Quand la dématérialisation bouscule la protection des données personnelles : enjeux, défis et solutions concrètes

L’accélération de la dématérialisation des services sur les territoires n’est plus à prouver. Entre 2009 et 2022, le taux de services publics français proposant une démarche entièrement dématérialisée est passé de 21% à 77% (Baromètre de la transformation numérique de l'État, DINUM, 2022). Cette évolution, portée par l’État et les collectivités, modifie en profondeur les rapports entre administrations et usagers. Elle promet simplicité, efficacité, gain de temps — mais met aussi la gestion des données personnelles au cœur d’un nouveau défi.

Pourquoi est-il si complexe de trouver l’équilibre entre efficacité numérique et respect de la vie privée ? Comment les acteurs publics parviennent-ils (ou non) à tenir ensemble la promesse d’un service accessible et le socle de confiance indispensable à la société numérique ?

La protection des données personnelles n’est pas une question secondaire : c’est une obligation légale depuis la loi Informatique et Libertés (1978) et, plus récemment, le RGPD (Règlement général sur la protection des données). Le RGPD, applicable en France depuis 2018, impose aux acteurs publics :

• De ne collecter que les données strictement nécessaires (“minimisation des données”)
• D’informer les usagers, de recueillir leur consentement, et de garantir un accès à leurs données
• De sécuriser les traitements et signaler les violations de données à la CNIL

La doctrine “Cloud au centre” de l’État (2021) et la stratégie “Cloud de confiance” définissent aussi les modalités techniques de stockage et de circulation des données.

Malgré ces garde-fous, la réalité sur le terrain reste contrastée. En septembre 2023, la CNIL relevait encore un doublement des signalements liés à la gestion des données personnelles dans l’administration (+96% entre 2020 et 2022).

La multiplication des démarches en ligne génère, par effet mécanique, une exposition accrue des informations individuelles. Les points de vigilance identifiés par la CNIL et des études indépendantes (ANSSI, CREDOC) incluent :

• Multiplication des points d’entrée : Portails citoyens, téléservices, messageries sécurisées, applications mobiles. Autant de portes potentiellement ouvertes à des failles.
• Déficit d’information claire : 37% des usagers déclarent ne pas comprendre ce qu’il advient de leurs données une fois soumises en ligne (Baromètre du Numérique, CREDOC, 2023).
• Conservation excessive des documents : Certains formulaires exigent encore plus de pièces justificatives qu’au format papier, créant des stocks de données sensibles injustifiés.
• Fuites ou piratages : En 2021, plus de 60 incidents significatifs de sécurité informatique dans les collectivités territoriales ont été recensés, dont plusieurs ont abouti à des fuites (ANSSI, Rapport 2022).
• Manque de formation interne : Un agent sur deux considère ne pas être suffisamment formé à la protection des données dans un contexte de dématérialisation (Baromètre des territoires, Banque des Territoires, 2022).

Face au risque d’effritement de la confiance citoyenne, les collectivités pionnières adoptent des stratégies robustes pour lier innovation et sécurisation des données. Plusieurs leviers se distinguent.

1. Mettre en place une gouvernance précise des données

• Délégué à la protection des données : Obligatoire depuis 2018 dans le secteur public, ce poste n’est encore réellement identifié que dans 83% des intercommunalités de plus de 50 000 habitants (FNCCR, 2023).
• Cartographie des traitements : Les meilleures pratiques incluent la tenue d’un registre détaillé, mis à jour annuellement et audité.
• Politique de minimisation : Les services doivent démontrer, pour chaque e-démarche, pourquoi telle donnée est collectée et à quelle fin.

2. Sécuriser techniquement les plateformes

• Chiffrement des échanges : Les outils modernes utilisent le protocole HTTPS et, pour les collectivités les mieux dotées, des systèmes de chiffrement des bases de données eux-mêmes (ex : AES-256).
• Tests de vulnérabilité : Réalisés chaque année par des tiers spécialisés, ils permettent de prévenir les attaques courantes (phishing, ransomware, injection SQL).
• Gestion des habilitations : L’accès aux données personnelles doit se faire selon le principe du “besoin d’en connaître”. Un agent ne devrait jamais consulter plus d’informations que nécessaire.

3. Franchir le cap de la transparence et de la pédagogie

• Charte de confidentialité lisible : 96% des usagers déclarent ne pas lire les conditions d’utilisation des sites publics (Observatoire de la Confiance Numérique, Ifop, 2022). Les collectivités innovent en proposant des synthèses claires ou en vulgarisation vidéo.
• Tableau de bord des sous-traitants : Savoir à qui sont transmises les données (hébergeurs, éditeurs, etc.) est désormais une attente forte. Certaines villes affichent publiquement la liste de leurs partenaires numériques et leur niveau de conformité RGPD.
• Ateliers d’acculturation : Des ateliers “Donner le contrôle à l’usager” commencent à émerger à Nantes, Lyon ou Aulnay-sous-Bois.

L’enjeu n’est pas que technique. La souveraineté numérique locale interroge les dépendances externes (prestataires cloud, éditeurs étrangers, solutions propriétaires). Depuis 2022, 39% des collectivités françaises confient une partie de leurs données à des opérateurs non-européens (FNCCR, “Numérique souverain”, déc. 2023). Or, cette délégation pose la question de l’applicabilité du RGPD en cas de transfert hors UE.

La doctrine “cloud souverain” s’impose progressivement (exemple : l’UGAP ne référence désormais que des offres labellisées SecNumCloud pour le stockage de données sensibles). Mais le chemin est encore long avant une appropriation complète par les petites collectivités, qui invoquent souvent le coût et le manque d’offre adaptée.

• Solutions open source : L’État encourage via la plateforme “Code.gouv.fr” le recours à des outils contrôlables, avec code accessible et adaptable localement (exemples : Maarch Courrier, Publik pour la gestion de démarches).
• Portails “identité numérique” : FranceConnect simplifie la gestion des accès tout en réduisant le morcellement des identifiants et mots de passe, vecteurs de fuite potentielle. Plus de 40 millions d’utilisateurs en 2023.
• Audit CNIL simplifié : Initié en 2022, le “Kit Collectivités” propose une check-list et des modèles personnalisables pour évaluer sa conformité RGPD sans mobiliser un cabinet externe.
• Veille et retours d’expériences : La mutualisation entre communes et intercommunalités permet d’accélérer l’apprentissage collectif. Le dispositif “Numérique en commun[s]” (Missions Société Numérique et la MedNum) recense partage d’outils, bonnes pratiques et cas d’usage.

Plus la dématérialisation s’accélère, plus la question de la régulation et de la confiance citoyenne devient structurante. Au-delà de la conformité, il s’agit pour les territoires d’ancrer la valeur de respect de la vie privée comme moteur de l’innovation. Si la défiance s’amplifie – 62% des personnes interrogées par la CNIL en 2023 doutent de la protection effective de leurs données dans les téléservices publics – le risque de fracture numérique est réel.

Pistes pour aller plus loin :

1. Développer, à l'échelle locale, des labels “confiance data” attribués aux services véritablement exemplaires.
2. Renforcer la coopération entre collectivités pour mutualiser des DPO expérimentés et des référents sécurité.
3. Miser sur la formation continue, pas seulement des agents, mais aussi des élus, dont les arbitrages sont décisifs.
4. Faire monter en compétences les structures d’accompagnement des publics les plus éloignés pour éviter des démarches “par procuration” risquées.
5. Expérimenter la “privacy by design” dès la création de nouveaux services, en associant usagers et experts dès la phase de conception.

Rendre la dématérialisation compatible avec une protection forte des données reste un exercice d’équilibriste. C’est une responsabilité et une opportunité uniques pour les territoires de régénérer le pacte de confiance entre administration et citoyens, dans l’Europe du XXIe siècle. Les collectivités qui placeront la sobriété, la pédagogie et la souveraineté au cœur de cette mutation bâtiront les territoires numériques les plus résilients.