Le Règlement Général sur la Protection des Données (RGPD) s'applique à toutes les collectivités territoriales, sans exception. Dès que votre site internet collecte des données personnelles — ne serait-ce qu'un nom et un email via un formulaire de contact — vous êtes soumis à ces obligations. Cet article vous guide pas à pas pour mettre votre site en conformité.
Ce que le RGPD impose concrètement à votre site
Le RGPD ne vous interdit pas de collecter des données. Il vous impose de le faire de manière transparente, proportionnée et sécurisée. Concrètement, pour un site de mairie, cela se traduit par 5 obligations principales.
1. Publier une politique de confidentialité
Votre site doit comporter une page accessible depuis chaque page (généralement dans le pied de page) qui explique :
- Quelles données vous collectez (nom, email, téléphone, adresse IP)
- Pourquoi vous les collectez (répondre aux demandes, envoyer des informations)
- Combien de temps vous les conservez
- Qui y a accès (personnel de mairie, prestataire technique)
- Comment les citoyens peuvent exercer leurs droits (accès, rectification, suppression)
- Les coordonnées du responsable de traitement (le maire) et du DPO si désigné
2. Obtenir le consentement pour les cookies non essentiels
Si votre site utilise des cookies autres que ceux strictement nécessaires à son fonctionnement (par exemple des cookies de mesure d'audience comme Google Analytics), vous devez :
- Afficher un bandeau de consentement avant le dépôt des cookies
- Permettre de refuser les cookies aussi facilement que de les accepter
- Ne déposer aucun cookie non essentiel avant le consentement explicite
- Conserver la preuve du consentement pendant 13 mois maximum
Bonne nouvelle : si votre site n'utilise que des cookies strictement nécessaires (session, préférences d'affichage), le bandeau de consentement n'est pas obligatoire. C'est le cas de la plupart des sites de mairies bien conçus.
3. Sécuriser les formulaires de contact
Chaque formulaire qui collecte des données personnelles doit :
- Être servi en HTTPS (certificat SSL obligatoire)
- Ne collecter que les données strictement nécessaires (principe de minimisation)
- Informer l'utilisateur de la finalité de la collecte (un petit texte sous le formulaire suffit)
- Prévoir une durée de conservation et une suppression automatique
4. Tenir un registre des traitements
La commune doit tenir à jour un registre qui liste tous les traitements de données personnelles qu'elle effectue, y compris via son site internet. Ce registre n'a pas besoin d'être publié sur le site, mais il doit exister et être disponible en cas de contrôle de la CNIL.
Pour un site de mairie basique, les traitements sont généralement :
- Formulaire de contact (nom, email, message)
- Inscription à la newsletter (email)
- Signalements citoyens (nom, email, adresse, description)
- Mesure d'audience (adresses IP anonymisées)
5. Désigner un DPO (pour les communes de +3 500 hab.)
Les communes de plus de 3 500 habitants ont l'obligation de désigner un Délégué à la Protection des Données (DPO). Ce peut être un agent municipal formé, un élu, ou un prestataire externe. Ses coordonnées doivent figurer sur la politique de confidentialité du site.
Pour les communes plus petites, la désignation d'un DPO n'est pas obligatoire mais reste fortement recommandée par la CNIL.
Checklist RGPD pour votre site
Voici la liste de vérification complète à suivre :
- Page "Politique de confidentialité" publiée et accessible depuis le pied de page
- Mentions légales complètes (éditeur, hébergeur, responsable de publication)
- Certificat SSL actif (adresse en https://)
- Bandeau cookies si cookies non essentiels utilisés
- Formulaires avec mention informative sur la collecte de données
- Pas de collecte de données inutiles dans les formulaires
- Durée de conservation des données définie et appliquée
- Registre des traitements à jour côté mairie
- Coordonnées du DPO affichées (si obligation)
- Procédure de réponse aux demandes de droit d'accès/rectification/suppression
- Sous-traitants listés (hébergeur, prestataire site, outil d'emailing)
- Pas de transfert de données hors UE sans garanties
Les erreurs les plus fréquentes
Erreur 1 — Pas de politique de confidentialité
C'est le manque le plus courant. Beaucoup de sites de mairies ont un formulaire de contact mais aucune information sur ce qui est fait des données collectées. C'est une infraction directe au RGPD.
Erreur 2 — Google Analytics sans consentement
Google Analytics dépose des cookies tiers et transfère des données vers les États-Unis. Si vous l'utilisez, un bandeau de consentement est obligatoire. Alternative conforme : les outils de mesure d'audience exemptés de consentement par la CNIL (comme Matomo configuré en mode exempté, ou une mesure anonymisée côté serveur).
Erreur 3 — Formulaire avec trop de champs
Un formulaire de contact qui demande le nom, le prénom, l'adresse postale, le numéro de téléphone, l'email ET la date de naissance pour simplement poser une question viole le principe de minimisation. Ne collectez que ce qui est strictement nécessaire.
Erreur 4 — Données conservées indéfiniment
Les messages de contact n'ont pas vocation à être conservés éternellement. Une durée de conservation de 12 à 24 mois est généralement considérée comme raisonnable pour une mairie.
Le cas particulier des photos sur le site
Les photos publiées sur le site de votre commune (événements, cérémonies, fêtes) sont des données personnelles si elles permettent d'identifier des individus. Les règles sont les suivantes :
- Événements publics — pas de consentement individuel requis si les photos sont prises dans un lieu public et ne ciblent pas une personne en particulier
- Photos individuelles ou de petits groupes — consentement requis, surtout pour les mineurs (autorisation parentale)
- Photos d'élèves — autorisation parentale écrite obligatoire dans tous les cas
En pratique, privilégiez les plans larges pour les événements publics et demandez systématiquement l'autorisation pour les portraits et les photos de mineurs.
RGPD déjà inclus dans MairieConnect
Politique de confidentialité, mentions légales, bannière cookies et formulaires conformes — tout est configuré dès la livraison de votre site.
Demander une démo →Que risque votre commune en cas de non-conformité ?
La CNIL peut prononcer des sanctions allant du simple rappel à l'ordre jusqu'à des amendes financières. Pour les collectivités, les amendes sont généralement modérées mais les mises en demeure publiques ont un impact réputationnel important.
En 2023 et 2024, la CNIL a multiplié les contrôles auprès des collectivités territoriales, en ciblant particulièrement les sites internet et la gestion des cookies. La tendance s'accélère en 2025-2026.
En résumé
La conformité RGPD d'un site de mairie n'est pas un chantier titanesque. Dans la majorité des cas, il s'agit de publier les bonnes pages (mentions légales, politique de confidentialité), de sécuriser les formulaires (HTTPS, minimisation des données) et de ne pas utiliser de traceurs sans consentement. Un site bien conçu intègre ces éléments nativement — vous n'avez qu'à les personnaliser avec les informations de votre commune.