Le constat est net. En observant les supports numériques publics d'une petite commune, nous avons relevé une asymétrie que nous retrouvons, presque à l'identique, partout : le canal le plus récent et le plus visible, la page Facebook, était bien mieux tenu que le support le plus ancien et, de loin, le plus engageant juridiquement : le site institutionnel.
On sécurise ce qui se voit. On néglige ce qui oblige. Le problème, c'est que les obligations, elles, ne cessent de se durcir.
Une page Facebook, étonnamment maîtrisée
Premier enseignement, contre-intuitif : la page sociale était la partie la plus solide. Une charte de modération y figurait, épinglée : règles posées à l'avance, propagande politique et propos diffamatoires proscrits. C'est exactement ce qui autorise, le moment venu, à modérer un commentaire sans s'exposer à une contestation. La ligne éditoriale, elle, restait institutionnelle de bout en bout, sans glissement vers la communication personnelle de l'élu, alors même que le contexte post-électoral y invitait.
L'intention était la bonne. Restent des questions que la quasi-totalité des communes n'ont pas tranchées (le statut réel de la page, sa gouvernance, le sort des données qu'elle produit) et qu'elles ignorent le plus souvent jusqu'à l'incident.
Un site officiel resté à quai
C'est là que se logent les vrais risques. Une seule observation suffit à les résumer : les mentions légales du site affirmaient qu'il « ne recueille aucune information personnelle », quand son propre formulaire de contact en exige plusieurs, et que sa politique de confidentialité décrit, sur une autre page, la collecte de données de navigation. Trois pages du même site, trois versions.
Derrière cette contradiction, un appareil juridique calqué sur un modèle antérieur au Règlement général sur la protection des données, le RGPD (règlement (UE) 2016/679, applicable depuis 2018). Et un silence total sur l'accessibilité numérique. Or l'obligation, ici, n'a rien de théorique : posée par la loi du 11 février 2005, imposée aux organismes publics depuis 2020, son contrôle a été confié à l'ARCOM par l'ordonnance n° 2023-859 du 6 septembre 2023, qui a également relevé les sanctions. Les manquements sont passibles d'amendes pouvant atteindre 50 000 euros par service, renouvelables tant que la non-conformité perdure, et un nouveau référentiel (le RGAA 5, qui succédera à la version 4.1.2 en vigueur) est attendu pour la fin 2026.
Le mouvement dépasse d'ailleurs le seul secteur public : depuis le 28 juin 2025, la directive européenne « European Accessibility Act » étend des obligations comparables à de nombreuses entreprises privées. Le signal est clair : l'accessibilité n'est plus une exigence de niche, mais une norme générale.
Le cadre ne s'assouplit pas. Il se resserre.
Pourquoi cette asymétrie ?
Trois raisons. La page Facebook est récente : elle épouse les réflexes d'aujourd'hui. Le site, plus ancien, n'a jamais été rouvert. Et l'effort social est gratifiant (il se compte en abonnés) quand la conformité du site est invisible, jugée technique, donc indéfiniment reportée.
Le risque, lui, suit l'ordre inverse. Une page mal tenue, c'est un incident de réputation. Un site non conforme, c'est une responsabilité juridique, et le moment est mal choisi pour la négliger. La CNIL a annoncé consacrer, en 2026, la moitié de ses contrôles et de ses actions répressives à la sécurité des données ; elle avait déjà fait de la cybersécurité des collectivités l'une de ses thématiques prioritaires de contrôle, et son rapport annuel, publié en mai 2026, fait état d'une forte hausse des vols de données, administrations en tête. À cela s'ajoute la transposition de la directive NIS 2 : adopté en première lecture au Sénat et toujours en cours d'examen, le texte devrait, une fois définitivement adopté, placer un grand nombre de communes sous obligation. L'angle mort d'hier devient l'exposition de demain.
Ce qu'un regard extérieur change
La réaction réflexe serait de dresser une liste de corrections et de la cocher. C'est précisément ce qui échoue. Ces symptômes (une mention datée, une page mal qualifiée, un formulaire imparfait) renvoient à des arbitrages qui ne se lisent pas à l'écran : quel niveau de risque la commune assume-t-elle ? Qui répond, juridiquement, de chaque support ? Comment tenir ensemble l'exigence réglementaire, la clarté due à l'habitant et les moyens réels d'une mairie de village ?
C'est tout l'objet d'un diagnostic sérieux : non pas allonger une liste de tâches, mais hiérarchiser les risques et traduire des obligations abstraites en décisions tenables. Une commune peut cocher dix cases et rester exposée sur la seule qui comptait.
En conclusion
La commune de notre exemple fait beaucoup de choses justes : elle informe, elle communique, elle modère. Il ne lui manque pas une refonte : il lui manque un regard. Celui qui sépare le détail cosmétique du risque réel, et qui sait par où commencer. À l'ouverture d'un mandat, et alors que les contrôles s'annoncent, ce n'est plus une option : c'est une précaution élémentaire.
Le Cabinet Nastorg réalise des diagnostics de communication et de conformité numériques pour les élus et collectivités de l'Yonne et de Bourgogne-Franche-Comté. Un premier échange suffit souvent à identifier le risque prioritaire.
Note de réserve : les obligations issues de la directive NIS 2 ne s'appliqueront qu'à compter de l'adoption définitive et de la publication du texte de transposition, dont le calendrier reste susceptible d'évoluer. Cet article a une portée informative et ne constitue pas un conseil juridique individualisé.
