La Cnil a publié un guide cybersécurité pour alerter les collectivités locales sur leurs obligations et responsabilités dans ce domaine.
Cette démarche s’inscrit dans un contexte de recrudescence des cyberattaques et actes de cyber malveillance à l’encontre des collectivités locales. Il s’agit d’un défi majeur qu’elles doivent relever.
Recrudescence des cyberattaques et actes de cyber malveillance
Le nombre de cyberattaques a augmenté de 50% entre 2019 et 2021 (1).
Cependant, les acteurs locaux peinent encore à mettre en œuvre des actions suffisantes pour lutter efficacement contre cette menace permanente. En effet, il est établi que seul 56% des collectivités locales ont mis en place des actions prioritaires afin de lutter contre les cyberattaques (2). Ceci peut essentiellement s’expliquer par la complexité des mesures juridiques applicables et par la faible sensibilisation des acteurs locaux à cette problématique.
Le guide de la Cnil et de Cybermalveillance.gouv.fr a vocation à répondre à ces inefficiences en accompagnant les collectivités locales qui souhaitent connaître ou approfondir le cadre juridique relatif aux mesures de sécurité à mobiliser.
Ce guide, au-delà des précisions apportées sur les obligations principales des collectivités locales, apporte un éclairage concernant les conditions de mise en œuvre de leurs responsabilités tant administratives, civiles que pénales.
Les obligations des collectivités locales en termes de cybersécurité
Les obligations qui incombent aux collectivités locales et à leurs établissements publics en matière de cybersécurité sont principalement des :
- obligations liées à la protection des données personnelles à savoir :
- recenser l’ensemble des traitements mis en œuvre par les services des collectivités territoriales,
- désigner un Délégué à la Protection des Données (DPO)
- réaliser des analyses d’impact pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques (3).
- obligations quant à la mise en œuvre des téléservices locaux c’est-à-dire des guichets d’accueil numérique qui permettent d’effectuer des démarches administratives. Ces téléservices doivent être au préalable être sécurisés (4).
- obligations relatives à l’hébergement des données de santé (5).
Il appartient donc aux collectivités locales de respecter les obligations susvisées, et de parvenir ainsi à une parfaite analyse des risques qui pèsent sur leurs systèmes d’information tout en déterminant des solutions informatiques préventives et fiables. A défaut ou en cas de cyberattaque, il sera alors question d’action en responsabilité.
Les responsabilités des collectivités locales en termes de cybersécurité
Le guide informe également les collectivités locales et leurs établissements publics sur les actions qui peuvent être engagées à leur encontre au titre de la responsabilité administrative, de la responsabilité civile ou de la responsabilité pénale. Ces actions en responsabilité, le plus souvent méconnues des collectivités, sont principalement engagées à la suite du non-respect des obligations mentionnées précédemment, ce qui peut engendrer préjudices de diverse nature :
- à l’égard des administrés (ex : indisponibilité des services).
- directs et financiers (ex : coût lié à la reconfiguration du système d’information touché).
- financiers indirects (ex : coûts liés à l’indisponibilité d’équipements publics)
- dommages aux personnes et aux biens (ex : accident du fait du dysfonctionnement affectant la signalisation ou l’éclairage public).
L’attention est également attirée sur le fait, qu’en cas de cyberattaque et en présence d’une faute personnelle détachable du service, la responsabilité civile des élus et des agents publics pourrait être engagée.
Enfin, ce précieux guide complète fort utilement les outils déjà élaborés par la Cnil à destination des collectivités territoriales, notamment le guide de sensibilisation au RGPD pour les collectivités territoriales du 18 septembre 2019 (6).
Anne Renard,
Léa Salomon
Lexing Informatique et libertés Secteur public
Notes
(1) Rapport d’information du Sénat 2020-21 « Les collectivités locales face au défi de la cybersécurité ».
(2) Interview Virginie Bensoussan-Brulé pour SMACL Infos.
(3) Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données (RGPD).
(4) Référentiel Général de Sécurité (RGS), Agence nationale de la sécurité des systèmes d’information.
(5) Règlement (UE) 2016/679 précité.
(6) Anne Renard, « Guide de la Cnil pour la mise en conformité des mairies au RGPD », Post du 30-09-2019.