Avocat Collectivités territoriales : conformité numérique, cybersécurité et protection des données du secteur public
Le droit du numérique au service des collectivités
Le cabinet HAAS Avocats accompagne les communes, intercommunalités, départements, régions, établissements publics et hôpitaux publics dans la maîtrise de leurs obligations numériques : RGPD, NIS 2, IA Act, vidéoprotection augmentée, marchés publics IT, marques et noms de domaine.
30 ans d’expertise au service des décideurs publics.
Les collectivités, cibles privilégiées de la transformation réglementaire et des cyberattaques
Les collectivités territoriales et les établissements publics figurent depuis 2024 parmi les cibles privilégiées des cyberattaques en France. Elles cumulent les obligations RGPD, NIS 2, IA Act et REEN avec des budgets juridiques internes souvent limités. La directive NIS 2 fait passer le nombre d’acteurs publics concernés de quelques centaines à plus de 15 000 entités, dont les communes, EPCI, conseils départementaux, régions et établissements publics locaux.
Le quotidien d’un DGS ou d’un Directeur Juridique de collectivité a changé en quelques années. Les communes de Lille, Caen, Saint-Cloud, le département de Seine-Maritime, plusieurs CHU et un nombre croissant d’EPCI ont vu leurs services bloqués par des ransomwares. Les fuites de données d’administrés se multiplient. La CNIL a renforcé ses contrôles sur le secteur public et publié des lignes directrices spécifiques aux collectivités. Le Conseil d’État, dans son arrêt du 9 février 2026 sur les caméras augmentées de Nice, a rappelé qu’aucun dispositif de surveillance algorithmique ne peut être déployé dans l’espace public sans base légale explicite.
À cela s’ajoute une nouvelle vague d’obligations. La loi REEN impose aux communes de plus de 50 000 habitants une stratégie de sobriété numérique depuis 2025. La directive NIS 2, transposée en droit français, va contraindre des milliers d’entités publiques à se conformer à des règles strictes de gouvernance cyber, avec une responsabilité personnelle des dirigeants. L’IA Act vient encadrer les algorithmes utilisés dans le scoring social, la gestion des aides ou le contrôle de la voie publique. Le RGPD continue d’évoluer avec des décisions CNIL régulièrement défavorables aux collectivités sur l’open data, le droit d’accès et la base légale des traitements.
Face à cette densité réglementaire, les collectivités n’ont pas toujours les moyens internes d’absorber les chantiers. Les services juridiques municipaux sont fréquemment composés d’un ou deux juristes généralistes. Le DPO est souvent mutualisé à l’échelle intercommunale. Le DSI gère la cybersécurité avec des budgets contraints. Dans ce contexte, le rôle d’un cabinet partenaire change de nature : il s’agit moins de répondre ponctuellement à une question juridique que d’accompagner dans la durée, de cadrer les marchés publics IT, de défendre la collectivité en cas de contrôle CNIL, de gérer la crise quand une cyberattaque survient, et de former les agents et les élus aux nouvelles règles.
C’est ce positionnement que le cabinet Haas Avocats a construit auprès des décideurs publics.
7 enjeux juridiques prioritaires pour les directions juridiques
01
RGPD et données des administrés
Toute collectivité est responsable de traitement au sens de l’article 4 du RGPD. État civil, fichiers scolaires, données de santé des aidés sociaux, vidéoprotection : la masse de données traitées est considérable. La CNIL a multiplié par trois ses contrôles sur les collectivités depuis 2024.
02
Cybersécurité et directive NIS 2
03
L'IA dans l'espace public
04
Marchés publics numériques
05
Open data, transparence et CADA
La loi pour une République numérique impose aux collectivités de plus de 3 500 habitants ou de plus de 50 agents la publication de leurs documents administratifs et bases de données. Concilier transparence et protection des données personnelles reste un exercice juridique sensible.
06
Protection des marques et noms de communes
07
E-réputation des élus
Protégez votre collectivité territoriale face aux enjeux du numérique
Comment Haas Avocats accompagne les décideurs publics ?
Mise en conformité RGPD et externalisation du DPO pour les collectivités
Mise en conformité au règlement européen
La conformité RGPD d’une collectivité ne se traite pas comme celle d’une entreprise. Les bases légales mobilisables relèvent principalement de la mission d’intérêt public et de l’obligation légale au sens de l’article 6 du RGPD. Les durées de conservation des données d’état civil, des fichiers sociaux ou des dossiers scolaires obéissent à des règles archivistiques spécifiques. Les droits d’accès et de rectification se heurtent aux exigences de continuité du service public. La mutualisation des moyens entre communes membres d’une intercommunalité soulève des questions précises de responsabilité conjointe au sens de l’article 26 du RGPD.
Notre méthodologie d’audit en six étapes a été spécifiquement adaptée aux contraintes du secteur public : cartographie des traitements (état civil, fichiers sociaux, scolaires, vidéoprotection, géolocalisation des agents), contrôle des bases légales mobilisées, évaluation des mesures de sécurité, conformité des droits des administrés, audit des contrats passés avec les éditeurs de logiciels métier et les hébergeurs, puis rapport détaillé assorti d’un plan d’action priorisé.
Sous la direction de Jean-Philippe Souyris, le pôle Data prend également en charge la fonction de DPO externalisé, dans le cadre d’un abonnement annuel dimensionné pour chaque structure et permettant la mutualisation entre plusieurs entités. Cette formule couvre les quatre missions confiées au DPO par le RGPD : informer et conseiller les élus et les agents, contrôler le respect des obligations, assister la collectivité dans la conduite des AIPD, et coopérer avec la CNIL en qualité de point de contact. En cas de contrôle CNIL, notre équipe défend la collectivité jusque devant la commission restreinte et accompagne le traitement des demandes d’exercice de droits émanant des administrés.
Livrables types
Audit RGPD secteur public en 6 étapes · cartographie des traitements et registre · AIPD vidéoprotection et fichiers sociaux · politiques internes et politique de confidentialité · kit contractuel sous-traitants · mission de DPO externalisé mutualisable · formation des agents et des élus · défense en contrôle CNIL et en procédure devant la commission restreinte.
NIS 2 et crises cyber
Gestion des contentieux cyber des collectivités
La directive NIS 2 fait passer le nombre d’entités françaises soumises aux obligations renforcées de cybersécurité de quelques centaines à plus de 15 000, dont les collectivités territoriales et les organismes publics locaux. L’ANSSI a ouvert un préenregistrement volontaire le 24 novembre 2025 dans l’attente de la loi de transposition française.
Les villes, départements et hopitaux publics sont devenus des cibles privilégiées des groupes cybercriminels. Les conséquences dépassent le rétablissement technique : interruption du service public, paie des agents perturbée, fuites de données d’administrés, déclarations réglementaires sous contrainte de délai, communication de crise auprès des élus et des médias, mise en jeu de la responsabilité du Maire ou du Président.
Notre approche de la cybersécurité des collectivités se structure en trois temps. En amont, nous définissons le cadre légal applicable à la structure (RGPD, NIS 2, LPM le cas échéant, Cyberscore) et nous construisons le référentiel de sécurité : politique de gestion des incidents, Plan d’Assurance Sécurité, Plan de Continuité d’Activité, chartes informatiques, politique de gestion des habilitations et encadrement contractuel des prestataires IT.
Quand une attaque survient, notre cellule de crise prend en charge la coordination juridique sous la direction conjointe de Gérard Haas, Frédéric Picard et Jean-Philippe Souyris : notifications aux autorités compétentes (CNIL, ANSSI, et ARS pour les établissements de santé), dépôt de plainte pénale sous 72 heures pour activer la couverture assurantielle, communication réglementaire, et défense de la collectivité face à d’éventuels recours d’administrés ou de mise en cause de dirigeants.
Livrables types
IA Act et Algorithmes
Encadrement juridique des systèmes d’IA
L’IA Act classe parmi les systèmes à haut risque plusieurs technologies utilisées par les collectivités : algorithmes d’attribution de logements sociaux, de places en crèche, de scoring d’aides sociales, ou encore systèmes de vidéoprotection augmentée. Le Conseil d’État, dans son arrêt du 9 février 2026, a confirmé qu’aucun dispositif de surveillance algorithmique ne peut être déployé dans l’espace public sans base légale explicite.
L’intelligence artificielle entre dans le quotidien des collectivités par plusieurs portes. Des communes déploient des chatbots pour répondre aux demandes des administrés. Des intercommunalités utilisent des algorithmes pour optimiser la gestion des déchets ou fluidifier les transports. Des départements automatisent le tri des demandes d’aides sociales. Des villes installent des caméras augmentées capables de détecter des comportements suspects sur la voie publique, des dépôts sauvages ou des attroupements. Ces usages relèvent tous du périmètre de l’IA Act entré en application progressive depuis 2024.
Le règlement européen impose une logique de classification par niveau de risque. Pour les collectivités, cela signifie concrètement que certains systèmes courants tombent dans la catégorie « haut risque » et exigent une évaluation de conformité, une documentation technique, un contrôle humain effectif et une information claire des personnes concernées.
Livrables types
Audit et négociation des contrats informatiques
Sécurisation des contrats cloud, SaaS et prestataires TIC
Les collectivités territoriales externalisent massivement leurs systèmes d’information : logiciels métier d’état civil, de gestion financière, de gestion des actes, plateformes de téléservices, hébergement cloud, maintenance applicative. En cas d’incident, la responsabilité du traitement reste sur la collectivité. Sans clauses contractuelles adaptées, le risque juridique est porté par le donneur d’ordre public.
Le constat est récurrent dans les collectivités : les contrats IT sont signés sur la base des conditions générales de l’éditeur, souvent sous forme de contrats d’adhésion, sans négociation réelle des clauses de responsabilité, de réversibilité ou de sécurité. La DSI valide les aspects techniques, le service juridique vérifie la procédure de passation, mais personne ne contrôle la substance des engagements contractuels sur le périmètre numérique. Les plafonds de responsabilité sont dérisoires, les SLA sont imprécis, la clause de réversibilité est inexistante ou inapplicable, et la propriété intellectuelle des développements spécifiques reste souvent entre les mains du prestataire.
HAAS Avocats intervient sur la dimension numérique des marchés publics IT des collectivités, à chaque étape du cycle contractuel. En phase de passation, nous rédigeons les clauses techniques et juridiques du cahier des charges : annexe RGPD conforme à l’article 28 du règlement, annexe garanties cyber, engagements de niveau de service avec GTI et GTR assortis de pénalités de retard, clause de réversibilité opérationnelle, cession de droits de propriété intellectuelle sur les développements spécifiques conformément à l’article L.131-3 du Code de la propriété intellectuelle, et le cas échéant clause de dépôt de code source.
Quand la relation tourne au contentieux, nous pilotons la résiliation, organisons la sortie amiable ou portons le litige devant les juridictions compétentes.
Livrables types
Open Data et transparence administrative
Droit d’accès, CADA, RGPD
L’open data place les collectivités face à une tension juridique permanente. D’un côté, la loi leur impose de publier et de rendre réutilisables un volume croissant de données : délibérations, budgets, subventions supérieures à 23 000 euros, données géographiques, données de transport. De l’autre, le RGPD interdit la diffusion de données permettant d’identifier directement ou indirectement une personne physique sans base légale appropriée. Le risque de réidentification est réel : des données apparemment anonymes peuvent, par rapprochement avec d’autres sources, redevenir identifiantes.
En parallèle, les administrés exercent de plus en plus fréquemment leur droit d’accès aux documents administratifs auprès de la CADA, et leur droit d’accès aux données personnelles au titre de l’article 15 du RGPD. Ces deux régimes se recoupent sans se confondre : le périmètre, les délais de réponse et les exceptions diffèrent. Les services juridiques des collectivités doivent maîtriser les deux procédures et savoir orienter chaque demande vers le bon régime.
HAAS Avocats accompagne les collectivités sur l’ensemble de cette chaîne, notamment en auditant les jeux de données avant publication pour évaluer le risque de réidentification et déterminer les techniques d’anonymisation ou de pseudonymisation à appliquer. Nous rédigeons les politiques de publication et choisissons la licence adaptée (Licence Ouverte ou ODbL).
Livrables types
Audit des jeux de données avant publication · évaluation du risque de réidentification · anonymisation et pseudonymisation · politique de publication open data · choix de licence · procédures internes CADA et droit d’accès RGPD · formation des agents · défense en cas de saisine CADA ou plainte CNIL.
Stratégie de marque et propriété intellectuelle
La jurisprudence Laguiole a mis en lumière un problème que rencontrent des centaines de communes françaises : un tiers dépose en marque le nom d’une ville ou d’une région et l’exploite commercialement. Avant 2014, les collectivités disposaient de peu de leviers préventifs. La loi Hamon a renforcé leur position en introduisant l’article L.712-2-1 du CPI, qui leur permet de demander à l’INPI un dispositif d’alerte et de formuler des observations lors de la procédure d’examen de tout dépôt de marque reprenant leur nom.
Le cybersquatting de noms de domaine pose un problème parallèle. Des tiers enregistrent des noms de domaine identiques ou proches du nom d’une commune pour détourner du trafic, mener des campagnes de phishing ou revendre le nom de domaine à la collectivité elle-même. Les extensions en .fr sont protégées par les règles de l’AFNIC, mais les extensions génériques (.com, .org, .info) ne bénéficient pas du même encadrement.
Sous la direction de Laurent Goutorbe, directeur du pôle PI, HAAS Avocats prend en charge la stratégie de protection des noms de collectivités sur les deux volets. En propriété intellectuelle, nous menons les recherches d’antériorité, déposons les marques auprès de l’INPI, activons les dispositifs d’alerte prévus par l’article L.712-2-1, rédigeons les observations en procédure d’examen et engageons les actions en contrefaçon ou en nullité. En matière de noms de domaine, nous pilotons les procédures de récupération auprès de l’AFNIC (procédure SYRELI) ou devant l’OMPI (procédure UDRP) pour les extensions génériques.
Livrables types
Protection numérique des élus et agents publics
Les menaces, injures et diffamations visant les élus locaux sur les réseaux sociaux se multiplient. La loi prévoit des sanctions aggravées lorsque les menaces visent un dépositaire de l’autorité publique dans l’exercice ou à l’occasion de ses fonctions.
Un maire insulté sur Facebook à la suite d’un conseil municipal. Un adjoint menacé de mort sur TikTok après un arrêté impopulaire. Un directeur général des services ciblé par une campagne de dénigrement anonyme. Ces situations sont devenues courantes dans les collectivités de toute taille, et elles ne relèvent pas de la liberté d’expression. Les articles 433-3 et 222-17 du Code pénal répriment les menaces visant un dépositaire de l’autorité publique avec des peines aggravées.
Le pôle Contentieux du cabinet, dirigé par Frédéric Picard, prend en charge la protection juridique des élus et des agents publics confrontés à ces situations. Nous identifions les auteurs des publications par requêtes auprès des hébergeurs et des plateformes, déposons les plaintes pénales, sollicitons en référé le retrait des contenus illicites et les déréférencements, et représentons l’élu ou la collectivité devant les juridictions. Nous intervenons aussi en prévention par la rédaction de chartes de modération pour les comptes officiels de la collectivité et par la formation des élus aux risques juridiques liés à leur propre communication numérique.
Livrables types
Stratégie de sobriété numérique
Ecology by design
La loi REEN du 15 novembre 2021 impose aux communes et EPCI de plus de 50 000 habitants d’élaborer une stratégie numérique responsable depuis le 1er janvier 2025. Cette stratégie couvre l’achat durable de matériel, la gestion du cycle de vie des équipements, l’écoconception des services numériques et la sensibilisation des agents.
La sobriété numérique est un sujet récent dans les collectivités, et le cadre juridique se construit progressivement. La loi REEN fixe des obligations de planification, mais elle renvoie à des référentiels techniques en cours de précision. Les communes concernées doivent intégrer dans leur stratégie un volet achat responsable, un volet écoconception des services numériques et un volet sensibilisation des agents.
HAAS Avocats, qui a structuré une compétence « Ecology by design » intégrant les enjeux juridiques de la greentech et de la sobriété numérique, accompagne les collectivités sur le volet juridique de cette transition. Nous rédigeons la stratégie numérique responsable au sens de la loi REEN, intégrons les clauses de durabilité dans les cahiers des charges des marchés publics IT, auditons la conformité des services numériques aux référentiels d’écoconception, et formons les agents et les élus au cadre réglementaire.
Livrables types
Rédaction de la stratégie numérique responsable (loi REEN) · clauses de durabilité dans les marchés publics IT · audit d’écoconception des services numériques · formation agents et élus.
Protéger les hôpitaux publics et les établissements de santé
RGPD et gestion Cyber
Le secteur hospitalier public est devenu la cible prioritaire des ransomwares en France. Plusieurs CHU et centres hospitaliers ont subi des attaques paralysant les systèmes d’information pendant des semaines, avec des conséquences sur les urgences, la programmation des blocs opératoires, la gestion des dossiers patients et la paie des personnels.
Sur le plan réglementaire, ces établissements relèvent de la directive NIS 2 et doivent notifier les incidents à l’ANSSI et à l’ARS. Le RGPD impose des mesures de sécurité renforcées pour les données de santé, et l’hébergement de ces données doit être confié à un prestataire certifié HDS ou réalisé en interne sous conditions strictes.
HAAS Avocats intervient auprès des établissements publics de santé en mobilisant la double expertise du cabinet en cybersécurité et en données de santé. Nous menons les audits RGPD spécifiques aux données de santé, vérifions la conformité des hébergements (certification HDS), auditons les contrats avec les éditeurs de logiciels hospitaliers, préparons la conformité NIS 2, et coordonnons la réponse juridique en cas de cyberattaque. Ce volet préfigure une expertise sectorielle que le cabinet développe en profondeur sur le secteur e-Santé.
Livrables types
Pourquoi confier vos enjeux numériques au cabinet Haas Avocats
Une expertise pionnière en droit du numérique
Le cabinet pratique le droit des nouvelles technologies et de la propriété intellectuelle depuis 30 ans. Nos professionnels du droit travaillent au quotidien sur les sujets IT, data, PI et contentieux numériques. Cette ancienneté garantit une profondeur de jurisprudence et une connaissance intime des évolutions réglementaires que peu de structures peuvent revendiquer.
Des distinctions reconnues
Le cabinet est le premier cabinet d’avocats à avoir obtenu deux labels CNIL (Formation et Audit). Il est certifié ISO 9001, Qualiopi et Agrément Expert INPI.
Enfin, depuis 2018 nous avons reçu plus de 50 distinctions en droit des affaires et du numérique.
Une production éditoriale continue
Notre veille hebdomadaire d’actualité juridique numérique, rédigée par Gérard Haas et les directeurs de pôle, témoigne d’une expertise vivante. Nous intervenons régulièrement dans des webinars, masterclass et formations Qualiopi à destination des collectivités térritoriales.
Questions fréquentes des directions juridiques Banque & Assurance
Une commune est-elle soumise au RGPD ?
Un DPO est-il obligatoire pour une petite commune et peut-il être mutualisé ?
Que faire en cas de cyberattaque visant une collectivité ?
Une collectivité est-elle concernée par la directive NIS 2 ?
La directive NIS 2 élargit considérablement le périmètre des entités concernées en France, passant de quelques centaines à plus de 15 000 entités, incluant explicitement les collectivités territoriales et les organismes publics locaux. L’ANSSI a ouvert un préenregistrement volontaire le 24 novembre 2025 pour permettre aux collectivités de se préparer avant l’entrée en vigueur de la loi de transposition.
Une mairie peut-elle installer des caméras utilisant l'intelligence artificielle ?
Quelles sont les obligations open data pour les communes ?
Comment protéger le nom d'une commune contre l'usage frauduleux ?
L’article L.712-2-1 du Code de la propriété intellectuelle, issu de la loi Hamon de 2014, permet aux collectivités de demander à l’INPI une alerte en cas de dépôt de marque reprenant leur nom. Pour les noms de domaine, la procédure SYRELI auprès de l’AFNIC permet de récupérer un nom en .fr, et la procédure UDRP auprès de l’OMPI couvre les extensions génériques. Le cabinet HAAS Avocats, agréé Expert INPI, pilote ces procédures.
Un élu peut-il porter plainte pour menaces ou diffamation sur les réseaux sociaux ?
Que prévoit la loi REEN pour les collectivités ?
Combien coûte un accompagnement juridique numérique pour une collectivité ?
Sécurisez votre activité de Banque & Assurance avec le cabinet Haas Avocats
Les obligations numériques des collectivités territoriales s’accumulent : RGPD, NIS 2, IA Act, REEN, open data, protection des marques. Les risques aussi : cyberattaques, sanctions CNIL, contentieux avec les prestataires IT, menaces contre les élus. Le cabinet HAAS Avocats réunit les compétences juridiques, les accréditations et l’expérience sectorielle pour structurer votre conformité et défendre vos intérêts.