Le 21 janvier 2026, le journal télévisé de France 3 a révélé une information grave concernant la Ville de Clermont-Ferrand : une fuite de données personnelles liée au service de prise de rendez-vous en ligne de l’état civil.

Les données potentiellement exposées sont particulièrement sensibles : nom, prénom, adresse électronique, numéro de téléphone, ainsi que les informations associées aux rendez-vous administratifs. Il ne s’agit donc pas d’un incident mineur ou purement technique, mais bien d’un manquement susceptible d’avoir des conséquences concrètes pour les administrés concernés.

Une information confirmée… mais étouffée

À ce stade, un fait interpelle immédiatement : France 3 est le seul média à avoir relayé cette information. Aucun autre média local ou régional ne s’en est fait l’écho.

Plus grave encore, la Ville de Clermont-Ferrand, directement impliquée, n’a publié aucune communication officielle :

• aucun message d’alerte aux administrés,
• aucune explication sur l’origine de la fuite,
• aucune indication sur l’ampleur réelle de l’incident,
• aucune recommandation de vigilance.

Ce silence institutionnel est difficilement justifiable.

Des obligations légales pourtant claires

En matière de protection des données personnelles, les règles sont connues et encadrées par le Règlement général sur la protection des données (RGPD). Lorsqu’une violation de données présente un risque pour les droits et libertés des personnes concernées, la collectivité a l’obligation :

• d’en informer la CNIL,
• mais aussi de prévenir les personnes concernées dans les meilleurs délais, de manière claire et transparente.

Ces obligations ne sont ni optionnelles ni soumises à une appréciation politique de l’opportunité de communiquer.

Une période électorale qui interroge

Le calendrier ne peut être ignoré. À l’approche des élections municipales, la tentation est grande de minimiser, différer ou invisibiliser toute information susceptible de ternir l’image de la majorité en place.

Mais la protection des données personnelles des citoyens ne peut devenir une variable d’ajustement électorale. Le droit à l’information des administrés prime sur les considérations de communication politique.

Informer plutôt que dissimuler

L’objectif de cet article n’est ni la dramatisation ni la polémique gratuite. Il est simplement de rappeler un principe fondamental : les collectivités publiques ont des obligations légales envers les citoyens.

Lorsqu’un incident de cette nature survient, le rôle d’une mairie responsable est d’informer, d’expliquer et de protéger, non de se taire en espérant que l’affaire passe inaperçue.

En l’absence de communication officielle, il appartient donc aux citoyens et aux associations indépendantes de relayer l’information et d’appeler à la vigilance.

Si vous avez pris rendez-vous en ligne auprès du service de l’état civil de Clermont-Ferrand, soyez attentifs aux messages, appels ou démarches inhabituelles.

RGPD : une violation encadrée par la loi, pas par la communication

Le cadre juridique est pourtant sans ambiguïté. En tant que responsable de traitement, la Ville de Clermont-Ferrand est soumise aux obligations prévues par le Règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés.

L’article 33 du RGPD impose au responsable de traitement de notifier toute violation de données personnelles à la CNIL dans un délai maximal de 72 heures, dès lors que cette violation est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.

L’article 34 du RGPD va plus loin : lorsque ce risque est élevé, la collectivité a l’obligation d’informer directement les personnes concernées, sans délai injustifié, par une communication claire, compréhensible et accessible.

Au regard de la nature des données concernées (identité, coordonnées, informations administratives), le risque est évident : usurpation d’identité, démarchage frauduleux, hameçonnage ciblé, exploitation politique ou commerciale.

Une responsabilité administrative et pénale engagée

Le non-respect de ces obligations n’est pas anodin. Il peut engager :

• la responsabilité administrative de la collectivité,
• la responsabilité personnelle du maire, en tant qu’autorité exécutive,
• et, le cas échéant, la responsabilité des services ou prestataires impliqués.

La CNIL dispose de pouvoirs de contrôle et de sanction pouvant aller jusqu’à des amendes administratives, mais aussi à des injonctions publiques, assorties d’une obligation de communication.

Par ailleurs, l’article 226-17 du Code pénal sanctionne le fait de ne pas prendre toutes les précautions utiles pour préserver la sécurité des données personnelles. L’absence d’information des personnes concernées peut constituer un élément aggravant.

Se taire n’est pas une option légale

En droit, le silence n’est pas une neutralité. Lorsqu’une violation de données est connue, ne pas informer équivaut à un manquement caractérisé.

La période électorale n’instaure aucun régime dérogatoire. Les obligations issues du RGPD s’appliquent en continu, indépendamment du calendrier politique ou des considérations d’image.

La transparence n’est donc pas un choix de communication. C’est une obligation légale, dont le non-respect expose la collectivité et ses dirigeants à des conséquences juridiques réelles.