Audit RGPD pour mairies et collectivités

Les 5 risques RGPD spécifiques aux collectivités

1. Pas de DPO ou DPO non opérationnel. Obligation pour toutes les autorités publiques. Une mutualisation intercommunale ou avec un syndicat numérique est possible.
2. Vidéoprotection mal encadrée. Délibération du conseil, autorisation préfectorale, durée de conservation maximale, information du public, accès aux images : autant de points contrôlés.
3. Fichiers cantine, périscolaire, CCAS. Données sensibles de mineurs et de personnes vulnérables : sécurité renforcée, durée alignée sur l'utilité.
4. Sous-traitants publics et logiciels métiers. Berger-Levrault, JVS, Arpège, EDD : DPA à vérifier et registre des sous-traitants tenu.
5. Site internet de la collectivité. Cookies, formulaires, mentions, DPO publié, accessibilité : ensemble de points souvent négligés.

Checklist conformité collectivité

• DPO désigné et déclaré à la CNIL, fiche de poste claire.
• Registre des traitements complet, par direction (état civil, scolaire, technique, social, communication).
• Délibération encadrant la vidéoprotection ; affichage et information conformes.
• Procédure d'exercice des droits accessible aux administrés (formulaire ou contact DPO).
• AIPD pour les traitements à risque (vidéoprotection étendue, fichiers vulnérables, surveillance trafic).
• DPA signés avec tous les éditeurs métier ; clauses RGPD dans les marchés publics.
• Politique de confidentialité du site web à jour, mentions cookies conformes.
• Plan de continuité incluant la notification CNIL sous 72 h en cas d'incident.
• Formation annuelle des agents ayant accès aux fichiers sensibles.
• Sécurité : MFA, sauvegardes hors site, chiffrement, segmentation réseau.

Pour aller plus loin

• Calculateur d'amende RGPD CNIL
• Audit RGPD associations
• Audit RGPD santé / médical