Le Référentiel de Conformité de la Présence Numérique des Territoires (RCPNT) est édité par l’Agence nationale de la cohésion des territoires (ANCT). Il vise à garantir l’identification officielle des collectivités dans leurs usages numériques afin de renforcer leur sécurité en ligne et la confiance des usagers.
Les critères sont classés selon deux niveaux d’importance : essentiel ou recommandé. La conformité des collectivités est vérifiée quotidiennement à partir des données connues de l’administration française et de la Suite territoriale. Le référentiel est structuré en deux parties qui correspondent aux principaux usages d’un nom de domaine : le site internet et l’adresse de messagerie de la collectivité.
1. Le site internet
Pourquoi est-ce important ?
Si la collectivité a un site internet, il doit être renseigné au sein de l’Annuaire de l’administration sur Service-Public.fr.
L’ensemble des informations inscrites sur les pages de mairie de Service-Public.fr constitue un jeu de données de référence pouvant être utilisé par les usagers et les services de l’État. Elles sont maintenues par la direction de l’information légale et administrative (DILA) et doivent être mises à jour par la mairie.
Comment s’y conformer ?
- Accédez à la page de votre mairie grâce à la barre de recherche ;
- En bas de page, cliquez sur « Mettre cette page à jour » ;
- Renseignez votre site internet au format https://[commune].fr dans la section « Contacts web ».
- Envoyez votre demande. Elle sera examinée sous 48 heures.
Pourquoi est-ce important ?
Seules les extensions géographiques administrées par un organisme français sont jugées conformes pour une administration publique locale. Elles permettent d’instaurer une marque de confiance et de bénéficier de recours en cas de typosquatting.
Ces extensions sont, pour chaque niveau :
- National : .fr
- Régional : .alsace, .bzh, .corsica, .paris, .eu
- Outre-mer : .re, .yt, .gp, .mq, .gf, .pm, .wf, .tf, .nc, .pf
Toute autre extension est considérée comme non conforme. L’extension .com notamment est réservée aux usages commerciaux, et .org aux activités associatives.
Comment s’y conformer ?
Pour obtenir une extension de domaine conforme :
- Vérifiez la disponibilité du domaine au format [commune].[extension] ;
- Effectuez la demande auprès d’un bureau d’enregistrement agréé.
Si le nom de domaine souhaité est occupé par une entité qui n’est pas légitime, vous pouvez entamer une médiation auprès de l’Afnic.
Pourquoi est-ce important ?
Un site internet est dit injoignable lorsqu’il renvoie vers une page d’erreur ou une page blanche. Cette indisponibilité a des impacts directs pour la collectivité :
- Impossibilité pour les usagers d’accéder à l’information officielle de votre commune ou aux services en ligne ;
- Perte de confiance dans la présence numérique de la collectivité ;
- Risque de confusion avec des sites frauduleux ;
- Perturbation du service public.
Comment s’y conformer ?
Pour tester la disponibilité du site internet de votre collectivité, vous pouvez utiliser un de ces services :
- Down for Everyone or Just Me - Vérification rapide
- Pingdom - Monitoring professionnel
En cas d’indisponibilité, l’ANCT vous recommande de suivre ces étapes, en autonomie ou à l’aide de votre prestataire informatique :
- Vérifiez l’état de votre hébergement et son tableau de bord ;
- Contrôlez les enregistrements DNS de votre nom de domaine ;
- Examinez les logs du serveur web pour identifier d’éventuelles erreurs ;
- Testez la connectivité depuis différents réseaux.
Pourquoi est-ce important ?
Le protocole HTTPS « protocole de transfert hypertextuel sécurisé » garantit la confidentialité et l’intégrité des données échangées entre l’usager et le site. Il est facilement reconnaissable dans l’URL du site (https://) ou par la présence d’une icône de cadenas dans la barre d’adresse du navigateur.
Sans ce protocole, les données transmises peuvent être interceptées ou modifiées par des acteurs malveillants. Certains navigateurs affichent des avertissements de sécurité sur ces sites non sécurisés pouvant effrayer l’usager.
Comment s’y conformer ?
Pour obtenir un protocole sécurisé HTTPS pour le site internet de votre commune :
- Utilisez un service comme Let’s Encrypt pour obtenir un certificat SSL gratuitement ;
- Allez sur votre espace client de votre hébergeur, section « Certificat SSL » ou « HTTPS » ;
- Configurez dans votre serveur web la redirection automatique HTTP vers HTTPS (selon votre site, il peut-être votre hébergeur, Wordpress ou autre).
- Attention, certains navigateurs peuvent rediriger automatiquement vers HTTPS mais cela n’est pas suffisant, il faut bien que le serveur soit configuré pour rediriger 100% des connexions ;
- En cas de problème, contactez votre hébergeur ou votre prestataire technique qui pourront vous accompagner dans cette démarche.
Pour plus d’informations, consultez le guide de l’ANSSI sur la sécurisation des sites web.
Pourquoi est-ce important ?
Le certificat SSL (Secure Sockets Layer) est un certificat numérique qui assure l’authenticité du site internet de la collectivité. Il doit être renouvelé chaque année. Un certificat SSL invalide pose plusieurs problèmes :
- La confidentialité des échanges n’est plus garantie ;
- Le site internet peut devenir inaccessible sur certains navigateurs ;
- Certains navigateurs affichent des avertissements de sécurité qui effraient les usagers ;
- La collectivité apparaît comme négligente de sa sécurité numérique.
Comment s’y conformer ?
Pour maintenir un certificat SSL valide pour le site internet de votre commune :
- Vérifiez la date d’expiration de votre certificat actuel ;
- Configurez le renouvellement automatique si possible (recommandé avec le service gratuit Let’s Encrypt) ;
- Mettez en place une surveillance des dates d’expiration ;
- Vérifiez que le certificat correspond bien au nom de domaine utilisé.
En cas de difficultés, contactez votre hébergeur ou votre prestataire technique qui pourront vous accompagner dans cette démarche.
Pourquoi est-ce important ?
Si le site internet renseigné sur l’Annuaire de l’administration de Service-Public.fr redirige vers un autre nom de domaine, celui-ci ne peut pas être considéré comme le site officiel de la collectivité.
Comment s’y conformer ?
Vérifiez que le site internet déclaré sur Service-Public.fr ne redirige pas vers un autre nom de domaine. Si c’est le cas, mettez à jour l’adresse de votre site internet sur Service-Public.fr :
- Accédez à la page de votre mairie grâce à la barre de recherche ;
- En bas de page, cliquez sur « Mettre cette page à jour » ;
- Renseignez la nouvelle adresse de votre site internet au format https://[commune].fr dans la section « Contacts web ».
- Envoyez votre demande. Elle sera examinée sous 48 h.
Pourquoi est-ce important ?
Les redirections automatiques permettent de garantir un accès à un site internet sécurisé malgré une adresse internet en HTTP. Les redirections sont importantes, car elles permettent :
- De garantir l’accès au site quelle que soit l’adresse URL saisie par l’usager ;
- D’éviter la duplication de contenu qui nuit au référencement ;
- De s’assurer que tous les accès passent par HTTPS ;
- De maintenir une expérience utilisateur cohérente.
Comment s’y conformer ?
Les redirections d’usage principales à configurer pour le site internet de votre collectivité sont :
- La redirection automatique de HTTP vers HTTPS ;
- La redirection des variantes du nom de domaine vers la version principale :
- De commune.fr vers www.commune.fr (ou l’inverse) ;
- Des anciennes adresses vers la nouvelle en cas de changement.
Ces redirections doivent être configurées au niveau du serveur web ou de l’hébergement et doivent être vérifiées régulièrement par vos soins, votre hébergeur ou votre prestataire technique.
Pourquoi est-ce important ?
Si le site internet de votre commune utilise effectivement le protocole HTTPS, il est nécessaire de le renseigner dans Service-Public.fr :
- Cela évite un passage initial non sécurisé par HTTP ;
- Les usagers sont directement dirigés vers la version sécurisée ;
- Les moteurs de recherche privilégient les liens HTTPS ;
- Cela démontre le professionnalisme de la collectivité.
Comment s’y conformer ?
Pour mettre à jour l’adresse du site internet de votre commune sur Service-Public.fr :
- Accédez à la page de votre mairie grâce à la barre de recherche ;
- En bas de page, cliquez sur « Mettre cette page à jour » ;
- Assurez-vous de remplir correctement la section « Contacts web », en remplaçanthttp:// par https:// ;
- Envoyez votre demande. Elle sera examinée sous 48 h.
2. La messagerie
Pourquoi est-ce important ?
L’adresse de messagerie doit être correctement renseignée au sein de l’Annuaire de l’administration de Service-Public.fr. L’ensemble des informations inscrites sur les pages de mairie de Service-Public.fr constitue un jeu de données pouvant être utilisé par les usagers et les services de l’État. Elles sont maintenues par la direction de l’information légale et administrative (DILA) et doivent être mises à jour par la mairie.
La déclaration d’une adresse de messagerie officielle est primordiale, car :
- Elle est le point de contact officiel principal pour les usagers ;
- Elle participe à la transparence administrative et au bon fonctionnement du service public ;
- C’est une obligation légale pour les collectivités.
Comment s’y conformer ?
Pour déclarer l’adresse de messagerie de votre collectivité sur Service-Public.fr :
- Accédez à la page de votre mairie grâce à la barre de recherche ;
- En bas de page, cliquez sur « Mettre cette page à jour » ;
- Renseignez correctement votre adresse de messagerie dans la section « Emails » ;
- Envoyez votre demande. Elle sera examinée sous 48 h.
Pourquoi est-ce important ?
Un nom de domaine est dit générique lorsqu’il ne comporte pas le nom de la collectivité. Les domaines génériques les plus utilisés par les communes françaises sont wanadoo.fr, orange.fr ou encore gmail.com. Ils présentent plusieurs risques :
- Impossibilité pour les émetteurs et destinataires de messages électroniques de s’assurer formellement de l’identité de leurs interlocuteurs ;
- Non-conformité avec les bonnes pratiques de l’administration numérique ;
- Absence de contrôle sur la sécurité et la confidentialité des échanges ;
- Perte de souveraineté sur les données échangées.
Comment s’y conformer ?
Pour obtenir une adresse de messagerie avec le nom de votre collectivité :
- Optez pour une solution de messagerie professionnelle en utilisant le même nom de domaine que le site internet de votre commune (ce nom de domaine doit correspondre au critère 1.2) :
- Solution proposée par la structure de mutualisation de votre département ;
- Solution proposée par un éditeur privé sélectionné par votre commune ;
- Solution proposée par la Suite territoriale.
- Mettez en place une politique de transition :
- Informez vos contacts du changement d’adresse de messagerie ;
- Configurez une réponse automatique sur l’ancienne adresse ;
- Maintenez l’ancienne adresse en parallèle durant 3 mois minimum ;
- Mettez à jour les informations relatives à la messagerie de votre commune sur Service-Public.fr.
Pourquoi est-ce important ?
La cohérence entre le nom de domaine du site internet et de l’adresse de messagerie de votre commune est cruciale, car :
- Elle réduit les risques de confusion pour les usagers ;
- Elle facilite l’identification des communications officielles ;
- Elle simplifie la gestion technique des services numériques ;
- Elle renforce la présence numérique de votre collectivité.
Comment s’y conformer ?
Pour assurer cette cohérence :
- Identifiez le nom de domaine du site internet principal de votre commune (ce nom de domaine doit correspondre aux critères 1.3) ;
- Créez des adresses de messagerie utilisant ce même domaine avec votre solution de messagerie actuelle ou en choisissant une autre solution :
- Solution proposée par la structure de mutualisation de votre département ;
- Solution proposée par un éditeur privé sélectionné par votre commune ;
- Solution proposée par la Suite territoriale.
- Mettez en place une politique de transition :
- Informez vos contacts du changement d’adresse de messagerie ;
- Configurez une réponse automatique sur l’ancienne adresse ;
- Maintenez l’ancienne adresse en parallèle durant 3 mois minimum ;
- Mettez à jour les informations relatives à la messagerie de votre commune sur Service-Public.fr.
Pourquoi est-ce important ?
Sans les enregistrements MX (Mail Exchanger) vous ne pouvez pas recevoir d’emails. Ils permettent d’indiquer vers quel serveur de messagerie (Protonmail, Sendinblue, etc.) vos emails doivent arriver. Ils sont fondamentaux, car :
- Ils permettent la réception des emails adressés à votre domaine ;
- Leur absence rend impossible toute communication entrante ;
- Une mauvaise configuration peut causer des pertes de messages.
Comment s’y conformer ?
Pour configurer les enregistrements MX :
- Accédez à l’interface du gestionnaire du nom de domaine de messagerie ;
- Allez à la « zone DNS » ou « enregistrement DNS » ;
- Créez les enregistrements MX en précisant les priorités adéquates et le nom du serveur de messagerie ;
- Vérifiez la configuration avec des outils comme MXToolbox ou IntoDNS.
En cas de difficultés, contactez votre hébergeur ou votre prestataire technique pour vous accompagner dans cette démarche.
Pourquoi est-ce important ?
Un enregistrement SPF (Sender Policy Framework) est un système de sécurité pour protéger votre adresse de messagerie. Il indique les serveurs de messagerie autorisés à envoyer des emails en votre nom. Sans SPF, n’importe qui peut se faire passer pour vous en envoyant des emails avec votre nom de domaine.
- Il empêche l’usurpation de votre nom de domaine pour l’envoi de messages frauduleux ;
- Il améliore la réception des emails que vous envoyez ;
- Il protège votre réputation numérique.
Comment s’y conformer ?
Pour vérifier et configurer un enregistrement SPF sur votre nom de domaine :
- Testez votre configuration avec des outils comme SPF Record Checker
- Accédez à l’interface du gestionnaire du nom de domaine de messagerie ;
- Au sein de la section « Zone DNS » ou « Gestion DNS », ajoutez l’enregistrement TXT approprié à votre fournisseur de messagerie ;
- Pour trouver et copier le bon enregistrement SPF selon votre fournisseur d’email, vous pouvez vous rendre sur SPF Record Generator ou SPF Wizard.
Consultez le guide de configuration de l’ANSSI en rubrique 5.4.1 pour plus de détails. En cas de difficultés, contactez le gestionnaire du nom de domaine de votre messagerie ou votre prestataire technique pour vous accompagner dans cette démarche.
Pourquoi est-ce important ?
Le mécanisme DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole de sécurité des emails. Il fonctionne conjointement avec SPF et DKIM pour protéger contre les emails malveillants et améliorer la réception de vos emails. Il est important, car :
- Il permet de détecter et bloquer les tentatives d’usurpation de courrier électronique utilisées dans le phishing et d’autres attaques basées sur la messagerie ;
- Il fournit des rapports détaillés sur les tentatives d’utilisation frauduleuse du domaine ;
- Il renforce la confiance des destinataires dans vos communications ;
- Il complète les protections SPF (voir critère 2.5) et DKIM pour une sécurité optimale.
Comment s’y conformer ?
Pour mettre en place DMARC :
- Il est nécessaire au préalable d’avoir SPF et DKIM déjà en place ;
- Accédez à l’interface du gestionnaire du nom de domaine de messagerie et cherchez une section nommée « Zone DNS » par exemple ;
- Créez un enregistrement TXT de type : _dmarc.votredomaine.fr avec une politique permissive (p=none) pour observer sans bloquer les emails entrants ;
- Configurez une adresse email pour recevoir les rapports ;
- Analysez les rapports et ajustez progressivement la politique.
Consultez le guide de configuration de l’ANSSI en rubrique 5.4.3 pour plus de détails. En cas de difficultés, contactez le gestionnaire du nom de domaine de votre messagerie ou votre prestataire technique pour vous accompagner dans cette démarche.
Pourquoi est-ce important ?
La politique de quarantaine DMARC signale les emails qui échouent à l’authentification, qualifiés comme suspects, ils seront redirigés vers le dossier spam. Après avoir installé et observé le fonctionnement de l’enregistrement DMARC, la mise en place d’une politique de quarantaine DMARC est importante, car :
- Elle applique un traitement strict aux emails suspects ;
- Elle réduit significativement les risques d’hameçonnage ;
- Elle démontre un engagement fort pour la sécurité email ;
- Elle protège activement la réputation de la collectivité.
Comment s’y conformer ?
Pour configurer une politique de quarantaine :
- Assurez-vous que SPF (voir critères 2.5) et DKIM sont correctement configurés ;
- Modifiez l’enregistrement DMARC pour inclure p=quarantine ou p=reject ;
- Surveillez les rapports DMARC pour détecter d’éventuels faux positifs ;
- N’utilisez pas un pourcentage (champ pct) inférieur à 100%.
Vous pouvez augmenter le niveau de sécurité de cette politique en augmentant graduellement le pourcentage.
En cas de difficultés, contactez le gestionnaire du nom de domaine de votre messagerie ou votre prestataire technique pour vous accompagner dans cette démarche.
Foire aux questions
Pour vérifier la conformité de votre collectivité :
- Utilisez la barre de recherche en haut de la page pour trouver votre collectivité ;
- Consultez le rapport détaillé qui s’affiche ;
- Pour chaque critère non conforme, suivez les recommandations de correction.
Les vérifications sont effectuées quotidiennement.
Si vous rencontrez des difficultés pour corriger une non-conformité, vous pouvez :
- Contacter votre prestataire informatique habituel ;
- Vous rapprocher de votre structure de mutualisation ;
- Utiliser le formulaire de contact en bas de page pour obtenir de l’aide.
Les services de la Suite territoriale permettent de répondre à l’ensemble des critères du référentiel.
Le référentiel est voué à évoluer selon :
- l’évolution des menaces et des bonnes pratiques de sécurité ;
- les retours d’expérience des collectivités ;
- les nouvelles obligations réglementaires.
Chaque mise à jour majeure sera communiquée avec un délai d’adaptation approprié.
Cette distinction reflète deux niveaux d’exigence :
- les critères essentiels correspondent au niveau minimal de sécurité attendu d’une collectivité ;
- les critères recommandés permettent d’atteindre un niveau de sécurité optimal, mais peuvent nécessiter plus de ressources ou de compétences techniques.
L’ANCT encourage toutes les collectivités à viser la conformité avec l’ensemble des critères, essentiels comme recommandés.
L’utilisation de DKIM est effectivement très fortement recommandée pour toutes les collectivités. Cependant, elle n’est malheureusement pas encore testable automatiquement, car elle dépend d’un sélecteur qui peut être arbitrairement choisi par l’expéditeur. Nous utilisons uniquement des critères automatiquement vérifiables dans le Référentiel.
Une future version de ce Référentiel pourra s’appuyer sur l’envoi régulier d’emails depuis les adresses de messagerie de la collectivité pour vérifier la configuration de DKIM et la délivrabilité des emails en général.
Non, vous n’êtes pas obligé(e) d’utiliser la Suite territoriale pour être conforme. Vous pouvez utiliser l’outil ou la solution de votre choix. Cependant, la Suite territoriale propose des services faciles à utiliser pour vous aider à être conforme et vous accompagner dans cette démarche.
Non, le référentiel n’est pour l’instant adossé à aucune loi et ne constitue par conséquent pas une obligation réglementaire. Il synthétise toutefois les recommandations et retours d’expérience de plusieurs administrations d’État (ANCT, ANSSI, DILA), de partenaires (associations d’élus, opérateurs publics de services numériques) et des collectivités territoriales qui entendent répondre au besoin d’élever le niveau de sécurité numérique des collectivités.
Vous avez une question ? Une remarque ?
Vous souhaitez devenir partenaire de la Suite territoriale ou vous avez une question sur nos services ?
Écrivez-nous à lasuiteterritoriale@anct.gouv.fr