Toutes les mairies espagnoles doivent se conformer au Schéma National de Sécurité (ENS espagnol) en tant qu'entités du secteur public ; la catégorie dépend de la population et des services électroniques offerts.
Toutes les mairies espagnoles, quelle que soit leur taille, doivent se conformer au Schéma National de Sécurité (ENS espagnol). Cette obligation n'épargne ni les communes rurales ni les diputaciones. Ce guide pratique présente la démarche d'adéquation adaptée à l'administration locale : catégorisation, rôles, plan 12 mois, mutualisation et coûts indicatifs.
- Pourquoi le ENS concerne-t-il toutes les mairies espagnoles ?
- Catégorisation dans le contexte municipal
- Périmètre et systèmes typiques d'une mairie
- Rôles obligatoires dans la mairie
Pourquoi le ENS concerne-t-il toutes les mairies espagnoles ?
Toutes les mairies (ayuntamientos) sont des entités du secteur public et doivent donc se conformer au Schéma National de Sécurité (ENS espagnol). Le décret royal 311/2022 réaffirme cette obligation et précise les responsabilités du secrétaire, du responsable politique et du responsable technique. La taille de la commune n'exempte pas de l'obligation, elle module simplement la catégorie applicable.
Les services électroniques offerts aux citoyens (registre, paiements, urbanisme, fiscalité), le portail de transparence et les outils de gestion interne entrent dans le périmètre. Sans adéquation, la mairie expose les données des citoyens et engage la responsabilité personnelle de ses responsables.
Catégorisation dans le contexte municipal
La plupart des mairies se classent en catégorie BÁSICA ou MEDIA. La taille de la population, le volume de données traitées, la criticité des services et la sensibilité de l'information dictent le choix. Une commune de moins de 5.000 habitants se situe généralement en BÁSICA. Au-delà, ou en présence de traitements sensibles (police municipale, services sociaux), la catégorie MEDIA s'impose.
Une catégorisation trop basse expose à des non-conformités lors de l'audit. Une catégorisation trop élevée alourdit inutilement l'effort. Le diagnostic initial doit justifier la catégorie par dimension de sécurité (DICAT).
Périmètre et systèmes typiques d'une mairie
Le périmètre inclut habituellement : registre électronique et registre comptable de factures, plateforme de notification électronique, portail du citoyen, gestionnaire urbanistique, application de fiscalité et de recouvrement, gestion documentaire, signature électronique des agents, et systèmes de support (annuaire, messagerie, sauvegarde). Le périmètre doit être documenté précisément, sans omissions susceptibles d'affaiblir la conformité.
Les systèmes mutualisés via les diputaciones provinciales ou les administrations centrales font partie du périmètre étendu et exigent des accords de niveau de service explicites.
Rôles obligatoires dans la mairie
Le ENS exige la désignation formelle de quatre rôles : responsable de l'information, responsable du service, responsable de la sécurité et responsable du système. Dans les petites communes, certains rôles peuvent être assumés par la même personne mais doivent rester distincts dans la documentation et les décisions. Le secrétaire ou l'intervenant municipal jouent souvent un rôle de coordination.
Le responsable politique (alcalde ou conseiller délégué) garde la responsabilité ultime de la politique de sécurité et de son approbation formelle.
Aides disponibles pour les mairies
Plusieurs dispositifs facilitent l'adéquation. La FEMP (Federación Española de Municipios y Provincias) publie des guides et des modèles spécifiques aux entités locales. Le CCN propose des outils gratuits (PILAR, CLARA, INES) et des guides CCN-STIC adaptés. Les diputaciones provinciales financent souvent l'adéquation des petites communes, par mutualisation des services TIC. Les fonds européens (Next Generation, FEDER) ont financé plusieurs programmes d'adéquation au ENS.
Profiter de ces dispositifs nécessite d'inscrire la demande dans la planification budgétaire annuelle et de coordonner avec la diputación de référence.
Plan d'action 12 mois pour une mairie
Mois 1 à 2 : diagnostic, catégorisation et désignation des rôles. Mois 3 à 4 : analyse de risques avec PILAR et déclaration d'applicabilité. Mois 5 à 8 : mise en œuvre des contrôles prioritaires (sauvegarde, contrôle d'accès, gestion des incidents, sensibilisation). Mois 9 à 10 : procédures opérationnelles et registres. Mois 11 : audit blanc. Mois 12 : remédiation et préparation à l'audit externe.
Ce calendrier est tenable lorsque la direction politique soutient le projet et qu'un référent interne dispose du temps nécessaire. Sans ces conditions, le projet dérape rapidement.
Mutualisation entre communes
Pour les petites communes, la mutualisation par groupements (mancomunidades) ou par diputaciones réduit drastiquement le coût et accélère la conformité. La diputación peut fournir le centre de données conforme, les outils mutualisés (signature, registre, notification) et l'accompagnement méthodologique. La mairie conserve ses responsabilités mais s'appuie sur l'expertise mutualisée.
Une convention écrite formalisant les responsabilités respectives est exigée pour démontrer la chaîne de conformité à l'auditeur.
Coûts typiques pour une mairie
Pour une commune de moins de 5.000 habitants en catégorie BÁSICA, le coût d'adéquation se situe habituellement entre 8.000 € et 18.000 € la première année, avec un maintien annuel de 3.000 € à 6.000 €. Pour une commune entre 5.000 et 50.000 habitants en catégorie MEDIA, le budget initial se situe entre 25.000 € et 70.000 €, avec un maintien de 8.000 € à 18.000 € par an. Les chiffres varient selon le périmètre, le degré de mutualisation et l'expérience du cabinet retenu.
Erreurs fréquentes dans les mairies
La première erreur est de considérer le ENS comme un sujet purement technique relevant exclusivement du service informatique. La deuxième erreur est l'absence d'engagement politique formel : sans signature de l'alcalde sur la politique de sécurité, l'audit échoue. La troisième erreur est de négliger la sensibilisation des élus et des agents administratifs, alors que ces publics manipulent quotidiennement les données sensibles.
Vous représentez une mairie qui doit se conformer au ENS ? Contactez-moi pour un diagnostic adapté à la taille de votre commune, à votre budget et à votre relation avec la diputación.
Auteur : Ángel Ortega Castro · consultant indépendant en stratégie, qualité et numérisation pour PME.
Besoin d'aide sur ce sujet ?
Travaillez avec moi sur l'adéquation au ENS
Conseil sur mesure en adéquation au Schéma National de Sécurité espagnol. Première session sans frais.
Réserver une session →Foire aux questions
Comment cela s'applique a ma PME ?
Cela s'applique si vous traitez des clients ou des données espagnols; le cadre est obligatoire au-dela de seuils que nous resumons dans le tableau.
Quel est le coût en 2026 ?
Fourchettes indicatives pour les PME de 10-50 salariés : 2 500-12 000 EUR pour la documentation + honoraires d'audit AENOR / BV / SGS / LRQA.
Quelle réglementation espagnole s'applique ?
BOE reference RD 311/2022 (ENS), Reglement UE 2016/679 (RGPD), LOPDGDD, NIS2, DORA et le reglement IA 2024/1689 selon le périmètre.
Combien de temps prend la mise en oeuvre ?
En moyenne 4-7 mois pour une seule norme ISO. Un SGI intégré (9001+14001+27001) prend habituellement 8-12 mois.
Peut-on cofinancer via Kit Digital ou Kit Consulting ?
Oui, Kit Consulting 2026 couvre jusqu'à 24 000 EUR d'heures-conseil; Kit Digital couvre les outils (CRM, ERP, cybersécurité) jusqu'à 29 000 EUR.
El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro