne à temps plein, soutenu par une équipe pluridisciplinaire. Cela permet une plus grande intégration du DPO dans la stratégie numérique de la collectivité, mais suppose aussi des moyens pérennes, une gouvernance claire, et une capacité à maintenir ses compétences à jour. L’évaluation de la bonne solution ne peut donc se faire qu’au cas par cas, en tenant compte de la taille, de la complexité et des moyens de la collectivité.
L’importance du contrat ou de la convention
Quelle que soit la modalité choisie – DPO interne, mutualisé ou externalisé – il est impératif de formaliser par écrit les conditions de désignation et d’intervention du Délégué à la Protection des Données. Cette formalisation prend la forme d’un acte administratif (décision ou délibération) complété d’un document contractuel ou conventionnel : contrat d’externalisation, convention de mutualisation, lettre de mission, ou décision d’affectation interne. Ce document est essentiel car il encadre les missions du DPO (conseil, contrôle, sensibilisation, coopération avec la CNIL), les modalités d’exercice de sa fonction (temps alloué, accès à l’information, indépendance fonctionnelle), ainsi que les obligations réciproques entre la collectivité et le délégué. En l’absence de cadre écrit, le risque est grand de se retrouver face à un DPO invisible, dépourvu de moyens d’action, ou engagé dans un périmètre mal défini. À l’inverse, un contrat bien rédigé permet de clarifier les rôles, d’organiser la gouvernance de la conformité RGPD et de démontrer, en cas de contrôle, que la collectivité a agi avec diligence. Il s’agit d’une clé de sécurisation juridique autant que d’un outil de pilotage de la fonction.
Pourquoi l’externalisation séduit de plus en plus ?
Un gain de sérénité
Dans un contexte de pression réglementaire croissante, de pénurie de compétences internes et de complexité technique des traitements de données, de nombreuses communes font aujourd’hui le choix de l’externalisation du rôle de DPO. Cette solution séduit par sa simplicité de mise en œuvre, sa souplesse, mais surtout par le haut niveau d’expertise juridique et technique qu’elle apporte. Les collectivités apprécient particulièrement la réactivité du prestataire, sa capacité à alerter en cas de manquement, à produire une documentation complète, ou encore à gérer les demandes de droits des usagers. Externaliser, c’est aussi se libérer d’un souci de recrutement ou de formation continue, tout en respectant les exigences du RGPD. Pour les élus et les DGS, cela représente un gain de sérénité considérable, avec la certitude que les obligations de conformité sont suivies par un professionnel aguerri, rompu aux subtilités du droit de la donnée.
Une approche globale et évolutive
L’externalisation ne se limite pas à la désignation formelle d’un DPO “en titre”. Lorsqu’elle est bien pensée, elle s’intègre dans une stratégie plus large de gouvernance de la donnée, articulée autour de la prévention des risques et de la montée en compétence des équipes. Certains prestataires spécialisés, à l’instar d’Etatys, proposent une offre complète et évolutive : audit de conformité, accompagnement à la tenue du registre, rédaction de PIA (analyses d’impact), appui à la gestion de crise, formations, sécurisation juridique des contrats numériques, et sensibilisation des agents. Cette approche globale permet de professionnaliser la conformité au sein de la collectivité, tout en garantissant un suivi régulier et adapté à l’évolution du cadre réglementaire (réformes européennes, jurisprudence CNIL, nouvelles obligations sectorielles, etc.). En somme, c’est un partenariat de long terme qui s’instaure, bien au-delà d’une simple délégation.
Retour sur investissement
Si certaines communes hésitent encore à investir dans l’externalisation d’un DPO, la tendance actuelle montre qu’il s’agit de plus en plus d’un choix stratégique rationnel et rentable. En confiant cette mission à un professionnel expérimenté, la collectivité évite des erreurs coûteuses : mauvaise réponse à une demande d’accès, oubli d’un registre, notification tardive d’une violation, ou clauses illégales dans un marché public. Les sanctions financières prononcées par la CNIL sont une réalité à ne pas sous-estimer. Plus largement, un DPO externalisé contribue à améliorer la transparence de la gestion publique, à renforcer la confiance des usagers, et à faire du RGPD un levier d’efficience administrative. Loin d’être une charge supplémentaire, c’est donc un investissement structurant dans la modernisation numérique de la collectivité. Et dans de nombreux cas, son coût est largement compensé par la réduction des risques, l’optimisation des processus et la valorisation de la donnée publique.
Conclusion : faire le bon choix pour sa commune
Le DPO n’est pas une formalité administrative. Il est l’assurance vie de la commune face aux risques juridiques, financiers et réputationnels liés aux traitements de données personnelles. Selon les ressources, la taille de la collectivité et son niveau de maturité numérique, le choix entre un DPO interne, mutualisé ou externalisé doit être fait avec discernement.
Etatys accompagne déjà plusieurs communes et intercommunalités dans la mise en place d’une conformité RGPD et cybersécurité adaptée. Notre approche personnalisée, nos compétences juridiques solides et notre expertise en cybersécurité font de nous un partenaire fiable pour les collectivités en quête de conformité.
Vous souhaitez un audit gratuit de votre situation ou en savoir plus sur notre offre DPO ? Remplissez notre formulaire de contact : nous étudierons ensemble la solution la plus adaptée pour votre commune.
Contactez-nous dès aujourd’hui et faisons ensemble de la cybersécurité un atout pour votre collectivité.
Avec Etatys, soyez sûr d’être prêts.
Page mise à jour : Mars/2026