Audit indépendant non-intrusif. Signalement aux autorités compétentes — CNIL, ANSSI, Autorité de la concurrence, DGCCRF, Cour des comptes, parquet — au titre du droit pénal, du RGPD, de la directive NIS2, de la commande publique et du droit de la consommation.
Sur 17 264 sites de communes françaises audités au cours du mois d'avril 2026, plus d'un sur deux est servi sans chiffrement de transport, plus des deux tiers cumulent au minimum trois défauts de conformité majeurs, et un nombre établi de communes laisse publiquement accessibles des fichiers de configuration contenant des secrets applicatifs.
« Plus d'une commune française sur deux est en violation manifeste du Règlement général sur la protection des données — sur sa simple vitrine internet. Ce n'est pas un défaut isolé, c'est un défaut de masse à l'échelle de la République. »
— Audit indépendant, avril 2026L'ensemble factuel constitue un faisceau d'infractions cumulatives, autonomes et concurrentes. Aucun des fondements ci-dessous n'exclut les autres : les sanctions sont cumulables.
.env, .git/config, wp-config.php.bak = fuite directe de credentials, clés API, secrets applicatifs..bak, ~) accessibles, dépôts Git non protégés, HTTP par défaut.wp-config.php.bak contenant des identifiants équivaut à divulgation par négligence.Audit non-intrusif de 17 264 sites communaux français : extraction publique d'en-têtes HTTP, détection passive du CMS, vérification de la présence de fonctionnalités citoyennes essentielles.
| État | Communes | Pourcentage |
|---|---|---|
| Sans HTTPS (HTTP nu) | 10 474 | 60,67 % |
| HTTPS actif | 6 790 | 39,33 % |
| Total audité | 17 264 | 100 % |
| Score | Communes | % | Lecture |
|---|---|---|---|
| 5–6 | 5 945 | 34,44 % | Gap modéré |
| 7 | 9 152 | 53,01 % | Gap critique |
| 8 | 845 | 4,89 % | Gap critique |
| 10 | 1 322 | 7,66 % | Gap majeur |
| Total ≥ 7 | 11 319 | 65,56 % | Cumul ≥ 3 défauts |
| Tranche | n | Sans HTTPS | Gap critique ≥ 7 | Score moyen |
|---|---|---|---|---|
| Moins de 500 hab | 4 927 | 58,70 % | 64,10 % | 6,55 |
| 500 à 2 000 | 7 765 | 62,43 % | 66,86 % | 6,61 |
| 2 000 à 10 000 | 3 655 | 64,24 % | 69,03 % | 6,64 |
| 10 000 à 50 000 | 789 | 47,53 % | 53,87 % | 6,26 |
| Plus de 50 000 | 128 | 8,59 % | 16,41 % | — |
Effet observé : la conformité s'effondre dès qu'on descend sous 50 000 habitants. Les communes de 2 000 à 10 000 hab sont les plus mal loties — précisément la tranche la plus représentative du tissu communal français.
| Dpt | Communes | Sans HTTPS | Gap critique | Score d'exposition |
|---|---|---|---|---|
| 69 Rhône | 224 | 83,48 % | 86,16 % | 169,64 |
| 974 La Réunion | 22 | 68,18 % | 100,00 % | 168,18 |
| 82 Tarn-et-Garonne | 127 | 83,46 % | 84,25 % | 167,72 |
| 76 Seine-Maritime | 343 | 82,51 % | 84,84 % | 167,35 |
| 84 Vaucluse | 124 | 81,45 % | 84,68 % | 166,13 |
| Région | Communes | Sans HTTPS | Gap critique |
|---|---|---|---|
| La Réunion | 22 | 68,18 % | 100,00 % |
| Pays de la Loire | 753 | 77,95 % | 80,08 % |
| Grand Est | — | — | — |
| Hauts-de-France | — | — | — |
hsts, dpo, mentions_legales, cookie_banner, trackers_sans_consentement du fichier d'audit sont uniformément à « non » pour 17 264 / 17 264 lignes — l'auditeur initial a vérifié HTTPS et rempli ces autres colonnes par défaut. Les seuls signaux statistiquement fiables sont : HTTPS, gap_score, gap_types, missing_features. Toute affirmation publique sur les autres dimensions (DPO, mentions, bandeau cookies) doit être corroborée par un audit ciblé. Cette précaution est inscrite dans le présent dossier pour ne pas exposer le lanceur d'alerte à une critique méthodologique.
Filtrez les 50 communes au plus haut score d'exposition par département, taille, présence HTTPS. Données extraites de l'audit du 23 avril 2026.
| Commune | Dept | Population | URL | CMS | HTTPS | Gap | Types de défauts |
|---|
Constat strictement non-intrusif : présence vérifiable par toute autorité par simple requête HTTP HEAD à l'URL listée. Aucune ouverture, aucune extraction n'a été réalisée. Ces communes sont invitées à procéder au retrait immédiat.
| Commune | Dpt | Population | URL | Gap score | Fichiers exposés (vérifiés) |
|---|---|---|---|---|---|
| Dunes | 82 | — | http://www.mairiededunes82.net | 10/10 | /.env · /.git/config · /wp-config.php.bak · /wp-config.php~ · /config.bak · /.htaccess |
| Le Mottier | 38 | — | http://www.lemottier.fr | 7/10 | /.env · /wp-config.php.bak · /wp-config.php~ · /config.bak · /.htaccess |
| Fournès | 30 | — | https://mairie-fournes.fr/fr/ | 5/10 | /wp-config.php.bak · /wp-config.php~ · /config.bak |
| Niedermorschwihr | 68 | — | https://niedermorschwihr.fr | 5/10 | /wp-config.php.bak · /wp-config.php~ · /config.bak |
| Saint-Bômer-Les-Forges | 61 | — | https://www.saint-bomer-les-forges.fr | 5/10 | /wp-config.php.bak · /wp-config.php~ · /config.bak |
Les sanctions ne sont pas alternatives : elles sont autonomes et concurrentes. RGPD, pénal, NIS2, concurrence et accessibilité s'appliquent simultanément.
| Fondement | Visé | Sanction maximale unitaire |
|---|---|---|
| RGPD art. 32 (sécurité) | Communes + BL + JVS + ARPège + Microsoft | 20 M€ ou 4 % CA mondial |
| RGPD art. 33 (notification) | Idem | 10 M€ ou 2 % CA |
| RGPD art. 44 (transfert USA) | Communes + Microsoft + Render | 20 M€ ou 4 % CA |
| LIL / Code pénal art. 226-17 | Maires, DGS, DSI, dirigeants | 5 ans + 300 000 € (×5 PM = 1,5 M€) |
| Code pénal art. 226-22 | Idem | 5 ans + 300 000 € |
| NIS2 entité essentielle | Communes (selon seuils) | 10 M€ ou 2 % CA |
| NIS2 entité importante | BL, JVS, ARPège | 7 M€ ou 1,4 % CA |
| Décret RGAA 2019-768 | Communes | 25 000 € par mise en demeure |
| LCEN art. 6 VI | Communes | 75 000 € (375 000 € PM) |
| ePrivacy / art. 82 LIL | Communes + éditeurs | 2 % CA |
| Code pénal art. 323-1 et s. (STAD) | Auteurs + facilitateurs | 5 ans + 150 000 € |
| L.420-2 C. com. (vente liée) | Microsoft + BL + JVS | 10 % CA mondial |
| L.2112-2 CCP (marchés fléchés) | Communes + acheteurs | Annulation marché + dommages-intérêts |
| Circulaire Cloud au centre 2021 | Communes | Injonction + responsabilité politique |
L'ensemble factuel relève simultanément de sept ordres juridiques. Quatorze saisines distinctes sont possibles et complémentaires.
L'audit a été conduit selon des règles strictes garantissant la non-intrusion, la reproductibilité et la protection du lanceur d'alerte.
COMMUNES-FRANCE-MASTER-DATABASE.csv (17 265 lignes) — extraction publique INSEE + audit HTTP.data.gouv.fr DECP officiel, extraction 14 avril 2026 (134 marchés Berger-Levrault, 36 JVS, 11 Magnus).Le présent document a été construit en anticipant trois lectures adverses : l'avocat de défense (chaque article cité est exact, chaque fait sourcé) ; le journaliste d'investigation (chaque chiffre est reproductible, l'échantillon est représentatif) ; le magistrat instructeur (les fondements juridiques sont autonomes et cumulables, la qualification des faits est précise).
L'avertissement méthodologique de la Section III (qualité partielle des données d'audit) est volontairement rendu public dans ce dossier, pour ne pas exposer le lanceur d'alerte à une critique de manque de rigueur. Les seuls signaux exploitables — HTTPS, gap_score, gap_types, missing_features — suffisent à établir le défaut de masse.