Le constat
La majorité des collectivités
ne sont pas encore conformes.
Depuis le 25 mai 2018, le RGPD impose sans dérogation la désignation d’un DPO à toute autorité publique. Pourtant, une part significative des collectivités de petite et moyenne taille n’a toujours pas procédé à cette désignation — soit par méconnaissance de l’obligation, soit par manque de ressources internes.
La CNIL a intensifié ses contrôles depuis 2022, avec une attention particulière portée au secteur public territorial. L’absence de DPO désigné est systématiquement relevée lors des inspections et peut déclencher une procédure formelle de mise en demeure.
Position CNIL : L’absence de désignation d’un DPO par une autorité publique constitue un manquement formel susceptible de faire l’objet d’une mise en demeure publique, quelle que soit la taille de la structure.
Mise en demeure publique CNIL, amende administrative jusqu’à 20 M€, atteinte à la réputation institutionnelle.
Sans DPO, toute violation de données (ransomware, fuite, accès non autorisé) doit être notifiée à la CNIL dans les 72h — sans interlocuteur formé pour le faire.
Les fournisseurs IT, logiciels métier et prestataires traitant des données pour votre compte doivent faire l’objet d’un contrat de sous-traitance RGPD. Sans DPO, ce suivi n’existe pas.
Ce que nous faisons
La mission DPO,
dans son intégralité.
Désignation CNIL
Enregistrement officiel auprès de la CNIL via le portail de désignation. Remise du justificatif de désignation à la collectivité sous 72h. Mise à jour de l’avis de confidentialité public.
Registre des traitements
Cartographie complète de l’ensemble des traitements de données personnelles — RH, état civil, social, police municipale, vidéoprotection, SI métiers. Mise à jour continue et documentation structurée.
Analyses d’impact (AIPD)
Réalisation des analyses d’impact sur la protection des données pour tous les traitements à risque élevé — vidéosurveillance, biométrie, profiling social, SI interconnectés. Méthodologie CNIL/EBIOS.
Gestion des violations
Procédure de détection, qualification et notification des violations de données à la CNIL dans les 72h réglementaires. Gestion de la communication aux personnes concernées si nécessaire.
Exercice des droits
Réception et traitement des demandes d’exercice des droits (accès, rectification, effacement, portabilité, opposition). Suivi des délais réglementaires et documentation des réponses.
Formation & sensibilisation
Sessions de sensibilisation pour les agents, formation approfondie pour les référents SI et les responsables de service. Élaboration d’une charte informatique et d’une politique de confidentialité interne.
Déploiement
De la signature
à la conformité.
Jour J — Signature du mandat
Convention de prestation signée. Le DPO est juridiquement désigné dès ce jour.
J+72h — Désignation CNIL
Enregistrement sur le portail officiel CNIL et confirmation écrite remise à la collectivité. Mise à jour de la page mentions légales.
J+15 — Audit de l’existant
Entretiens avec les directions, cartographie des traitements en cours, identification des contrats sous-traitants à régulariser.
J+45 — Registre v1 livré
Première version complète du registre des traitements documentée et validée. Plan de mise en conformité prioritaire remis.
J+90 — Conformité opérationnelle
AIPD prioritaires réalisées, agents sensibilisés, procédures de gestion des droits et incidents en place. Rapport d’activité DPO remis trimestriellement.
Ce qui est inclus
Le mandat DPO
en détail.
Désignation CNIL officielle sous 72h
Registre des traitements complet & mis à jour
AIPD pour les traitements à risque élevé
Gestion des violations de données 72h
Traitement des demandes d’exercice de droits
Audit des contrats sous-traitants (clause RGPD)
Formation agents & DGS (présentiel ou distanciel)
Rapport d’activité DPO trimestriel
Tarification
Un mandat annuel.
Des tarifs mutualisés.
La mutualisation entre plusieurs collectivités permet de diviser le coût par deux à trois, tout en garantissant un DPO dédié à chaque structure.
Essentiel
Mandat annuel · selon périmètre
Pour les petites communes et EPCI avec un volume de traitements limité.
- —Désignation CNIL
- —Registre des traitements
- —Gestion des violations
- —Rapport annuel
Standard
Mandat annuel · mutualisable
Pour les communes, EPCI, CCAS et SDIS de taille intermédiaire. Le plus courant.
- —Tout Essentiel inclus
- —AIPD (2 analyses/an)
- —Audit contrats sous-traitants
- —Formation agents (1 session)
- —Rapport trimestriel
Complet
Mandat annuel · grands périmètres
Pour les structures complexes — départements, grandes intercommunalités, SDIS départementaux.
- —Tout Standard inclus
- —AIPD illimitées
- —Référent RGPD interne coaché
- —Formation multi-sessions
- —Accompagnement contrôle CNIL
Possibilité de mutualisation entre plusieurs collectivités du même territoire. Tarifs réduits sur devis groupé.
Questions fréquentes
Ce que les élus
et DGS nous posent.
Une question non listée ? Contactez-nous directement — réponse sous 24h.
Nous écrirePeut-on mutualiser un DPO entre plusieurs collectivités ?
Oui, expressément autorisé par l’article 37 §3 du RGPD. Un groupe d’entreprises ou un groupe d’organismes publics peut désigner un DPO unique. Cette mutualisation est économiquement très avantageuse : elle permet à chaque collectivité de bénéficier d’un DPO professionnel à un coût divisé. Nous proposons des conventions de mutualisation entre collectivités d’un même territoire ou d’une même intercommunalité.
Quelles sont les qualifications requises pour un DPO externalisé ?
Le RGPD exige que le DPO soit désigné sur la base de ses qualités professionnelles — connaissance approfondie du droit et des pratiques en matière de protection des données. Il n’existe pas de certification obligatoire, mais la CNIL recommande des compétences en droit des données personnelles, en sécurité des SI et en culture du secteur d’activité concerné. Nos DPO sont certifiés CIPP/E ou équivalent et ont une expérience spécifique du secteur public territorial.
Que se passe-t-il lors d’un contrôle de la CNIL ?
Nous accompagnons la collectivité de bout en bout lors d’un contrôle CNIL — préparation documentaire, présence lors des auditions si autorisée, rédaction des réponses aux questionnaires. La désignation d’un DPO externe professionnel est un signal positif pour les contrôleurs : elle démontre la volonté de conformité de la structure. Dans tous les cas où nous sommes désignés avant le contrôle, les collectivités disposent d’un dossier de conformité documenté et à jour.
Le DPO externalisé est-il présent physiquement dans la collectivité ?
Le RGPD n’impose pas de présence physique permanente. Le DPO externalisé intervient en présentiel pour les sessions de formation, les réunions de direction et les restitutions de rapports. Le reste de la mission se déroule à distance, avec des points réguliers et une disponibilité garantie pour les situations urgentes (violations de données notamment).
La vidéoprotection de voirie nécessite-t-elle une AIPD ?
Oui. La CNIL a publié une liste des traitements pour lesquels l’AIPD est obligatoire — la vidéosurveillance de l’espace public en fait partie (liste publiée au JORF). La biométrie, les systèmes de contrôle d’accès biométrique, le profilage et les traitements à grande échelle de données sensibles sont également concernés. Notre mission inclut la réalisation de ces AIPD selon la méthodologie CNIL/EBIOS.
Quelle est la durée minimale d’engagement ?
Le mandat est signé pour une durée d’un an, renouvelable tacitement. La durée minimale d’un an se justifie par la nature continue de la mission DPO — il ne s’agit pas d’une prestation ponctuelle mais d’un rôle permanent dans l’organisation. En cas de résiliation anticipée, un préavis de trois mois est requis pour assurer la continuité de la désignation et le transfert de documentation.