Désignation du délégué à la protection des données : où en sont les communes en 2025 ?

Depuis l’entrée en vigueur du RGPD, toutes les collectivités doivent désigner un délégué à la protection des données (DPD). Pourtant, de nombreuses communes ne sont toujours pas en conformité et s’exposent à des contrôles et sanctions de la CNIL. Voici l’essentiel à retenir.

Publié le

Agrandir l'image, fenêtre modale

Un constat : une obligation encore insuffisamment respectée

Depuis l’entrée en vigueur du RGPD le 25 mai 2018, toutes les autorités publiques qui traitent des données personnelles doivent désigner un délégué à la protection des données (DPD).

Pourtant, plusieurs années après cette obligation, de nombreuses collectivités ne sont toujours pas en conformité. Selon une étude publiée en octobre 2025 par l’association Déclic, seules 52 % des communes ont désigné un DPD, contre 80 % des communautés de communes et d’agglomération. Au total, 8 216 communes disposent aujourd’hui d’un DPD. Parmi elles, près de 45 % ont fait le choix d’une désignation mutualisée, notamment via un syndicat mixte ou un centre de gestion.

La CNIL a déjà engagé des contrôles sur ce sujet. En 2022, 22 collectivités ont été mises en demeure de désigner un DPD. Plus récemment, la commune de Kourou a été condamnée par la formation restreinte de la CNIL (décision du 22 juillet 2024) au paiement d’une astreinte de 6 900 euros, après être restée sans réponse à une mise en demeure.

Dans un article publié le 27 janvier 2026, La Gazette des communes rappelle d’ailleurs que « le compte n’y est toujours pas » concernant la désignation des DPD dans les communes. L’article souligne également les risques liés aux « désignations de façade », c’est-à-dire lorsqu’un DPD est désigné sans disposer des compétences ou des moyens nécessaires pour exercer ses missions. Dans ces situations, les collectivités concernées s’exposent à des contrôles de la CNIL et à d’éventuelles sanctions.

L’importance d’un DPD compétent et opérationnel

Le délégué à la protection des données joue un rôle central dans la mise en conformité des collectivités au RGPD. Il veille au respect des règles relatives à la protection des données personnelles et accompagne les services dans leurs pratiques quotidiennes : gestion des fichiers, sécurité des données, information des usagers ou encore gestion des incidents.

Toutes les collectivités doivent désigner un DPD. Celui-ci peut être :

  • un agent de la collectivité,
  • un prestataire externe,
  • un DPD mutualisé, par exemple via un centre de gestion.

Dans tous les cas, la personne désignée doit disposer de compétences juridiques, techniques et organisationnelles, d’une bonne connaissance du fonctionnement de la collectivité et de moyens suffisants pour exercer ses missions en toute indépendance.

Au-delà d’une obligation réglementaire, un DPD compétent permet à la collectivité de sécuriser ses pratiques, d’accompagner les services et de limiter les risques juridiques et organisationnels.

Comment désigner un DPD ?

La désignation d’un DPD repose sur plusieurs étapes :

1. Choisir le mode de désignation
La collectivité peut désigner un agent, un prestataire externe ou un DPD mutualisé.

2. Formaliser la désignation
La désignation doit être actée officiellement par la collectivité, généralement par une délibération de l’organe délibérant ou un arrêté de l’autorité territoriale.

3. Déclarer le DPD auprès de la CNIL
La collectivité doit ensuite notifier cette désignation à la CNIL via le téléservice dédié.

4. Informer les services et les usagers
Les coordonnées du DPD doivent être facilement accessibles (site internet, mentions RGPD, communication interne).

5. Mettre en œuvre la démarche RGPD
Une fois désigné, le DPD accompagne la collectivité dans la conformité : registre des traitements, sensibilisation des agents, veille règlementaire, mise à jour du plan d’actions, gestion des violations de données ou relations avec la CNIL.

Pour sécuriser vos données : pensez au CDG29

Pour sécuriser au mieux les données personnelles de votre collectivité, vous pouvez faire appel au Centre de Gestion du Finistère en le désignant comme DPD mutualisé.

Ce choix présente plusieurs atouts :

  • une expertise spécialisée en protection des données,
  • des actions de sensibilisation et de diffusion des bonnes pratiques auprès des agents,
  • un gain de temps pour les services, grâce à un accompagnement structuré.
  • une bonne connaissance du fonctionnement des collectivités publiques par nos agents experts

Le service protection des données du CDG29 peut ainsi accompagner votre collectivité dans ses obligations RGPD et dans la mise en place d’une gestion sécurisée des données.

Contact