Recrutement et RH en mairie : de la réception du CV à l’archivage du dossier agent
La gestion des ressources humaines au sein d’une collectivité territoriale représente un défi quotidien pour les maires et les secrétaires de mairie. Derrière chaque fiche de paie, chaque arrêté de nomination ou chaque entretien de recrutement se cache une quantité impressionnante de données personnelles. Dans nos communes, où la proximité est la règle, la frontière entre gestion administrative et vie privée peut parfois sembler ténue. Pourtant, l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) a imposé un cadre strict qu’il est impératif de maîtriser pour protéger tant l’institution communale que les agents qui la servent. Cet article propose une analyse approfondie du cycle de vie de la donnée RH en mairie, afin de transformer une contrainte réglementaire en un véritable levier de confiance et d’efficacité administrative.
Le recrutement : la première porte d’entrée des données personnelles
Tout commence souvent par une annonce légale ou un affichage en mairie pour un poste d’adjoint technique ou de secrétaire. Dès la réception du premier curriculum vitae, la commune devient responsable de traitement. À ce stade, le principe de minimisation des données doit être le maître-mot. Trop souvent, par habitude, les services reçoivent des documents contenant des informations inutiles à l’évaluation de la compétence professionnelle. Il appartient à la mairie, dans sa communication de recrutement, d’orienter les candidats vers la transmission des seules informations nécessaires.
Le curriculum vitae et la lettre de motivation contiennent par nature des données d’identification, mais aussi des éléments relatifs à la vie professionnelle. La rigueur juridique impose ici d’exclure toute collecte de données dites sensibles au sens de l’article 9 du RGPD, comme les opinions politiques, les croyances religieuses ou des détails trop précis sur l’état de santé, sauf si une disposition légale spécifique l’exige. Par exemple, il est légitime de savoir si un candidat possède le permis de conduire pour un poste de cantonnier, mais il est disproportionné de demander son numéro de sécurité sociale dès le stade de l’entretien.
Une fois le processus de sélection achevé, une question cruciale se pose : que faire des candidatures non retenues ? La tentation est grande de conserver une « CVthèque » au cas où un besoin futur se présenterait. La CNIL est pourtant très claire sur ce point. Sauf accord explicite du candidat pour une durée plus longue, ces documents ne devraient pas être conservés plus de deux ans après le dernier contact. Passé ce délai, les dossiers papier doivent être broyés et les fichiers numériques supprimés. C’est ici que la simplicité des processus préconisée par Etatys permet d’éviter l’accumulation de risques inutiles dans les armoires de la mairie.
L’intégration de l’agent et la constitution du dossier administratif
Lorsqu’un candidat est retenu et que l’arrêté de nomination est signé, le volume de données collectées augmente considérablement. On entre alors dans la phase de constitution du dossier individuel de l’agent. Ce dossier est le socle de la relation entre l’employeur public et son collaborateur. Il contient des éléments d’état civil, les diplômes, le suivi de la carrière, les évaluations annuelles et les éléments de rémunération.
Le RGPD impose que l’agent soit informé de manière claire et transparente sur l’utilisation de ses données. En mairie, cette information peut prendre la forme d’une mention dans le livret d’accueil ou d’une annexe au contrat de travail. L’agent doit savoir qui accède à son dossier, pour quelle durée il est conservé et comment il peut exercer ses droits d’accès ou de rectification. Dans les petites structures, le maire et la secrétaire de mairie sont souvent les seuls à manipuler ces informations, ce qui facilite théoriquement le contrôle, mais renforce également la responsabilité éthique et juridique liée à la confidentialité.
La question des données de santé est particulièrement délicate en collectivité. Les avis d’aptitude délivrés par la médecine professionnelle ou les certificats d’arrêt de travail sont des documents nécessaires à la gestion administrative. Toutefois, le diagnostic médical lui-même ne doit jamais figurer dans le dossier administratif détenu par la mairie. La confidentialité des données de santé est un pilier du droit du travail et de la fonction publique que le DPO se doit de faire respecter avec une vigilance absolue.
La vie de l’agent au sein de la collectivité et le suivi des données
La gestion des ressources humaines ne s’arrête pas à l’embauche. Tout au long de la carrière, la commune produit et reçoit des flux constants d’informations. Les entretiens professionnels annuels, par exemple, sont des moments clés. Les comptes-rendus de ces entretiens contiennent des jugements de valeur sur les compétences et le comportement de l’agent. Ces données sont subjectives mais nécessaires. Le RGPD exige que ces informations soient traitées avec objectivité et que l’agent puisse y apporter ses propres observations, garantissant ainsi un traitement équitable et contradictoire.
La formation professionnelle est un autre domaine concerné. Les inscriptions aux stages du CNFPT ou d’autres organismes impliquent le transfert de données vers des tiers. La mairie doit s’assurer que ses partenaires respectent également les standards de protection des données. En tant qu’employeur, le maire reste responsable de la sécurité des informations transmises à ces prestataires. C’est dans cette analyse de la chaîne des sous-traitants qu’une expertise de terrain devient indispensable pour ne pas laisser de failles béantes dans la sécurité informatique de la commune.
Il en va de même pour la gestion des habilitations informatiques. Dans une petite mairie, il n’est pas rare que les codes d’accès soient partagés ou que les sessions restent ouvertes. Or, l’accès aux logiciels de paie ou de gestion des carrières doit être strictement limité aux personnes dont les fonctions le justifient. La traçabilité des accès est une exigence forte du RGPD. Mettre en place des mots de passe robustes et individuels n’est pas une vaine contrainte, c’est la protection de l’agent et de la responsabilité du maire en cas de malveillance ou d’erreur de manipulation.
Les cas particuliers : casier judiciaire et données sensibles
Certaines missions en mairie exigent des vérifications spécifiques, notamment pour les agents en contact avec des mineurs ou ceux exerçant des fonctions de police municipale. La demande d’extrait de casier judiciaire (bulletin n°2) est une procédure strictement encadrée par le Code de procédure pénale. La collectivité peut consulter ces informations mais elle ne doit en aucun cas les stocker de manière permanente dans le dossier de l’agent une fois la vérification effectuée. Le simple constat de la compatibilité des antécédents avec les fonctions exercées suffit.
De même, la gestion des travailleurs handicapés (obligations liées à l’AGEFIPH ou au FIPHFP) nécessite la manipulation de la Reconnaissance de la Qualité de Travailleur Handicapé (RQTH). Si cette information est nécessaire pour l’aménagement du poste de travail ou pour les déclarations obligatoires, elle doit être traitée avec une discrétion renforcée. L’objectif est d’assurer l’inclusion sans pour autant stigmatiser l’agent ou exposer sa situation de santé à l’ensemble du personnel ou des élus.
La fin de contrat et l’épineuse question de l’archivage
Le départ d’un agent, que ce soit pour une mutation, un départ à la retraite ou une fin de contrat à durée déterminée, ne signifie pas la disparition immédiate de ses données. C’est ici qu’intervient la notion complexe de « cycle de vie de la donnée ». On distingue la conservation en base active, pour la gestion courante, de l’archivage intermédiaire, pour répondre aux obligations légales ou aux contentieux éventuels.
Pour les dossiers de personnel, la Durée d’Utilité Administrative (DUA) est généralement fixée jusqu’à l’âge de la retraite de l’agent, voire au-delà pour le calcul des droits à pension. Cependant, toutes les pièces du dossier n’ont pas la même valeur. Les documents relatifs à la gestion des congés ou aux remboursements de frais de transport n’ont pas vocation à être conservés des décennies. Un tri rigoureux doit être effectué. Dans les mairies de petite taille, le manque de place physique ou numérique conduit souvent à deux extrêmes : tout jeter trop vite ou tout garder indéfiniment.
L’archivage numérique ne se résume pas à laisser des fichiers sur un vieux disque dur dans un coin du bureau. Il nécessite une organisation structurée qui garantit l’intégrité des documents. Un dossier agent égaré ou corrompu peut avoir des conséquences graves lors de la liquidation des droits à pension. Le DPO accompagne alors la secrétaire de mairie dans la mise en place d’un calendrier de conservation précis, en lien avec les préconisations des Archives de France, pour que chaque document soit détruit ou archivé au bon moment, de manière sécurisée.
Le droit d’accès de l’agent : un droit fondamental trop souvent méconnu
Chaque agent dispose d’un droit d’accès aux données le concernant, conformément à l’article 15 du RGPD. Ce droit est particulièrement puissant dans la fonction publique. Un agent peut demander la copie de l’intégralité de son dossier administratif, y compris les notes internes ou les courriels le concernant, dès lors que ces documents ont servi à prendre une décision à son égard.
Pour une petite commune, répondre à une telle demande peut s’avérer complexe et chronophage. Il faut identifier tous les supports où le nom de l’agent apparaît, trier ce qui relève du droit d’accès et ce qui doit être occulté pour protéger les droits des tiers (par exemple, le nom d’un collègue cité dans un rapport). Une réponse mal calibrée ou un refus injustifié peuvent conduire à une saisine de la CNIL ou du Tribunal Administratif. La présence d’un DPO externalisé permet de gérer ces situations avec le recul nécessaire, en assurant une réponse juridiquement inattaquable tout en préservant le climat social au sein de la mairie.
La sécurité des données RH : un enjeu de souveraineté pour la mairie
La protection des données RH est intimement liée à la sécurité informatique de la collectivité. Les cyberattaques visant les mairies se multiplient, et les données du personnel sont des cibles de choix pour les pirates (usurpation d’identité, fraude au virement bancaire). Sécuriser les données RH, c’est protéger le patrimoine de la commune.
Cela passe par des actions simples mais essentielles : la mise à jour régulière des logiciels de paie, le chiffrement des dossiers les plus sensibles, la sensibilisation des agents aux risques de phishing et la sécurisation physique des locaux. Une armoire de dossiers RH laissée ouverte dans un couloir accessible au public est une faille de sécurité majeure, tout autant qu’un mot de passe noté sur un post-it. La conformité RGPD est un tout qui englobe aussi bien le droit que la technique et le bon sens paysan.
Pourquoi l’accompagnement de terrain est la clé de la réussite
Appliquer le RGPD à la gestion des ressources humaines dans une commune de 500 ou 2000 habitants ne peut se faire par copier-coller de modèles conçus pour des métropoles. Les réalités sont différentes : la polyvalence des agents est plus grande, les moyens techniques sont plus limités, et tout le monde se connaît. C’est là que l’approche d’Etatys prend tout son sens. Il ne s’agit pas seulement de fournir des registres ou des clauses juridiques, mais d’être présent aux côtés de la secrétaire de mairie pour regarder comment les dossiers sont classés, comment les emails sont échangés et comment les archives sont gérées.
La mise en conformité doit être un projet qui simplifie la vie administrative au lieu de l’alourdir. En structurant mieux la gestion des données RH, on gagne du temps sur la recherche d’informations, on sécurise les relations avec les agents et on protège la responsabilité du Maire. Le RGPD, bien compris et bien appliqué, devient un outil de management moderne et respectueux des valeurs du service public.
Conclusion : Faire du RGPD un allié de votre gestion RH
La protection des données personnelles dans le cadre des ressources humaines n’est pas une option, c’est une obligation légale doublée d’une exigence morale pour toute collectivité. De la réception du premier CV à l’archivage final du dossier de retraite, chaque étape nécessite une attention particulière. La complexité des textes ne doit pas être un frein à l’action. En adoptant des réflexes simples — minimisation, information, sécurité et tri — chaque maire peut assurer une gestion exemplaire de ses effectifs.
Le chemin vers la conformité peut paraître sinueux, mais il n’est pas nécessaire de le parcourir seul. La rigueur juridique doit s’accompagner d’une compréhension fine des usages locaux pour que les solutions proposées soient réellement applicables et durables. C’est dans cet esprit de collaboration étroite et de pragmatisme que nous concevons notre mission de DPO.
Etatys est un cabinet de mise en conformité spécialisé dans l’accompagnement des petites communes et intercommunalités. Nous savons que votre priorité est le service aux administrés et que votre temps est précieux. Notre solution de DPO externalisé est spécifiquement conçue pour s’adapter à vos réalités de terrain, en vous apportant la simplicité et la proximité nécessaires pour résoudre vos problématiques RH en toute sérénité. Que ce soit pour auditer vos dossiers d’agents, sécuriser vos processus de recrutement ou répondre à des demandes de droit d’accès complexes, Etatys est à vos côtés pour transformer le RGPD en une force pour votre mairie.
Appelez-nous dès aujourd’hui pour faire le point sur votre conformité RH et découvrir comment nous pouvons vous aider à protéger efficacement votre collectivité.
Contactez-nous dès aujourd’hui et faisons ensemble du RGPD et de la cybersécurité des atouts pour votre collectivité.
Avec Etatys, soyez sûr d’être prêts.
Page mise à jour : Mars/2026