Collectivités territoriales : la CNIL intensifie ses contrôles RGPD en 2025 – Ce qu’il faut savoir

/ Article / Par

Le rôle de la CNIL et ses publications officielles

La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité administrative indépendante chargée de veiller au respect des droits et libertés en matière de données personnelles. Elle accompagne, régule, contrôle et sanctionne les acteurs publics et privés dans le cadre du Règlement général sur la protection des données (RGPD).

Chaque année, la CNIL publie plusieurs documents majeurs :

  • Le rapport annuel, qui dresse un bilan des actions de contrôle, des sanctions, des évolutions réglementaires et technologiques ;
  • Le programme de contrôles, publié sous forme de communiqué, qui fixe les thématiques prioritaires de contrôle pour l’année ;
  • Le plan stratégique pluriannuel, qui expose les grandes orientations à moyen terme ;
  • Des communiqués relatifs aux sanctions, recommandations, outils et guides pratiques à destination des responsables de traitement.

Ces publications constituent des références pour les acteurs publics, notamment les collectivités territoriales, qui sont régulièrement visées par les contrôles.

Deux publications majeures pour les collectivités à connaître en 2025

Deux documents publiés par la CNIL début 2025 doivent retenir l’attention des collectivités territoriales :

  1. Le plan stratégique 2025–2028, publié en janvier 2025, définit quatre axes prioritaires : cybersécurité, intelligence artificielle, protection des mineurs, et usages numériques du quotidien.
    https://www.cnil.fr/sites/cnil/files/2025-01/plan_strategique_cnil_2025-2028.pdf
  2. Le programme de contrôles 2025* annoncé en mars 2025 via un communiqué, indique que la cybersécurité des collectivités territoriales est l’une des priorités de contrôle de l’année :
    « En 2025, la CNIL se concentrera sur les données collectées par le biais des applications mobiles, la cybersécurité des collectivités territoriales ainsi que les traitements de données par l’administration pénitentiaire. »
    https://www.cnil.fr/fr/les-controles-de-la-cnil-en-2025

Les six principes fondamentaux du RGPD

Pour mémoire, l’article 5 du RGPD énonce six principes fondamentaux que tout responsable de traitement doit respecter :

  1. Licéité, loyauté et transparence ;
  2. Limitation des finalités ;
  3. Minimisation des données ;
  4. Exactitude ;
  5. Limitation de la conservation ;
  6. Intégrité et confidentialité (sécurité).

Le sixième principe est particulièrement crucial pour les collectivités : il impose de garantir la sécurité des données personnelles en mettant en œuvre des mesures techniques et organisationnelles adaptées aux risques. L’article 32 du RGPD précise que ces mesures doivent assurer un niveau de sécurité approprié, y compris contre la perte, la destruction ou l’accès non autorisé aux données.

Exemples de Mesures techniques :

  • Sécurisation des postes de travail : Installation d’antivirus, de pare-feu, et mise à jour régulière des systèmes pour prévenir les accès frauduleux.
  • Gestion des accès : Mise en place d’authentification forte, de mots de passe complexes et individuels, et de droits d’accès limités aux besoins des agents.
  • Chiffrement des données : Utilisation de techniques de chiffrement pour les données sensibles, notamment lors de leur stockage ou de leur transmission.
  • Sauvegardes régulières : Réalisation de sauvegardes fréquentes des données pour prévenir leur perte en cas d’incident.

Exemples de Mesures organisationnelles :

  • Sensibilisation et formation : Organisation de sessions de formation pour les agents sur les bonnes pratiques en matière de protection des données.
  • Gestion des habilitations : Définition claire des responsabilités et des droits d’accès pour chaque agent, en fonction de ses missions.
  • Procédures internes : Élaboration de politiques de sécurité, de plans de continuité d’activité et de procédures de gestion des incidents.
  • Encadrement des sous-traitants : Vérification que les prestataires respectent les exigences du RGPD, notamment en matière de sécurité des données.

La mise en œuvre de ces mesures permet aux collectivités de se conformer aux exigences du RGPD, de protéger les données des administrés et de renforcer la confiance dans les services publics numériques.

Le rôle stratégique du Délégué à la protection des données (DPO)

Pour mémoire également, la désignation d’un Délégué à la protection des données est obligatoire pour les autorités publiques, y compris les collectivités territoriales (article 37 RGPD).

Le DPO est chargé de :

  • Informer et conseiller la collectivité sur ses obligations RGPD ;
  • Contrôler le respect du règlement en interne ;
  • Coopérer avec la CNIL et faire office de point de contact ;
  • Réaliser des analyses d’impact et alerter en cas de risque élevé.

L’absence de DPO constitue un manquement formel. En 2024, la CNIL a sanctionné la commune de Kourou d’une amende de 5 000 € suivie d’une astreinte de 150 €/jour. https://www.cnil.fr/fr/la-cnil-sanctionne-la-commune-de-kourou-pour-non-designation-dun-dpo

Le Délégué à la protection des données (DPO) joue un rôle clé dans la définition, le déploiement et le suivi des mesures techniques et organisationnelles de sécurité au sein d’une collectivité territoriale. En tant que point de contact entre la collectivité et la CNIL, il veille à ce que les traitements de données respectent les exigences du RGPD, notamment celles de l’article 32 relatif à la sécurité des données. Concrètement, le DPO accompagne les services dans l’identification des risques, la mise en place de mesures adaptées (chiffrement, journalisation, gestion des habilitations, etc.) et la rédaction des procédures internes (plan de gestion des incidents, clauses contractuelles avec les sous-traitants, chartes informatiques). Il sensibilise également les agents aux bonnes pratiques et participe activement à la réponse en cas de violation de données : analyse de l’incident, évaluation des conséquences, documentation, et notification à la CNIL si nécessaire. Sans DPO, une collectivité s’expose à une gouvernance incomplète de la sécurité des données et à des risques juridiques accrus, notamment en cas de contrôle.

 

Comment LEGALPROTECH-AVOCATS accompagne les collectivités

 

 

LEGALPROTECH-AVOCATS intervient depuis plusieurs années auprès des entités publiques pour garantir leur conformité RGPD.

Nos expertises :

  • DPO externalisé : nous assumons pour votre compte la fonction de Délégué à la protection des données ;
  • Auditeur RGPD : audit de conformité, préconisations opérationnelles, cartographie des traitements ;
  • Formateur RGPD : formations sur-mesure, pratiques et contextualisées pour agents, référents et élus ;
  • Assistance CNIL : préparation aux contrôles, réponses aux injonctions, accompagnement en cas de sanction, et gestion des notifications de violation de données personnelles.

Témoignage

« En milieu insulaire, la mise en conformité RGPD soulève des défis bien particuliers. Entre la multiplicité des sites distants, l’accès parfois limité aux ressources numériques et la diversité des missions des agents, garantir une gouvernance cohérente et sécurisée des données personnelles reste un véritable enjeu. C’est à la fois une responsabilité juridique, un impératif opérationnel et une exigence éthique vis-à-vis de nos administrés.

Pour nous, il était essentiel de bénéficier d’un accompagnement qui comprenne la réalité des collectivités ultramarines et qui puisse apporter des solutions pragmatiques adaptées à notre territoire. Depuis janvier 2025, LEGALPROTECH-AVOCATS assure cette mission avec une expertise et une pédagogie qui ont su embarquer nos équipes. Leur approche concrète, loin des audits purement théoriques, nous permet d’avancer sereinement et d’instaurer une véritable culture de la protection des données au sein de nos services. »

 

Florus NESTAR
Directeur général des services du Conseil départemental de la Guadeloupe