Quels sont les Traitements de Données d'une Commune ? (RGPD)

Liste des traitements de données dans une commune

Introduction

Gérer une commune, c’est gérer des données. De l’état civil à la cantine scolaire, en passant par l’urbanisme, le CCAS et la police municipale, chaque service manipule quotidiennement des informations personnelles. Pour les maires et secrétaires de mairie de nos petites et moyennes collectivités, établir une liste exhaustive de ces traitements (le fameux registre) relève souvent du casse-tête. Pourtant, c’est la pierre angulaire de votre conformité RGPD. En tant que DPO externalisé, je vous propose bien plus qu’une simple liste : voici une analyse détaillée et commentée des traitements standards d’une commune pour transformer cette contrainte légale en un véritable atout de gestion.

Pourquoi lister les traitements de données de votre commune ?

Avant de plonger dans le détail des services, comprenons l’enjeu. Le Règlement Général sur la Protection des Données (RGPD) impose à chaque collectivité territoriale, quelle que soit sa taille, de tenir un Registre des Activités de Traitement. C’est l’article 30 du RGPD, et il n’y a pas de dérogation pour les “petites” mairies.

Pour une commune de taille modeste, cela ne signifie pas seulement remplir un tableau Excel pour faire plaisir à la CNIL en cas de contrôle. Lister vos traitements vous permet de :

  1. Cartographier vos risques : Savez-vous vraiment où sont stockées les données de vos administrés ? (Serveur local, Cloud, armoires physiques ?)
  2. Rationaliser vos outils : Payez-vous deux logiciels qui font la même chose ? Cette démarche permet souvent de faire des économies budgétaires insoupçonnées.
  3. Protéger votre responsabilité pénale : En cas de cyberattaque ou de plainte d’un administré, ce document prouve votre bonne foi et votre démarche active de conformité.

Trop souvent, je constate lors de mes audits sur le terrain que des traitements “invisibles” ou “fantômes” échappent à la vigilance des élus. Parcourons ensemble les services de votre mairie pour n’oublier personne et garantir une conformité sans faille.

1. Les Services à la Population : Le Cœur de l’Activité Municipale

C’est ici que le volume de données traitées est le plus important. Ces traitements sont souvent historiques, parfois séculaires, mais ils nécessitent une vigilance particulière car ils touchent à l’intimité civile des citoyens.

La Gestion de l’État Civil

C’est le traitement roi. Naissances, mariages, décès, reconnaissances : vous collectez ici des données sensibles par nature.

  • Finalité : Enregistrement, conservation et délivrance des actes d’état civil.
  • Base Légale : Obligation légale (Code Civil).
  • Données traitées : Identité complète, filiation, situation matrimoniale, mentions marginales.
  • L’œil du DPO : Attention à la numérisation des anciens registres. Si vous faites appel à un prestataire pour scanner vos archives, assurez-vous que le contrat contient les clauses de sous-traitance RGPD obligatoires (article 28). Les données d’état civil se conservent souvent “à vie” (ou 75/100 ans selon les cas avant versement aux archives départementales), ce qui augmente le risque en cas de fuite.

La Gestion des Listes Électorales

La démocratie locale repose sur ce fichier. Sa gestion est strictement encadrée par le Code électoral.

  • Finalité : Organisation des scrutins, gestion des procurations et du Répertoire Électoral Unique (REU).
  • Base Légale : Obligation légale (Mission d’intérêt public).
  • Point de vigilance : L’accès à ce fichier est très restreint. Seuls les agents habilités et les membres de la commission de contrôle doivent pouvoir le consulter. Attention aux copies de listes électorales “qui traînent” sur un bureau en période d’élection ou aux fichiers Excel extraits pour le démarchage des candidats (strictement interdit hors période de campagne officielle et sous conditions).

Le Recensement de la Population

C’est une mission périodique déléguée par l’INSEE, mais orchestrée par la mairie.

  • Complexité : Vous recrutez des agents recenseurs temporaires qui vont manipuler des données massives sur la vie privée des habitants.
  • Sécurité : La formation RGPD de ces agents recenseurs est indispensable. Ils ne doivent pas conserver les fiches de recensement chez eux !

La Gestion du Cimetière et des Concessions

Souvent oublié, ce traitement contient pourtant des données sur les défunts mais aussi sur leurs ayants droit (les vivants).

  • Données traitées : Identité des concessionnaires, données bancaires (si paiement), géolocalisation des tombes, liens de parenté.
  • Durée de conservation : Elle dépend de la durée de la concession (perpétuelle, 30 ans, 50 ans). Vous devez conserver les données tant que la concession est active et parfois au-delà pour des raisons patrimoniales ou de reprise de concession.

2. Le CCAS et l’Action Sociale : Données Hautement Sensibles

Dans les petites communes, le Centre Communal d’Action Sociale (CCAS) est souvent géré par le même personnel que la mairie, bien qu’il s’agisse juridiquement d’une entité distincte. Les données traitées ici sont critiques.

Gestion des Aides Facultatives et Légales

Bons alimentaires, secours d’urgence, aide au chauffage.

  • Données Sensibles : Ici, vous touchez au “cœur” de la vie privée : revenus, difficultés sociales, situation familiale précaire, parfois données de santé.
  • Sécurité : L’accès à ces dossiers doit être drastique. Un élu du conseil municipal qui ne siège pas au conseil d’administration du CCAS n’a aucun droit de regard sur ces dossiers. Le secret professionnel est ici absolu.

Le Registre des Personnes Vulnérables (Plan Canicule / Grand Froid)

  • Finalité : Veiller sur les personnes âgées ou isolées en cas de crise climatique.
  • Consentement : L’inscription sur ce registre est volontaire (consentement explicite). Vous ne pouvez pas y inscrire quelqu’un “de force”, sauf demande d’un tiers (proche, médecin) sous conditions.
  • Mise à jour : Ce fichier doit être impérativement mis à jour chaque année. Garder des personnes décédées dans ce fichier est une faute de gestion.

La Domiciliation

Permettre aux personnes sans domicile stable d’avoir une adresse administrative. C’est un service vital qui requiert une confidentialité totale pour protéger la dignité des usagers.

3. Enfance, Jeunesse et Affaires Scolaires

Si vous gérez une école, une crèche ou un centre de loisirs, vous manipulez des données concernant des mineurs. Le RGPD considère ces données comme nécessitant une protection renforcée.

Inscriptions Scolaires et Périscolaires (Cantine, Garderie)

C’est souvent le casse-tête de la rentrée pour les secrétaires de mairie.

  • Finalité : Gérer les effectifs, facturer les repas, assurer la sécurité des enfants.
  • Données sensibles : Vous traitez ici des données de santé via les PAI (Projet d’Accueil Individualisé) pour les allergies alimentaires ou pathologies.
  • Conseil Expert : Ne demandez jamais plus d’informations que nécessaire (principe de minimisation). Avez-vous vraiment besoin de la profession précise des deux parents pour inscrire un enfant à la cantine ? Si cela ne sert pas au calcul du quotient familial, supprimez ce champ. De plus, les fiches sanitaires avec les photos des enfants et leurs allergies ne doivent pas être affichées à la vue de tous les visiteurs dans le réfectoire.

Le Portail Famille

De plus en plus de communes utilisent des portails web pour les inscriptions et paiements.

    • Vigilance : Assurez-vous que l’éditeur du logiciel garantit un hébergement des données sécurisé (idéalement en France ou UE, certifié SecNumCloud si possible). Les mots de passe des parents doivent être robustes.

4. Vie Associative, Culturelle et Gestion des Salles

La vie d’une commune, c’est aussi ses associations et ses fêtes. Cela génère des flux de données souvent gérés de manière informelle.

Location des Salles Communales (Fêtes, Polyvalente)

  • Données : Contrats de location, attestations d’assurance, chèques de caution (données bancaires !).
  • Risque : Les chèques de caution photocopiés et laissés dans un classeur ouvert sont une pratique à bannir. Une fois la salle rendue et l’état des lieux validé, ces données doivent être restituées ou détruites immédiatement.

Gestion des Subventions aux Associations

  • Données : Vous collectez les noms, prénoms et coordonnées des dirigeants d’associations (Président, Trésorier). Ce sont des données personnelles, même s’ils agissent en tant que bénévoles.
  • Transparence : La publication des subventions versées est une obligation légale, mais attention à ne pas publier de données privées (numéros de téléphone personnels des présidents) dans les comptes rendus du conseil municipal diffusés sur le web.

Urbanisme et Aménagement du Territoire

Le service urbanisme brasse des données qui lient des personnes physiques à des parcelles cadastrales.

Instruction des Autorisations du Droit des Sols (ADS)

Permis de construire, déclarations préalables, certificats d’urbanisme.

  • Acteurs : Souvent, l’instruction est mutualisée au niveau de l’intercommunalité (EPCI), mais la commune reste le guichet de dépôt. Cela implique un transfert de données sécurisé.
  • Publication : L’affichage des permis en mairie ou sur le site internet doit respecter des règles strictes. On n’affiche pas tout sur internet ! L’anonymisation des noms des pétitionnaires sur les publications en ligne est une recommandation forte de la CNIL pour protéger la vie privée et éviter le démarchage commercial abusif.

Le Cadastre

  • Accès : La consultation du cadastre est possible pour le public, mais la délivrance d’informations sur les propriétaires est encadrée. On ne donne pas la liste de tous les propriétaires d’une rue à un agent immobilier qui veut faire de la prospection !

6. Police Municipale et Tranquillité Publique

Domaine régalien où la rigueur juridique doit être absolue.

La Vidéoprotection (ou Vidéosurveillance)

Si votre commune a installé des caméras, l’image est une donnée personnelle.

  • Obligations : Autorisation préfectorale, Analyse d’Impact (AIPD) si le dispositif est d’envergure, et surtout, information du public via des panneaux clairs.
  • Conservation : Les images ne peuvent être conservées plus de 30 jours. Votre système écrase-t-il bien automatiquement les images ? Je vérifie systématiquement ce point lors de mes visites.

Opération Tranquillité Vacances (OTV)

  • Données : Dates de vacances, adresses, codes d’alarme. Si ce fichier fuite, c’est une liste de cambriolage clé en main ! Sa sécurisation doit être maximale (chiffrement recommandé).

7. Ressources Humaines et Gestion des Élus

La mairie est un employeur et un lieu politique.

Gestion du Personnel (Agents titulaires et contractuels)

  • Données : NIR (Sécu), RIB, arrêts maladie, évaluation annuelle.
  • Vigilance : Les dossiers agents doivent être sous clé. Les échanges avec le Centre de Gestion (CDG) pour les carrières doivent se faire via des canaux sécurisés, pas par emails non chiffrés.

Gestion des Élus

  • Traitements : Calcul des indemnités, déclarations d’intérêts, convocation aux conseils.
  • Communication : Les élus utilisent-ils leur adresse email personnelle (gmail, orange, wanadoo) pour les affaires de la commune ? C’est une pratique à risque (Shadow IT). Il est fortement recommandé de leur fournir une adresse professionnelle @mairie.fr.

8. Communication et Relation Citoyenne

Site Internet, Alertes SMS et Newsletters

  • Consentement : Le citoyen doit s’inscrire volontairement aux alertes SMS. Utiliser le fichier de la taxe d’habitation ou la liste électorale pour envoyer des SMS de vœux du maire est un “détournement de finalité”, illégal et sanctionnable.
  • Cookies : Votre site communal dispose-t-il d’un bandeau de cookies conforme, permettant de “Tout refuser” en un clic ?

Au-delà de la liste : Comment construire votre registre concrètement ?

Avoir cette liste théorique est un excellent point de départ. Mais comment la transformer en un registre conforme à la réalité de votre terrain ?

  1. L’audit “Tour de Mairie” : Ne restez pas derrière votre bureau. Allez voir l’agent d’accueil, le responsable des services techniques, la directrice de la crèche. Demandez-leur : “Quelles données utilisez-vous ? Sur quel logiciel ? Où rangez-vous les papiers ?”. Vous serez surpris de découvrir des fichiers Excel “maison” dont vous ignoriez l’existence.
  2. L’analyse des contrats : Recensez tous vos prestataires (logiciels, hébergeurs, maintenance). Sont-ils conformes RGPD ?
  3. La consolidation : C’est l’étape où l’on remplit les fiches de registre (finalité, base légale, durée de conservation, sécurité).

La complexité pour une commune, c’est la transversalité. Le service technique parle au service urbanisme, qui parle à la comptabilité. Les données circulent. Et c’est là que le risque d’erreur humaine ou de faille de sécurité est le plus grand.

De plus, la réglementation évolue en permanence. Les recommandations de la CNIL sur la durée de conservation des données d’urbanisme ou sur les dispositifs de “Voisins Vigilants” changent. Pour un secrétaire de mairie déjà surchargé ou un maire bénévole, assurer cette veille juridique est une mission quasi impossible.

Conclusion : Ne restez pas seul face à vos obligations

La mise en conformité RGPD d’une collectivité territoriale ne se résume pas à un document administratif statique. C’est un processus vivant qui protège vos administrés et votre responsabilité d’élu.

Chaque commune a ses spécificités : une bibliothèque municipale, un camping municipal, un port de plaisance… Chacune de ces activités génère des traitements spécifiques. Le “copier-coller” d’une liste trouvée sur internet ne suffira pas à vous protéger en cas de contrôle ou de cyberattaque.

Vous êtes maire ou secrétaire de mairie d’une commune de taille modeste ? Vous vous sentez dépassé par l’ampleur de la tâche et le jargon technique ?

C’est normal. Votre métier est de gérer la cité, de développer votre territoire, pas de décrypter les textes européens obscurs. C’est là que j’interviens.

Chez Etatys, on ne vends pas du logiciel impersonnel ou des plateformes automatisées. Nous proposons un accompagnement humain, sur le terrain. En tant que DPO externalisé spécialisé dans les collectivités, nous prenons en charge votre mise en conformité de A à Z : audit in situ, rédaction de votre registre sur-mesure, sensibilisation pédagogique de vos agents et gestion des risques. 

Ne laissez pas le RGPD devenir une source d’angoisse ou un risque juridique dormant. Transformons-le ensemble en un gage de confiance et de modernité pour vos administrés.

 

Accéder à l'audit gratuit

Contactez-nous dès aujourd’hui et faisons ensemble du RGPD et de la cybersécurité des atouts pour votre collectivité.

Avec Etatys, soyez sûr d’être prêts.

Demander un accompagnement

Articles récents

Page mise à jour : Mars/2026