Le magazine des maires et présidents d'intercommunalité
Maires de France
Juridique
mars 2023
AMF Numérique, réseaux sociaux

Cybersécurité : obligations et responsabilités des collectivités

Protection des données personnelles, mise en œuvre de téléservices locaux, hébergement des données de santé... Maires de France rappelle les principales règles.

Par Fabienne Nedey
Illustration
© AdobeStock
Les collectivités locales sont de plus en plus la cible d’actes de cybermalveillance. Avec des conséquences lourdes : systèmes d’information bloqués, vol de données personnelles, missions de service public interrompues, etc. Un danger qui, malheureusement, reste encore mal appréhendé par les élus et leurs agents en dépit de l’entrée en vigueur, en mai 2018, du règlement général sur la protection des données (RGPD).

À l’occasion du 104e Congrès des maires, Cybermalveillance.gouv.fr et l’AMF ont publié une méthode «clé en main » destinée à sensibiliser les agents des collectivités, particulièrement exposés aux cybermenaces. Afin de faire progresser le niveau de connaissance, cybermalveillance.gouv.fr a rédigé, en collaboration avec la Commission nationale de l’informatique et des libertés (Cnil), un guide d’information à destination des élus locaux et agents territoriaux.

Cet article en résume les principaux enjeux : respect des différentes réglementations, analyse préalable des risques pesant sur les systèmes d’information et détermination des solutions techniques et organisationnelles. Le lecteur pourra se reporter utilement aux guides mentionnés.


I - La protection des données personnelles
 

Définitions : données personnelles, traitement de données…

La gestion de données personnelles, entendues comme des informations se rapportant à une personne physique identifiée ou identifiable directement (nom, prénom…) ou indirectement (numéro de téléphone, plaque d’immatriculation de véhicule, numéro de Sécurité sociale, adresse postale, adresse électronique…), fait l’objet de textes juridiques de référence qui s’appliquent aux collectivités locales et à leurs établissements publics.

Dans le cadre de leurs compétences et de leurs relations avec les administrés, les collectivités locales détiennent en effet nombre de ces données. Elles doivent se plier aux règles relatives à la protection des données personnelles dès lors que les données considérées font l’objet de collecte, enregistrement, stockage, extraction, consultation, adaptation ou modification, communication, etc. Toutes ces opérations relèvent en effet du «traitement » de données à caractère personnel.

Un «traitement » n’est pas nécessairement automatisé : il peut résulter d’une simple liste tenue sur un registre manuel (fichier papier des usagers de la médiathèque, par exemple).

Principes fondamentaux

Les collectivités locales et leurs établissements publics sont tenus de ne collecter, d’utiliser et de stocker des données personnelles que dans la mesure où cela est strictement nécessaire, conformément au principe dit «de minimisation ».

Le traitement de données doit se fonder sur au moins une des bases légales possibles au titre du RGPD (consentement, contrat, obligation légale, mission d’intérêt public, intérêt légitime, etc.). Les finalités poursuivies par le traitement doivent être explicitées (gestion de la paie, inscription à un service municipal, sur une liste électorale, à l’école, demande de permis de construire, etc.).

Les obligations de protection des données personnelles pesant sur les collectivités locales


Avant la collecte et toute mise en œuvre d’un traitement

Il faut définir les mesures techniques et organisationnelles appropriées afin de respecter les principes relatifs à la protection des données : finalité explicite et légitime, nécessité de l’exploitation des données, minimisation de leur recueil, définition d’une durée de conservation, respect des droits des personnes concernées, mesures de sécurité adaptées, etc.

De plus, lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le RGPD rend obligatoire une «analyse d’impact relative à la protection des données » (AIPD). Cela concerne notamment les systèmes de vidéosurveillance de la voie publique, l’instruction des demandes de logements sociaux, la prise en charge des personnes par les établissements de santé ou médico-sociaux…

Pendant le traitement des données

Il faut mettre en œuvre des procédures démontrant le respect des règles relatives à la protection des données et des mesures de sécurité «adaptées » aux risques (destruction, perte, altération, diffusion ou accès non autorisé, piratage, fuite de données) et «appropriées » à la nature des données considérées.

Concrètement, les mesures les plus élémentaires requises dans la quasi-totalité des cas sont : la sécurisation des postes de travail (antivirus, etc.), des éléments réseau (pare-feu, proxy, etc.), la mise à jour régulière et suivie des systèmes et logiciels utilisés, des sauvegardes régulières et testées, un système d’authentification fiable et robuste des utilisateurs, le chiffrement des flux réseau à travers internet (par https) et des supports de stockage (notamment ordinateurs portables et clés USB), la définition d’une politique d’habilitation pour limiter les accès aux données, la mise en place de journaux de connexion et leur supervision afin de détecter une compromission.


Conserver et archiver les données

La durée de conservation des données doit être proportionnée, en adéquation avec les finalités du traitement. Elle doit être inscrite dans le registre du délégué à la protection des données (DPO, lire ci-contre) pour chacun des traitements concernés.


Alerter en cas de violation de données personnelles

Toute atteinte aux données personnelles présentant un risque pour les droits et libertés des personnes concernées doit être signalé à la Cnil sous 72 heures. C’est le cas d’une panne accidentelle de serveur conduisant à la destruction de fichiers de demande d’inscription à un service, d’une cyber­attaque conduisant à une fuite d’informations bancaires d’usagers ou à une perte de confidentialité des données.

Les personnes concernées doivent être informées si les risques sont élevés : en cas de doute sur le niveau de risque, la Cnil peut être consultée.


II - Les enjeux spécifiques des téléservices locaux

Les téléservices recouvrent les services offerts par des moyens de communication électronique permettant aux usagers de formuler une demande en vue d’obtenir une prestation, faire une déclaration, solliciter une autorisation, télépayer un service. Ils doivent satisfaire aux exigences du référentiel général de sécurité (RGS, décret n° 2010-112 du 2 février 2010).

Les produits et services utilisés pour mettre en place le système d’information doivent être choisis parmi ceux qualifiés par l’Agence nationale de la sécurité des systèmes d’information (Anssi) : le recours à ces produits de sécurité et/ou prestataires de confiance (PSCO) est requis pour toute prestation visant à assurer la certification électronique (signature électronique…), l’horodatage et l’audit de sécurité des systèmes d’information.

La collectivité locale doit en outre attester de la conformité de son système d’information par une décision d’homologation prise par l’autorité compétente (assemblée délibérante, directeur d’établissement) qui sera rendue publique.

Cette décision, dénommée «attestation formelle », est prise sur la base d’un dossier d’homologation élaboré préalablement par ses services pour déterminer les fonctionnalités du téléservice, ses risques et les mesures de sécurité envisagées en cas d’incident.

L’attestation formelle, prise pour une durée limitée, engage la collectivité qui garantit ainsi aux usagers que le téléservice respecte la réglementation en matière de protection des données.

Une fois le téléservice mis en place, le RGS impose un maintien en condition opérationnelle pour assurer la protection du système d’information, sa surveillance, détecter les anomalies et réagir aux incidents de sécurité.


III - Le cas particulier de l’hébergement des données de santé

Outre les obligations au titre de la protection des données personnelles, une réglementation spécifique s’applique aux activités consistant à héberger des données de santé, lorsqu’elles sont externalisées. L’hébergement des données de santé par un prestataire externe est en effet soumis à une exigence de certification de ce dernier.

Les centres hospitaliers, groupements de coopération sanitaires ou EPCI sont soumis à cette certification lorsqu’ils réalisent des activités d’hébergement pour le compte d’autres collectivités ou établissements. L’audit de certification auquel est soumis l’hébergeur doit permettre de vérifier le respect de plusieurs normes garantissant la protection des données.

 

Désigner un DPO

Toute collectivité locale ou établissement public local, quelle que soit sa taille, est tenu de désigner un délégué à la protection des données (DPO) qui doit pouvoir exercer en toute indépendance et à l’abri des conflits d’intérêts.

Ce délégué peut être un agent de la collectivité ou un conseil externe désigné dans le cadre d’un contrat de prestation de service. Ni un élu, ni un secrétaire de mairie, ni un DGS, ni un chef du service informatique ne peut exercer la fonction, du fait du risque de conflit d’intérêts.

Un DPO peut être mutualisé par plusieurs collectivités. Le maire reste le seul responsable des traitements de données de la collectivité : le DPO ne peut être mis en cause en cas d’éventuels manquements.

 

Cyberattaque : différents régimes de responsabilité
La responsabilité administrative : la Cnil sanctionne la méconnaissance des dispositions relatives à la loi n° 78-17 du 6/01/1978 relative à l’informatique, aux fichiers et aux libertés et/ou au règlement général sur la protection des données (RGPD). Les administrés ou entreprises peuvent engager la responsabilité d’une collectivité pour faute lorsque cette dernière a manqué à ses obligations et réclamer l’indemnisation des préjudices subis. La responsabilité de l’administration s’applique pour dommage de travaux publics (par exemple, si une cyberattaque génère le dysfonctionnement d’une installation ou d’un ouvrage public occasionnant des dommages aux usagers).

Un élu ou un agent public peut voir sa responsabilité civile engagée sur son patrimoine personnel pour réparer des dommages causés aux tiers, si l’existence d’une faute «détachable du ­service » est établie.
Elle est caractérisée lorsque les faits reprochés révèlent de préoccupations d’ordre privé, procèdent d’un comportement incompatible avec les obligations s’imposant dans l’exercice de fonctions publiques ou relèvent une particulière gravité.

La responsabilité pénale d’un élu et d’un agent peut résulter de la violation des règles relatives à la protection des données personnelles (le Code pénal réprime les atteintes les plus graves aux règles du RGPD) ou de la commission de fautes d’imprudence ou de négligence (qui peuvent trouver à s’appliquer juridiquement au cas d’une cyberattaque conduisant à des atteintes aux personnes).


À lire aussi :

Consulter aussi notre dossier " Cybersécurité : les outils pratiques "

Suivez Maires de France sur Twitter: @Maires_deFrance

Couverture

Cet article a été publié dans l'édition :

n°410 - MARS 2023
Retrouver tous les articles de ce numéro :
Les offres d’abonnement
Toutes les éditions

Lire le magazine

MAI 2023 N°412
class="couleur1">
Finances locales 2022-2023

class="couleur">
Cyberscurit

Dossiers d'actualité
class="couleur">
104e Congrs 2022

Logo

Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).