Droit administratif
Concours
10 min de lecture
Souvent tombe
RGPD et protection des donnees personnelles
Règlement europeen 2016/679, loi Informatique et Libertés, obligations des collectivités territoriales -- maîtriser le cadre juridique de la protection des donnees dans le secteur public local.
Mis a jour mars 2026
Rédacteur & Attache territorial
7 sections
*
Chiffres cles a retenir
Les donnees incontournables pour l'oral
2018
Entree en application du RGPD (25 mai 2018)
1978
Loi Informatique et Libertés (loi n. 78-17, modifiee en 2018)
20 M
Amende maximale CNIL (ou 4% du CA pour les entreprises)
*
Points cles a maîtriser
Les fondamentaux du RGPD pour les collectivités
1.
Application directe du RGPD
Le RGPD (Règlement UE 2016/679) est d'application directe dans tous les États membres depuis le 25 mai 2018. Il renforce les droits des personnes et responsabilise les organismes traitant des donnees personnelles.
2.
Loi Informatique et Libertés refondue
La loi Informatique et Libertés (loi n. 78-17 du 6 janvier 1978), refondue par la loi du 20 juin 2018, complete le RGPD en droit francais. Elle fixe notamment les règles spécifiques pour les traitements regaliens (police, justice).
3.
7 principes fondamentaux
Principes fondamentaux du RGPD : licéité, loyaute, transparence ; limitation des finalites ; minimisation des donnees ; exactitude ; limitation de la conservation ; intégrité et confidentialité ; responsabilité (accountability).
4.
DPO obligatoire dans les collectivités
Le DPO (Délégué a la Protection des Donnees) est obligatoire dans toutes les collectivités territoriales et leurs établissements publics (art. 37 RGPD). Il peut être mutualise (via le CDG par exemple).
5.
6 droits des administres
Droits des administres : droit d'acces (art. 15), de rectification (art. 16), d'effacement/droit a l'oubli (art. 17), de limitation (art. 18), de portabilite (art. 20), d'opposition (art. 21).
6.
Registre et AIPD obligatoires
Chaque collectivité doit tenir un registre des activités de traitement (art. 30 RGPD) et réaliser une AIPD (Analyse d'Impact relative a la Protection des Donnees) pour les traitements a risque élevé (art. 35 RGPD).
*
Avant le RGPD vs Depuis le RGPD
Du régime déclaratif a l'accountability
Avant le RGPD (régime déclaratif) Depuis le RGPD (accountability)
Formalites Déclaration ou autorisation préalable aupres de la CNIL Pas de déclaration : le responsable de traitement doit démontrer sa conformité a tout moment
Responsabilité Respect formel des formalites suffisant Principe de responsabilité (accountability) : documentation, registre, AIPD
Sanctions Sanctions limitees (300 000 euros max) Amendes jusqu'a 20 M euros ou 4% du CA mondial
DPO CIL facultatif (Correspondant Informatique et Libertés) DPO obligatoire pour les autorités publiques
*
Exemples concrets a citer a l'oral
Illustrez toujours vos reponses -- c'est ce qui fait la différence
*
Fichiers RH -- donnees des agents

Les donnees des agents (bulletins de paie, évaluations, arrets maladie) sont des donnees personnelles soumises au RGPD. La duree de conservation doit être définie et respectee.

*
État civil -- donnees sensibles

Les actes d'état civil contiennent des donnees sensibles. Leur dématérialisation impose des mesures de sécurité renforcées et un encadrement strict des acces.

*
Vidéoprotection -- AIPD obligatoire

L'installation de cameras sur la voie publique nécessité une AIPD, une information du public et une duree de conservation limitee (30 jours en general).

*
Listes electorales -- communication encadrée

La communication des listes electorales est encadrée. Depuis 2019, les listes sont transmises sous forme dématérialisée avec des obligations de confidentialité.

Question flash
Quelle est la base legale la plus fréquente pour les traitements de donnees personnelles dans les collectivités territoriales ?
Le consentement de la personne concernee
La mission de service public (art. 6.1.e RGPD)
L'intérêt légitime du responsable de traitement
Exact ! Pour les collectivités territoriales, la base legale la plus fréquente n'est pas le consentement mais la mission de service public (art. 6.1.e) ou l'obligation legale (art. 6.1.c). L'intérêt légitime (art. 6.1.f) n'est pas utilisable par les autorités publiques dans le cadre de leurs missions. C'est un piege classique a l'oral.
*
Pieges fréquents a l'oral
Les erreurs qui coutent des points
*
Croire que le RGPD ne concerne que les entreprises privees

FAUX. Les collectivités territoriales sont pleinement concernees par le RGPD et doivent impérativement désigner un DPO. Toute donnee personnelle traitee par une collectivité (fichiers RH, état civil, listes electorales) est soumise au règlement.

*
Confondre anonymisation et pseudonymisation

L'anonymisation est irréversible : les donnees anonymisees ne sont plus soumises au RGPD. La pseudonymisation est réversible : les donnees pseudonymisees restent des donnees personnelles soumises au RGPD. La confusion est fréquente et severement sanctionnee a l'oral.

*
Réduire le RGPD au seul consentement

Le consentement n'est qu'une base legale parmi six. Pour les collectivités, la base legale la plus fréquente est la mission de service public (art. 6.1.e) ou l'obligation legale (art. 6.1.c). Le jury attend que vous ne réduisiez pas le RGPD au seul consentement.

*
Penser que la CNIL ne sanctionne pas les collectivités

FAUX. Plusieurs mises en demeure et sanctions ont ete prononcees contre des collectivités (ex. : communes pour vidéoprotection non conforme). La CNIL dispose de pouvoirs de controle, de mise en demeure et de sanction.

Les 6 points a retenir absolument
RGPD = 7 principes fondamentaux + accountability (responsabilisation)
DPO obligatoire dans toutes les collectivités (mutualisable via CDG)
6 droits des personnes : acces, rectification, effacement, limitation, portabilite, opposition
Base legale des collectivités : mission de service public ou obligation legale (rarement le consentement)
CNIL : autorité independante, pouvoirs de controle, mise en demeure, sanction
Registre des traitements + AIPD = outils de conformité obligatoires
A placer a l'oral : Le RGPD impose un changement de paradigme pour les collectivités territoriales : on passe d'un régime déclaratif aupres de la CNIL a un principe de responsabilité (accountability), ou chaque collectivité doit être en mesure de démontrer sa conformité a tout moment, grâce a un registre des traitements, un DPO désigne et des analyses d'impact pour les traitements les plus sensibles.