Sector público

DPD pour administrations publiques et mairies

L'article 37, paragraphe 1, point a) du RGPD ne laisse aucune marge d'interprétation : toute autorité ou organisme public doit désigner un Délégué à la Protection des Données, qu'il existe ou non un volume de traitement qui le justifierait à lui seul dans une entreprise privée. L'obligation s'applique aussi bien à la mairie d'une capitale de province qu'à celle d'une commune de deux cents habitants, aux conseils provinciaux, aux organismes autonomes locaux et aux groupements de communes. Summum Consultoría accompagne les administrations publiques de Castille-et-León et des Canaries dans la désignation, l'inscription auprès de l'AEPD et l'exercice continu de cette fonction, y compris la formule du DPD mutualisé entre plusieurs entités lorsque la taille des effectifs ne justifie pas un délégué exclusif.

Réglementation applicableRGPD art. 37.1.a) (obligation sans exception) · LOPDGDD art. 34
Autorité de contrôleAEPD — Agence espagnole de protection des données
Champ d'interventionMairies, groupements de communes, conseils provinciaux et organismes publics de Castille-et-León et des Canaries

Dans le secteur privé, l'obligation de désigner un DPD dépend de l'activité exercée : traitement à grande échelle de catégories particulières de données, suivi régulier et systématique des personnes concernées, ou l'un des cas énumérés à l'article 34 de la LOPDGDD pour les ordres professionnels, établissements scolaires, entités financières ou assureurs, entre autres. Dans le secteur public, ce filtre n'existe pas. L'article 37.1.a) du RGPD impose la désignation à toute autorité ou organisme public du simple fait de sa nature, à la seule exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle. Une mairie de deux cents habitants qui tient le registre de population, délivre des certificats et instruit des aides sociales est tout aussi tenue qu'un ministère. Dans la pratique, un nombre considérable de petites communes et de groupements de communes de Castille-et-León traitent cette obligation de manière incomplète : ils la confient oralement à un agent qui ne possède pas la qualification exigée par l'article 37.5 du RGPD, présument que le conseil provincial la couvre déjà sans qu'aucune désignation formelle n'existe, ou omettent tout simplement de notifier la nomination à l'AEPD comme l'exige l'article 37.7.

Le RGPD lui-même propose la solution pour les entités qui ne peuvent pas assumer un délégué à temps plein. L'article 37.3 permet expressément à une autorité ou à un organisme public de désigner un DPD unique pour plusieurs entités, « en tenant compte de leur structure organisationnelle et de leur taille ». Cette disposition européenne s'applique directement en Espagne et permet aux mairies, groupements de communes et consortiums de mutualiser un seul délégué au lieu de dupliquer le coût pour chaque entité ; la désignation de chaque entité est notifiée à l'AEPD dans le délai de dix jours fixé par l'article 34.3 de la LOPDGDD. C'est la formule la plus pertinente pour la majorité des communes de moins de cinq mille habitants de la région : un DPD externe unique couvre la mairie, son organisme autonome des sports ou de la culture s'il existe, et le groupement de communes dont elle fait partie, avec une désignation coordonnée unique et un seul point de contact auprès de l'Agence.

Summum Consultoría, active depuis 2007, travaille avec le secteur public local de Castille-et-León et des Canaries sur des sujets qui font intervenir le même interlocuteur — le secrétaire-trésorier, le responsable des marchés publics, le cabinet du maire — que nos services de loi de transparence et de marchés publics. Cette connaissance du fonctionnement réel d'une petite mairie est ce qui manque à la plupart des offres de DPD externe conçues pour l'entreprise privée : rédiger le registre des traitements d'une clinique n'a rien à voir avec celui d'une mairie qui traite simultanément des données de registre de population, de police municipale, de vidéosurveillance de la voie publique, d'aides sociales, de marchés publics et de comptes de réseaux sociaux institutionnels. Le service se contracte par ailleurs comme toute autre fourniture ou prestation d'une collectivité locale : par marché de faible montant ou par procédure ouverte simplifiée selon son montant, dans le même cadre de la loi 9/2017 sur les marchés publics que nous appliquons déjà dans les procédures que nous gérons pour les PME.

Le processus DPD pour administrations publiques et mairies.

Le processus · quatre étapes
01

Diagnostic de l'entité et de ses traitements

Nous examinons les traitements propres à l'activité municipale ou de l'organisme : registre de population, registre du courrier entrant et sortant, police municipale, vidéosurveillance de la voie publique, aides et prestations sociales, marchés publics, subventions et comptes de réseaux sociaux institutionnels. Nous vérifions s'il existe déjà une désignation préalable (interne ou déléguée au conseil provincial) et dans quelles conditions.

02

Désignation et notification formelle à l'AEPD

Nous formalisons la nomination par un accord de l'organe compétent (cabinet du maire, conseil municipal ou assemblée plénière, selon le cas) et la notifions à l'Agence espagnole de protection des données conformément à l'article 37.7 du RGPD. Si l'entité fait partie d'un groupement de communes ou souhaite mutualiser un délégué avec des communes voisines, nous coordonnons la désignation conjointe permise par l'article 37.3 du RGPD. Consultez la procédure détaillée dans notre <a href="https://summumconsultoria.es/blog/2026-07-10-nombrar-dpo-aepd">guide pour nommer un DPD auprès de l'AEPD</a> (en espagnol).

03

Registre des traitements et fonctionnement continu

Nous tenons à jour le registre des traitements de l'article 30 du RGPD adapté à l'activité des collectivités locales, traitons les demandes d'exercice des droits des administrés dans les délais de l'article 12 et proposons un canal de violation traité en moins de 24 heures, avec notification à l'AEPD dans le délai de 72 heures de l'article 33 lorsque l'analyse de risque l'exige.

04

Formation annuelle et rapport pour l'assemblée plénière

Nous dispensons une formation annuelle au personnel municipal — avec une importance particulière pour la police municipale, les services sociaux et le registre — et établissons un rapport d'activité du délégué que le secrétariat peut présenter à l'assemblée plénière ou au conseil municipal, laissant une trace documentée de la conformité en cas de demande de l'AEPD.

Ce qui est inclus

Ce qu'inclut DPD pour administrations publiques et mairies.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Désignation et notification à l'AEPD

    Inscription formelle comme DPD auprès de l'Agence espagnole de protection des données et notification de ses coordonnées conformément à l'article 37.7 du RGPD, avec la délibération de l'organe municipal compétent déjà rédigée.

  • DPD mutualisé entre plusieurs entités

    Désignation d'un délégué unique pour la mairie, ses organismes autonomes et le groupement de communes auquel elle appartient, conformément à l'article 37.3 du RGPD, avec notification à l'AEPD dans le délai de dix jours de l'article 34.3 de la LOPDGDD, sans dupliquer le coût pour chaque entité.

  • Registre des traitements adapté au secteur public

    Document de l'article 30 du RGPD couvrant les traitements propres à l'activité municipale : registre de population, police municipale, vidéosurveillance, aides sociales, marchés publics et réseaux sociaux institutionnels.

  • Canal de violation et notification sous 72 heures

    Traitement des incidents en moins de 24 heures et, lorsque le risque l'exige, notification à l'AEPD dans le délai de l'article 33 du RGPD, avec le dossier déjà préparé pour l'assemblée plénière.

  • Accompagnement des analyses d'impact

    Accompagnement des analyses d'impact relatives à la protection des données (AIPD) de l'article 35 du RGPD, fréquentes dans les projets de vidéosurveillance urbaine, de contrôle d'accès ou de nouveaux systèmes de gestion des dossiers.

  • Coordination avec la transparence et les marchés publics

    Le DPD travaille en lien avec notre service de <a href="./ley-transparencia.html">loi de transparence</a> pour que la publicité active ne porte pas atteinte au RGPD, et avec les <a href="./licitaciones-publicas.html">marchés publics</a> lorsque le contrat du délégué externe lui-même est passé par procédure publique.

Questions fréquentes sur DPD pour administrations publiques et mairies.

Une petite mairie est-elle obligée d'avoir un DPD ?

Oui, sans exception liée à la taille. L'article 37.1.a) du RGPD impose à toute autorité ou organisme public de désigner un DPD, quel que soit le nombre d'habitants ou le volume des traitements. La seule exception prévue par le RGPD concerne les juridictions agissant dans l'exercice de leur fonction juridictionnelle. Une commune de quelques centaines d'habitants est tout aussi tenue qu'un conseil provincial.

Une commune peut-elle mutualiser son DPD avec d'autres mairies ou avec un groupement de communes ?

Oui. L'article 37.3 du RGPD permet expressément à plusieurs autorités ou organismes publics de désigner un DPD unique, en tenant compte de leur structure organisationnelle et de leur taille. Chaque entité notifie sa propre désignation à l'AEPD dans le délai de dix jours fixé par l'article 34.3 de la LOPDGDD. C'est la formule la plus courante et la plus économique pour les petites mairies et les groupements de communes, et celle que nous appliquons le plus fréquemment en Castille-et-León.

Le DPD doit-il être un agent public ou peut-il s'agir d'une entreprise externe ?

Les deux sont possibles. L'article 37.6 du RGPD permet que le délégué soit un membre du personnel de l'organisation ou qu'il exerce ses fonctions dans le cadre d'un contrat de prestation de services, c'est-à-dire en externalisation. De nombreuses petites mairies choisissent l'externalisation précisément parce qu'elles ne disposent pas de personnel réunissant la qualification et les connaissances spécialisées exigées par l'article 37.5 du RGPD, ni d'une charge de travail suffisante pour justifier un poste interne à temps plein.

Comment notifier la désignation du DPD à l'AEPD ?

La notification se fait sur le site électronique de l'Agence espagnole de protection des données, avec les coordonnées du délégué, comme l'exige l'article 37.7 du RGPD, et doit intervenir dans un délai de dix jours à compter de la nomination, conformément à l'article 34.3 de la LOPDGDD. La nomination doit être appuyée par une délibération de l'organe municipal compétent. Consultez la procédure détaillée dans notre guide pour nommer un DPD auprès de l'AEPD (en espagnol).

Quelles sont les fonctions du DPD au sein d'une mairie ?

Les mêmes que celles fixées par l'article 39 du RGPD pour toute organisation : informer et conseiller la mairie et son personnel sur leurs obligations, contrôler le respect de la réglementation, conseiller sur les analyses d'impact lorsqu'elles sont requises et coopérer avec l'AEPD en tant que point de contact. Nous détaillons chaque fonction dans notre article sur les fonctions du DPD (en espagnol).

Que se passe-t-il si une administration publique ne désigne pas de DPD ?

Le régime de sanctions diffère de celui des entreprises privées. Lorsque l'auteur de l'infraction est une administration publique, la LOPDGDD prévoit dans son article 77 un régime spécifique : au lieu des amendes de l'article 83 du RGPD — expressément exclues depuis la réforme introduite par la loi 11/2023 —, l'AEPD rend une décision constatant le manquement et fixant les mesures correctrices, peut proposer l'ouverture de poursuites disciplinaires à l'encontre des personnes responsables et publie la décision sur son site web en identifiant l'entité concernée. L'absence de désignation d'un DPD expose également la mairie à des mises en demeure formelles et à une position fragile face à toute réclamation d'un administré.

Le DPD externe peut-il être recruté par appel d'offres public ?

Oui, et c'est la voie habituelle : s'agissant d'un service fourni à une entité du secteur public, le recrutement du DPD externe est soumis à la loi 9/2017 sur les marchés publics, généralement par marché de faible montant si le montant le permet, ou par procédure ouverte simplifiée s'il le dépasse. Nous accompagnons l'administration elle-même dans cette procédure, comme nous le faisons dans notre service de marchés publics destiné aux entreprises qui soumissionnent auprès de l'Administration.

Combien coûte un DPD externe pour une mairie ou un groupement de communes ?

Nous ne publions pas de tarif fixe car cela dépend du nombre d'entités qui mutualisent le délégué, du volume des traitements et de la présence de services à risque comme la vidéosurveillance ou la police municipale. Nous le précisons lors du diagnostic initial. Les variables qui font varier le prix pour toute organisation, publique ou privée, sont expliquées dans notre article sur le prix du DPD externe (en espagnol).