Collectivités : quelles mesures de sécurité pour son téléservice ?

téléservice En mars 2020, l’ANSSI a publié un guide intitulé « sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ». Au sein de ce guide, une fiche de recommandation est consacrée au respect des règles de sécurité lors de l’ouverture d’un téléservice. L’objectif de cette fiche est d’expliciter les obligations mises à la charge des collectivités territoriales, et notamment les mairies, par le RGS dans le cadre de l’ouverture d’un téléservice. La méthodologie mise en place par le RGS s’appuie sur deux piliers : l’approche par les risques et l’amélioration continue. Elle reprend la démarche « plan/do/check/act » proposée notamment par bon nombre de normes ISO.

L’analyse de risques de sécurité

Dès le départ du projet de mise en place d’un téléservice, la collectivité territoriale concernée doit délimiter les contours de ce dernier et procéder à une analyse des risques de sécurité. Elle doit à cette occasion identifier l’écosystème dans lequel évolue le système d’information, le contexte dans lequel il s’inscrit ainsi que les menaces pesant sur la collectivité territoriale. Sur la base de ce constat, elle doit ensuite analyser la vraisemblance, les conséquences ainsi que la criticité de la survenance d’éventuels incidents de sécurité.

A partir de cette analyse, la collectivité territoriale propose un plan d’action ayant pour objet la mise en œuvre de mesures de sécurité (organisationnelles, techniques et/ou contractuelles).

Les objectifs de sécurité

A l’issue de l’analyse de risque, la collectivité territoriale définit des objectifs de sécurité qui doivent couvrir, au minimum les principaux critères de sécurité que sont la disponibilité, l’intégrité et la confidentialité.

La collectivité pourra par exemple définir une politique de sécurité du système d’information, mettre en œuvre un système de journalisation des événements et/ou mettre en place un procédé de signature électronique.

La mise en œuvre des mesures de sécurité

À l’issue de la réalisation de l’analyse de risque, la collectivité territoriale doit mettre en œuvre les mesures de sécurité adéquates pour atteindre les objectifs de sécurité définis. Il existe 4 catégories de mesures à mettre en place :

  • la gouvernance de la sécurité (mise en place d’une politique de sécurité du système d’information, mise en place de responsabilités ou de processus dans le cadre de la gestion de la sécurité…) ;
  • la protection des systèmes d’information (mise en place de mesures de sécurité préventives) ;
  • la défense des systèmes d’information (mise en place d’un processus de gestion des incidents de sécurité par exemple) ;
  • la résilience des systèmes d’information (mise en place d’un plan de continuité d’activité par exemple).

Un guide d’hygiène informatique a été publié par l’ANSSI, afin d’aider notamment les collectivités territoriales à s’assurer qu’aucune thématique liée à la sécurité n’a été omise lors de la mise en œuvre du système d’information.

L’homologation de sécurité du système d’information

Préalablement à la mise en place de tout téléservice, le RGS impose aux collectivités territoriales d’homologuer le téléservice. La décision d’homologation atteste, au nom de la collectivité territoriale, le niveau de protection du téléservice et la maîtrise des risques en termes de sécurité.

Cette décision rendue sur la base de l’analyse d’un dossier d’homologation, doit être accessible aux usagers du téléservice. La décision d’homologation est prononcée pour 5 ans maximum et doit faire l’objet d’une révision à l’expiration de cette durée. Afin d’aider les collectivités territoriales et notamment les mairies dans leur démarche d’homologation, l’ANSSI a publié un guide d’homologation en 9 étapes.

Le suivi opérationnel de la sécurité du système d’information

Enfin, la conformité au RGS impose à la collectivité de mettre en œuvre des dispositifs de surveillance et de détection ; et ce, afin de pouvoir réagir au plus tôt aux incidents de sécurité. Ces dispositifs devront s’accompagner d’audits du système d’information réalisés à intervalles réguliers ; les rapports de ces audits étant notamment des éléments composant le dossier d’homologation.

Sur la base des rapports d’audit et des cas de non-conformité relevés, la collectivité devra en identifier les causes. Elle devra aussi mettre en œuvre un plan d’actions préventives et correctives.

Téléservice et sécurité mais aussi… RGPD

Ces impératifs d’analyse de risque et de sécurité sont en parfaite adéquation avec les exigences de la réglementation applicable. Cette dernière impose de mettre en place des mesures de sécurité adaptées aux risques présentés par les traitements.

Par le biais de leurs téléservices, les collectivités territoriales collectent de nombreuses données personnelles concernant leurs usagers. Un certain nombre d’interconnexions avec d’autres applications ou services peuvent présenter des risques. Un encadrement juridique et technique est alors nécessaire.

Une analyse d’impact (nouvelle obligation issue du RGPD) peut parfois s’avérer nécessaire. Ce type d’exercice poursuit une démarche similaire de gestion des risques (pour les droits et libertés des personnes concernées).

Enfin, il convient de respecter l’ensemble des exigences de la réglementation Informatique et libertés, à savoir, les principes de :

  • finalité,
  • transparence,
  • loyauté,
  • licéité,
  • minimisation.

… sans oublier l’information des personnes concernées et les durées de conservation des données.

Anne Renard
Louis Montecot Grall
Lexing département conformité et certification




La commande publique, un levier pour les Smart cities

levier pour les Smart cities Smart city

La commande publique peut devenir un levier pour les Smart cities. François Jouanneau, directeur du département Droit public du cabinet Lexing Alain Bensoussan Avocats, répond aux questions de Nelly Moussu pour Smart City Mag (1).

Depuis avril 2019, l’évolution vers la ville intelligente a été facilitée grâce à la mise en place d’expérimentations. En effet, les procédures d’achat par une collectivité ou tout acteur public ont été modifiées par le Code de la commande publique.

Des marchés sans publicité ni mise en concurrence

Le décret 2019-1344 applicable depuis janvier 2020 (2), a modifié certaines dispositions du Code de la commande publique. Elles impactent les marchés publics répondant à un besoin dont la valeur estimée est inférieure à 40.000 euros HT. Ces derniers n’ont plus d’obligation de publicité ni de mise en concurrence. François Jouanneau rappelle :

  • que pour un montant compris entre 40.000 et 214.000 euros HT, la mise en concurrence est obligatoire ;
  • qu’au-delà de 214.000 euros, des procédures formalisées comme les appels d’offres ou encore les procédures avec négociations doivent être appliquées.
  • qu’il n’y a aucune disposition particulière pour des montants de moins de 40.000 euros.

Un levier pour les Smart cities

En portant le seuil de dispense de procédure de 25.000 à 40.000 euros HT pour les marchés de gré à gré (3), certains projets sont devenus plus simples et plus rapides à mettre en place.

La seule contrainte pour l’acheteur est de veiller : « à choisir une offre pertinente, à faire une bonne utilisation des deniers publics et à ne pas contracter systématiquement avec un même opérateur économique lorsqu’il existe une pluralité d’offres susceptibles de répondre au besoin ».

Par ailleurs, le décret 2018-1225 (4) a mis en place une expérimentation de 3 ans pour les achats innovants. Il a également aménagé certaines dispositions relatives à la révision de prix des marchés publics, au montant des avances et de la retenue de garantie dans les marchés publics, ainsi qu’à la dématérialisation de la commande publique.

Ceci « démontre qu’il peut y avoir de la souplesse dans la transposition nationale des directives européennes concernant la commande publique », explique François Jouanneau.

Isabelle Pottier
Lexing Département Etudes et publications

(1) Lire l’intégralité de l’interview : « Commande publique : comment faciliter et accélérer la smart city ? » de Smart City Mag n° 32 de mai-juin 2020.
(2) Décret n° 2019-1344 du 12 décembre 2019 modifiant certaines dispositions du code de la commande publique relatives aux seuils et aux avances.
(3) Art. R. 2122-8 du CMP pour les marchés sans publicité ni mise en concurrence préalables.
(4) Décret n° 2018-1225 du 24 décembre 2018 portant diverses mesures relatives aux contrats de la commande publique.

 




Communes : Covid-19 et registres nominatifs d’alerte

registres nominatifs d’alerteLes communes peuvent tenir des registres nominatifs d’alerte pour faciliter l’assistance des personnes vulnérables en situation d’urgence comme celle du Covid-19.

L’obligation légale pour les communes de faciliter l’assistance des personnes vulnérables

Deux lois prévoient la mise en place par les communes de registres nominatifs d’alerte pour faciliter les moyens d’alerte et d’information des populations en situation d’urgence comme la crise sanitaire du Covid-19 que nous vivons actuellement :

  • la loi de 2004 relative à la solidarité pour l’autonomie des personnes âgées et des personnes handicapées (1), prévoyant la mise en place, conjointement par le préfet du département et le président du Conseil général, d’un plan d’alerte et d’urgence au profit des personnes âgées et des personnes handicapées isolées résidant à leur domicile, en cas de risques exceptionnels et notamment de canicule.
  • la loi de modernisation de la sécurité civile d’août 2004 (2), imposant à certaines communes, particulièrement exposées à un risque majeur, d’élaborer un plan communal de sauvegarde. Le maire est tenu d’informer ses administrés de la présence de risques majeurs sur le territoire communal et de gérer la crise lorsque celle-ci survient sur le territoire communal. Afin de mener à bien ces missions, il peut mettre en œuvre un plan communal de sauvegarde, fondé sur des registres nominatifs.

Objectifs d’inscription dans les registres nominatifs d’alerte

La constitution de registres nominatifs par les communes afin de faciliter la prise en charge des personnes en cas de situations exceptionnelles, par exemple en cas de pandémie du Covid-19, est soumise à des règles strictes. Les communes sont tenues de créer des registres nominatifs pour le déclenchement du plan d’alerte et d’urgence et pour celui du plan communal de sauvegarde afin de permettre l’intervention ciblée des services sanitaires et sociaux. L’inscription sur les registres liés à ces deux plans suppose une démarche volontaire, de la personne concernée ou d’un tiers agissant pour son compte.

S’agissant du plan d’alerte et d’urgence, particulièrement pertinent en période de pandémie du Covid-19, le registre a pour objectif d’organiser un contact périodique avec les personnes répertoriées lorsque le plan d’alerte et d’urgence est mis en œuvre. La constitution du registre nominatif concerne les personnes suivantes :

  • les personnes âgées de 65 ans et plus ;
  • les personnes de plus de 60 ans reconnues inaptes au travail ;
  • les personnes adultes handicapées bénéficiant de l’allocation aux adultes handicapés (AAH), de la prestation de compensation, de la carte mobilité inclusion, d’une reconnaissance de la qualité de travailleur handicapé ou d’une pension d’invalidité servie au titre d’un régime de base de la Sécurité sociale ou du Code des pensions militaires d’invalidité et des victimes de guerre.

Le registre doit contenir des données adéquates, pertinentes et limitées (RGPD art. 5) à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, soit :

  • les nom, prénoms et la date de naissance de la personne ;
  • la situation au titre de laquelle elle est inscrite sur le registre nominatif ;
  • son adresse et son numéro de téléphone ;
  • si cela est nécessaire, les coordonnées du service intervenant à domicile et la personne à prévenir en cas d’urgence.

Lorsque le maire constitue le registre nominatif, il est tenu d’informer les habitants de sa commune de sa mise en place, de sa finalité et des modalités d’inscription.

En outre, le RGPD impose que la collecte de ces informations soit faite en respectant les principes suivants : le maire doit mentionner l’identité du responsable de traitement et les coordonnées du délégué à la protection des données, la finalité exclusive du registre et sa base juridique, le caractère facultatif de l’inscription, la possibilité d’être radié à tout moment sur demande, la durée de conservation des données, les catégories de destinataires des données et les droits de la personne concernée, notamment ceux d’accès et de rectification.

S’agissant du plan communal de sauvegarde, qui peut également être mis en place pendant la pandémie du covid-19, son objectif est de guider l’action du maire et de ses équipes dans la gestion de crise et permettre ainsi de limiter pertes de temps et actions improvisées aux conséquences non maîtrisées. Le maire a ainsi la possibilité de tenir un registre complémentaire, plus large que celui dédié au plan d’alerte et d’urgence.

Toute collecte de données complémentaires doit également intervenir dans le respect des dispositions du RGPD :

  • par exemple, il ne peut porter que sur des données pertinentes et proportionnées à l’objectif poursuivi. Ainsi, le recueil de données faisant état de la santé des personnes concernées devra être strictement limité au besoin d’en connaître par les services d’aides dans l’objectif d’assurer une prise en charge adéquate et optimale.

Conditions d’inscription dans les registres nominatifs d’alerte

Exactitude des données

Le maire est ensuite tenu de prendre toutes les précautions utiles pour garantir l’exactitude des données, en mettant par exemple régulièrement à jour les informations contenues dans les registres.

La Cnil recommande par ailleurs au maire de rappeler annuellement aux personnes concernées par les registres nominatifs d’alerte, par l’envoi d’un message dédié, de la nécessité de le tenir informé de tout changement relatif à leur situation.

Sécurité des données

Le responsable du ficher étant astreint à une obligation de sécurité, les données recensées dans les registres communaux du plan d’alerte et d’urgence ainsi que du plan de sauvegarde doivent être recueillies, conservées et utilisées dans des conditions garantissant leur intégrité, leur disponibilité et leur confidentialité.

Destinataires des données

Les registres relatifs au plan d’alerte et d’urgence ne peuvent être consultés que par les agents chargés du recueil des informations, sous la responsabilité du maire. Ce dernier peut décider de communiquer les données au préfet, qui pourra à son tour les transmettre aux services chargés de l’organisation et de la coordination des interventions à domicile.

S’agissant des registres complémentaires mis en place en cas de plan de sauvegarde, les données ne peuvent être communiquées qu’aux structures identifiées dans le plan et mobilisables à l’occasion de son déclenchement. Les personnes concernées devront en outre être informées des destinataires de leurs données.

Les plans communaux de sauvegarde commencent à être mis en place dans les communes pour faire face à la pandémie du Covid-19 ; comme l’a rappelé la Cnil, il n’est pour autant pas possible de passer outre, malgré cette période exceptionnelle, les principes et obligations énoncés par le RGPD et repris par la loi Informatique et libertés (3).

Anne Renard
Chloé Perruchot
Lexing Conformité & Certification

(1) Loi n° 2004-626 du 30 juin 2004 relative à la solidarité pour l’autonomie des personnes âgées et des personnes handicapées
(2) Loi n° 2004-811 du 13 août 2004 de modernisation de la sécurité civile
(3) Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés




L’analyse de la bonne foi lors de propos diffamatoires en ligne

bonne foi

Dans un arrêt du 15 octobre 2019 (1), la Cour de cassation rappelle l’importance de la liberté d’expression citoyenne s’inscrivant dans le cadre d’un débat d’intérêt général et invite les juges du fond à une analyse accrue de l’exception de bonne foi.

En l’occurrence, un maire avait fait citer à comparaître un homme devant le tribunal correctionnel du chef de diffamation envers un citoyen chargé d’un mandat public, pour un texte qu’il avait mis en ligne accusant le maire de vol.

Le prévenu a été condamné en première instance et la Cour d’appel a confirmé la décision déférée, considérant que les propos étaient diffamatoires en ce qu’ils imputaient au maire des agissements susceptibles de revêtir la qualification de vol à l’encontre de personnes vulnérables et, à tout le moins, d’abus de pouvoir par un détenteur de l’autorité publique.

Pour écarter la bonne foi du prévenu, les juges d’appel avaient estimé que le prévenu n’avait procédé à aucune recherche sérieuse sur le sujet dont il traitait et que ses imputations ne reposaient sur aucune base factuelle suffisante.

Rappel des critères de la violation de la liberté d’expression

Le prévenu s’est pourvu en cassation, ce qui a donné l’occasion à la Cour de rappeler l’étendue de la protection de la liberté d’expression. Pour mémoire, la liberté d’expression est garantie par l’article 10 de la Convention européenne des droits de l’homme, et il y a violation de celle-ci lorsque se produit une ingérence dans l’exercice par un individu de son droit à la liberté d’expression et que cette ingérence n’est pas prévue par la loi, ne poursuit pas un but légitime, ou n’est pas nécessaire dans une société démocratique.

C’est ainsi qu’au visa de l’article 10 de la CEDH que la Cour de cassation a cassé et annulé l’arrêt de la Cour d’appel en ces termes :

« Mais attendu qu’en se déterminant ainsi, alors que, d’une part, le texte litigieux participait d’un débat d’intérêt général relatif à l’exercice par le maire de ses responsabilités dans la gestion d’une résidence pour personnes âgées, d’autre part, le prévenu qui n’est pas un professionnel de l’information, n’était pas tenu aux mêmes exigences déontologiques qu’un journaliste, la cour d’appel qui devait analyser précisément les pièces produites par le prévenu au soutien de l’exception de bonne foi, pièces qui avaient seulement été énumérées par les premiers juges en tant qu’elles avaient été jointes à l’offre de preuve, afin d’apprécier, au vu de ces pièces et de celles produites par la partie civile pour combattre cette exception et en considération de ce qui précède, la suffisance de la base factuelle, n’a pas justifié sa décision ».

Obligation de vérification de la base factuelle pour admettre ou rejeter la bonne foi

Au-delà de l’étendue de la protection de la liberté d’expression apportée aux non professionnels, les Hauts magistrats ont mis en lumière l’obligation, pour les juges du fond, de procéder à une analyse précise des pièces produites par le prévenu au soutien de l’exception de bonne foi.

En l’occurrence, les juges du fond s’étaient bornés à énumérer ces pièces, ce qui fut considéré par la Cour de cassation comme une absence de justification de décision.

Virginie Bensoussan-Brulé
Chloé Perruchot
Lexing Contentieux du numérique

(1) Cass. crim, 15 octobre 2019, n°18-83255.




Mairies : se préparer et réagir en cas d’incident de sécurité

incident de sécuritéLe RGPD impose aux mairies de prendre des mesures pour prévenir tout incident de sécurité et réagir de manière appropriée en cas de violation de données.

L’obligation générale de sécurité des mairies

Comme tout responsable de traitement de données personnelles, les mairies et autres collectivités territoriales sont soumises à une obligation générale de sécurité imposée par le RGPD. Les articles 33 et 34 du RGPD précisent les obligations qui pèsent sur les mairies qui traitent des données à caractère personnel. Au titre de ce principe essentiel, ces organismes doivent mettre en place des mesures visant à :

  • prévenir tout incident de sécurité ;
  • réagir de manière appropriée en cas de violation de données, c’est-à-dire mettre fin à la violation et minimiser ses effets.

Guide Anssi de la sécurité dans les mairies

Afin d’aider les non-spécialistes et les élus confrontés au cadre réglementaire de la sécurité numérique et notamment à la mise en œuvre du RGPD, l’Anssi a publié un guide intitulé « Sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ».

Parmi les 7 fiches que comporte ce guide, l’une s’intitule : « Se préparer et réagir en cas d’incident de sécurité ». Cette fiche a notamment pour objectif d’expliciter les modalités de mise en œuvre du principe général de sécurité dans les mairies ou tout autre collectivité territoriale. La fiche s’inspire d’une méthodologie décrite dans de nombreuses normes ISO, en organisant le processus de gestion des incidents de sécurité autour du cycle suivant.

La préparation – Lors d’une indispensable phase préliminaire de préparation, la mairie doit à la fois définir ce qu’elle considère comme un incident de sécurité et l’organisation qu’elle entend mettre en place autour de la gestion de ces incidents de sécurité. La mairie doit ensuite communiquer en interne, sensibiliser ses collaborateurs et régulièrement auditer les procédures mises en place.

La détection – L’enjeu de la phase de détection pour les mairies est de pouvoir identifier les incidents de sécurité le plus tôt possible afin d’en limiter les conséquences, notamment sur les données personnelles. Cette phase nécessite de combiner une veille constante, l’utilisation d’outils de supervision et de permettre une remontée d’informations efficace.

L’évaluation – Cette phase de filtre consiste à analyser les événements de sécurité à l’aide des critères préalablement définis lors de la phase de préparation et ainsi permettre de les catégoriser en tant qu’incident de sécurité pour pouvoir y réagir.

La réaction – Lorsqu’un incident de sécurité est identifié il est indispensable pour la mairie concernée de remplir ses obligations de notification aux autorités dans le respect des délais imposés (Cnil, Anssi, etc). Par exemple, en cas de violation de données présentant un risque au regard de la vie privée des personnes concernées, l’article 33 du RGPD impose une notification de l’incident de sécurité à la Cnil dans un délai de 72 heures. En outre, dans cette hypothèse l’article 34 du RGPD impose aussi à la mairie de communiquer à la personne concernée l’information selon laquelle elle a été victime d’une violation de données à caractère personnel.

Il convient ensuite de traiter l’incident de sécurité, en prenant toutes les mesures nécessaires afin de limiter la propagation ou la gravité de l’incident. Il est aussi nécessaire de collecter des enregistrements pour conserver des preuves, afin que la mairie puisse être en mesure de déposer plainte si elle l’estime nécessaire.

Tirer les enseignements d’un incident de sécurité

Après la résolution de l’incident de sécurité, la mairie concernée doit prendre le temps d’analyser les causes ayant engendré l’incident et la manière dont elle a su ou non réagir. Cette phase doit permettre la mise en place d’un plan d’action préventive de nature à empêcher la survenance d’un incident similaire.

Enfin, cette phase est aussi l’occasion pour la mairie concernée d’actualiser et d’enrichir les mesures mises en œuvre durant la phase de préparation.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique
Anne Renard
Directeur Conformité & Certification
Louis Montecot Grall




Sécurité numérique des mairies : l’essentiel de la réglementation

Sécurité numérique des mairiesRGPD, eIDAS, RGS… Pour répondre au défi de la sécurité numérique, les mairies sont confrontées à des contraintes règlementaires nombreuses et complexes.

Les mairies et les autres collectivités territoriales sont engagées dans une transformation numérique profonde. Cette transformation a pour double objectif de renforcer les services rendus aux citoyens et de répondre à des obligations règlementaires nouvelles comme le RGPD.

Le cadre règlementaire de la sécurité numérique des mairies

Pour répondre au défi de la sécurité numérique, posé par la transformation numérique des mairies et des autres collectivités territoriales, la France et l’Union européenne se sont dotées d’un cadre règlementaire participant à la protection des systèmes d’information et dont les objectifs sont :

  • le renforcement de la confiance des usagers dans l’utilisation des services numériques ;
  • le renforcement de la sécurité des données à caractère personnel ;
  • la transformation numérique des administrations ;
  • le renforcement de la sécurité des acteurs critiques pour l’État.

Le texte le plus emblématique de ce cadre réglementaire est le RGPD, qui met en place de nouvelles obligations à la charge des mairies et des autres collectivités territoriales. Notamment, l’article 32 du RGPD prévoit que les collectivités territoriales doivent assurer la sécurité des traitements de données à caractère personnel qu’elles mettent en œuvre.

Le 18 décembre 2019, l’équivalent norvégien de la Cnil a condamné la mairie d’Oslo sur le fondement du RGPD pour ne pas avoir mis en place les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité numérique adapté.

Les grands principes de la sécurité numérique des mairies

Cette réglementation s’articule autour de trois principes fondamentaux :

  • la gouvernance qui vise à impliquer l’ensemble des acteurs (décideurs, agents, etc.) des collectivités territoriales et des mairies à la sécurité par la définition et le suivi de politique de sécurité des systèmes d’information (PSSI) ;
  • la gestion des risques qui doit amener les collectivités territoriales et les mairies à évaluer les menaces auxquelles elles sont soumises et les mesures qu’elles peuvent mettre en place pour s’en protéger tout en tenant compte des contraintes auxquelles elles font face (financière, humaine, sociale, etc.) (RGPD, article 32) ;
  • l’amélioration continue qui permet à l’organisation de régulièrement évaluer son niveau de sécurité afin d’identifier les domaines dans lesquels il est nécessaire de progresser.

Le guide ANSSI

Afin d’aider les non-spécialistes et les élus confrontés au cadre réglementaire de la sécurité numérique et notamment à la mise en œuvre du RGPD, l’ANSSI a publié un guide intitulé « Sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ». Ce document contient 7 fiches de recommandations :

  • FICHE 1 : Aide à la mise en œuvre des réglementations
  • FICHE 2 : Se préparer et réagir en cas d’incident de sécurité
  • FICHE 3 : L’usage de la signature électronique
  • FICHE 4 : Ouvrir un téléservice dans le respect des règles de sécurité
  • FICHE 5 : Ouvrir un service numérique au public dans le contexte eIDAS
  • FICHE 6 : Recourir à l’externalisation pour la gestion du système d’information
  • FICHE 7 : Mise en œuvre d’un système de management de la sécurité de l’information (SMSI) dans le contexte HDS

Anne Renard
Lexing Conformité et certification




Obligations en matière d’analyse d’impact pour les mairies

analyse d’impact pour les mairiesLe RGPD (1) impose un certain nombre d’obligations pour les collectivités territoriales (2). Il existe notamment des obligations en matière d’analyse d’impact pour les mairies.

Le règlement prévoit ainsi la réalisation d’analyses d’impact relatives à la protection des données pour les traitements susceptibles d’engendrer un risque élevé pour les droits et les libertés des personnes.

Compte tenu des traitements particulièrement sensibles que sont susceptibles de mettre en œuvre les mairies, ces dernières sont directement concernées par cette application.

Comment déterminer si une analyse d’impact doit être réalisée ?

L’article 35 du RGPD précise tout d’abord qu’une analyse d’impact est, en particulier, requise dans les cas suivants :

  • l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
  • le traitement à grande échelle de catégories particulières de données, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ; ou
  • la surveillance systématique à grande échelle d’une zone accessible au public.

En complément, la Cnil a publié une liste des traitements pour lesquels une analyse d’impact est requise (3).

Conformément à cette liste, une analyse d’impact pour les mairies s’impose notamment s’agissant :

  • des traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
  • des traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
  • l’instruction des demandes et gestion des logements sociaux ;
  • des traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.

Certains traitements mis en œuvre par les Centres communaux d’action sociale (CCAS) et les centres municipaux de santé, tels que les traitements de données de santé pour la prise en charge des personnes, sont également concernés.

Une analyse d’impact est également requise si le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 (4) suivants :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ou données à caractère hautement personnel ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

Publication de la liste des traitements pour lesquelles une analyse d’impact pour les mairies n’est pas requise

Le 22 octobre 2019, la Cnil a publié la liste des types d’opérations de traitement exonérés d’analyse d’impact (5).

Aucune analyse d’impact pour les mairies n’est ainsi requise pour :

  • les traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes ;
  • les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage ;
  • les traitements mis en œuvre par les collectivités territoriales aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance.

Cette dernière exonération s’applique aux traitements relatifs à :

  • la préinscription, l’inscription, le suivi et la facturation des services en matière d’affaires scolaires, périscolaires, extrascolaires et de petite enfance (la scolarisation en école maternelle et élémentaire) ;
  • le recensement des enfants soumis à l’obligation scolaire ;
  • la restauration scolaire et extrascolaire ;
  • les transports scolaires ;
  • les accueils et activités périscolaires et extrascolaires, les accueils collectifs de mineurs ;
  • la participation à l’organisation matérielle et financière des sorties scolaires, les séjours scolaires courts et classes de découverte dans le premier degré ;
  • l’accueil de la petite enfance au sein des établissements et services d’accueil des enfants de moins de six ans.

En tout état de cause, en cas de doute quant à la nécessité de réaliser une analyse d’impact pour les mairies, il est recommandé d’en effectuer une.

En effet, une analyse d’impact permet non seulement de mettre en œuvre des traitements de données respectueux de la vie privée, mais également faire preuve de la bonne conformité des mairies au RGPD.

Une analyse d’impact peut concerner un seul traitement ou un ensemble de traitements similaires.

La Cnil a, en outre, pu préciser à titre d’exemple que des collectivités qui mettent chacune en place un système de vidéosurveillance similaire pourraient effectuer une seule analyse qui porterait sur ce système bien que celui-ci soit ultérieurement mis en œuvre par des responsables de traitements distincts (6).

En outre, le montant des amendes pouvant s’élever jusqu’à 10 000 000 euros en cas de manquements aux dispositions relatives aux analyses d’impact, une vigilance particulière doit être apportée.

Anne Renard
Marine Hannequart
Lexing Conformite et certification

(1) Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD »),
(2) Post précédent : « RGPD dans les mairies : quels impacts ? », du 14-10-2019 ,
(3) Cnil, Délibération n° 2018-327 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise, du 11-10-2018,
(4) Groupe de travail « article 29» sur la protection des données, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, 4-04-2017,
(5) Cnil, Délibération n° 2019-118 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise, 12-09- 2019,
(6) Cnil, « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD) », 22-10-2019.




RGPD dans les mairies : quels impacts ?

RGPD dans les mairiesRGPD dans les mairies : Le RGPD met à leur charge, et de manière plus générale à celle de l’ensemble des collectivités territoriales, de nouvelles obligations qui font l’objet de l’attention de la Cnil.

La responsabilisation ou « l’accountability » des mairies

Les mairies doivent être dans une démarche proactive et de mise en conformité permanente. Chaque ville doit être en mesure de démontrer qu’elle effectue ses traitements de données à caractère personnel conformément aux exigences de la réglementation applicable en la matière.

La démarche de mise en conformité des collectivités territoriales implique un travail collectif afin de respecter les exigences relatives à la protection des données à caractère personnel.

Le délégué à la protection des données, chef d’orchestre du RGPD dans les mairies

Le RGPD prévoit des cas dans lesquels la désignation d’un délégué à la protection des données (DPD) est obligatoire. C’est le cas lorsque le traitement est réalisé par une autorité publique ou un organisme public (RGPD, art. 37) (1).

Les mairies ont donc l’obligation de désigner un DPD que ce soit en interne si elles disposent des ressources nécessaires ou en externe.

Certaines fonctions sont incompatibles avec la fonction de DPD. C’est le cas en particulier lorsque la personne intervient dans la détermination des finalités et des moyens du traitement. A titre d’exemple, le Directeur des systèmes d’information (DSI) ne peut occuper une telle fonction.

L’obligations des mairies de tenir un registre des activités de traitement

Le RGPD prévoit une obligation de tenir un registre des activités de traitement effectué en qualité de responsable de traitement ou de sous-traitant (RGPD, art. 30).

L’élaboration du registre implique pour la collectivité d’effectuer, au préalable, un état des lieux des traitements mis en œuvre (gestion de l’état civil, gestion des activités scolaires, périscolaires et extrascolaires, gestion de la petite enfance, gestion administrative du personnel, gestion des marchés publics etc.)

Pour être en conformité avec le RGPD dans les mairies, il est nécessaire d’élaborer et de tenir un registre des activités de traitement.

L’encadrement par les mairies de leurs relations avec les sous-traitants

Le RGPD précise qu’un responsable du traitement ne peut faire appel qu’à des sous-traitants qui présentent des garanties suffisantes de conformité à la réglementation relative à la protection des données à caractère.

L’article 28 du RGPD impose un contrat de sous-traitance qui doit comporter un certain nombre de mentions (RGPD, art. 28).

Notamment dans les marchés publics, cela se traduit par l’insertion de clauses particulières par les collectivités qui encadrent les activités des prestataires auxquels elles recourent.

Les principes de protection dès la conception et par défaut dans les mairies

Selon ces principes, la collectivité doit appliquer, tant lors de la détermination des moyens mis en œuvre pour le traitement que pendant le traitement lui-même, des mesures techniques et organisationnelles appropriées, notamment la minimisation et la pseudonymisation, de manière à ce que le traitement soit conforme aux dispositions du Règlement (RGPD, art. 25).

Cela signifie encore que les mairies doivent prendre en compte les exigences de la réglementation dès la phase de projet d’un traitement et mettre en place des paramétrages des outils qui par défaut garantissent la protection des données à caractère personnel.

L’analyse d’impact sur la vie privée

Dès lors que la collectivité territoriale traite des données à caractère personnel susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées, elle doit réaliser une analyse d’impact, AIPD. C’est par exemple le cas pour certains traitements du Centre communal d’action social (CCAS), pour les dispositifs d’alertes professionnels ou encore dans le cadre de l’octroi de logements sociaux.

La sécurité des données à caractère personnel des Mairies

Les villes doivent assurer la sécurité des traitements de données à caractère personnel. Le niveau de sécurité doit être adapté aux risques présentés par le traitement (RGPD, art. 32).

Elles doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques.

La gestion des violations de données par les Mairies

Une violation de données à caractère personnel est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Une des nouveautés du RGPD dans les mairies et, de manière générale, dans tous les organismes publics ou privés, réside dans leurs obligations vis-à-vis de la Cnil et des personnes concernées lorsqu’une telle violation de données intervient.

Dès lors qu’une violation de données est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, les collectivités doivent informer la Cnil dans les meilleurs délais et si possible dans un délai de 72 heures.

L’information des personnes concernées dépend des conséquences préjudicielles qui peuvent être anticipées (RGPD, art. 33 et 34). Dès lors que le risque est élevé pour les droits et libertés des personnes, ils devront être informés de cette violation de données.

Le renforcement de l’information des personnes concernées par les mairies

Les collectivités territoriales doivent fournir un ensemble d’informations prévues aux articles 13 et 14 du RGPD notamment dans les mentions d’information dès lors qu’elles traitent des données des administrés, des agents ou de tout autre personne physique (RGPD, art. 13 et 14).

La gestion des droits des personnes dans les mairies

La personne concernée dispose d’un certain nombre de droits sur ses données et notamment de droits d’accès, de rectification, d’opposition, d’effacement, de limitation du traitement et à la portabilité des données à caractère personnel.

La personne concernée peut exercer ses droits auprès de la collectivité qui doit répondre dans un délai d’un mois à compter de la réception de la demande.

La ville doit apporter une réponse concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples (RGPD, art. 12).

Pour respecter ces exigences du RGPD dans les mairies, il est nécessaire de prévoir une procédure spécifique en interne afin de gérer ces demandes de manière efficace.

Le RGPD dans les mairies, une des préoccupations de la Cnil pour les mois à venir

Tout d’abord, la Cnil souhaite accompagner les collectivités territoriales sur certains sujets comme les élections municipales et la communication politique (2).

A cet égard, la Cnil a publié un guide « Guide de sensibilisation au RGPD pour les collectivités territoriales ».

Par ailleurs, la Cnil a également indiqué que son programme de contrôle 2019 est axé sur :

  • les plaintes reçues par la Cnil relatives à l’exercice effectif des droits des personnes,
  • les données des mineurs (publication de photos, biométrie et vidéosurveillances dans les écoles, recueil du consentement des parents pour les moins de 15 ans).

Plus d’un an après son entrée en application, le respect des exigences du RGPD dans les mairies est un véritable enjeu notamment dans la perspective des élections municipales à venir.

Anne Renard
Yoko Riat
Lexing Conformité et certification

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, dit RGPD).
(2) Communiqué Cnil du 15-4-2019.




Guide de la Cnil pour la mise en conformité des mairies au RGPD

guide de la Cnil pour la mise en conformité des mairies au RGPDCe « Guide de sensibilisation au RGPD pour les collectivités territoriales » est destiné aux administrations locales qui mettent en œuvre de nombreux traitements de données à caractère personnel (gestion des inscriptions scolaires, gestion de l’état civil, gestion des listes électorales…) et doivent respecter les exigences du RGPD [1].

Parution du guide de la Cnil pour la mise en conformité des mairies au RGPD

Afin d’aider les mairies, dans le cadre de leur mise en conformité au RGPD, la Cnil vient de publier un Guide de sensibilisation au RGPD pour les collectivités territoriales à leur attention [2].

Principaux changements pour les mairies depuis l’entrée en application du RGPD

Le guide de mise en conformité des mairies au RGPD rappelle les principaux changements pour ces organismes induits par l’entrée en application du RGPD, notamment :

  • l’obligation de recenser de l’ensemble des traitements mis en œuvre par les services des collectivités territoriales ;
  • la nécessité, pour toutes les collectivités territoriales, de désigner un Délégué à la Protection des Données (DPD) ;
  • l’obligation de réaliser des analyses d’impact pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Mise à disposition d’outils à destination des collectivités territoriales

Le guide de la Cnil pour les collectivités territoriales comporte de nombreux outils afin d’aider les collectivités territoriales à se conformer aux exigences de la règlementation, notamment :

  • un modèle de mentions d’information pour le traitement de gestion de l’état civil ;
  • des fiches réflexes permettant de sensibiliser les agents aux bonnes pratiques en matière de protection des données ;
  • des illustrations et des cas concrets pour permettre aux mairies de mieux appréhender les notions clés de la règlementation relative à la protection des données ;
  • une liste de finalités de traitements pouvant servir de base pour cartographier les traitements mis en œuvre par les mairies ;
  • un plan d’action en 4 étapes pour permettre aux collectivités territoriales de se mettre en conformité.

Focus sur les missions du Délégué à la Protection des Données (DPD)

Le guide de mise en conformité des mairies au RGPD consacre un long développement aux missions du DPD, à son statut et à ses modalités de désignation.

L’autorité rappelle ainsi que les collectivités territoriales peuvent désigner soit un DPD en interne, soit une personne externe et qu’il est possible pour les collectivités territoriales de mutualiser le DPD (au niveau d’un établissement public intercommunale par exemple).

Le rappel des conditions de licéité des traitements spécifiques aux collectivités territoriales

Le guide de la Cnil à destination des mairies au RGPD apporte des éclairages concernant les conditions de licéité des traitements spécifiques aux mairies.

La Cnil précise notamment les règles concernant les traitements suivants :

  • équipement des agents de police municipale de caméras mobiles ;
  • dispositifs de lecture automatisée des plaques d’immatriculation ;
  • gestion des téléservices des mairies.

Analyses d’impact au sein des collectivités territoriales

Il n’est pas fait référence au projet de liste des traitements exemptés d’analyse d’impact dans le guide de la Cnil pour la mise en conformité des mairies au RGPD.

Au vu du projet de liste soumis par la Cnil au Comité européen de protection des données en la matière [3], il semblerait que les traitements relatifs à la gestion des écoles, aux activités extrascolaires et à la petite enfance puissent être exemptés d’analyse d’impact.

Il conviendra d’attendre la publication de la liste définitive de la Cnil afin de s’assurer que ces traitements sont bien exemptés.

Anne Renard
Alicia Béré
Lexing Conformite et certification

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD »).
[2] Cnil, « Guide de sensibilisation au RGPD pour les collectivités territoriales », 18-09-2019.
[3] CEPD, Opinion 13/2019, 10-7-2019 on the draft list of the competent supervisory authority of France regarding the processing operations exempt from the requirement of a data protection impact assessment




Transformation digitale dans les collectivités territoriales

Transformation digitaleLa transformation digitale dans les collectivités territoriales est le thème sur lequel Maître Polyanna Bigle est intervenue avec Monsieur Dimitri Mouton, consultant de Demaeter et Jean-Michel Rosenal pour une Webconference d’IDEAL Connaissances le 24 janvier 2018.

De nombreuses collectivités préparent leur transformation digitale, avec un volet dématérialisation qui prend une importance croissante dans la conduite des actions du quotidien.

La question de l’archivage, de la facturation, la gestion des courriers, des signatures électroniques a déjà impacté l’organisation des services, pas uniquement celui des services numériques mais aussi l’ensemble des services de la collectivité.

L’objectif de cette intervention était de notamment de connaître :

  • les évolutions du cadre légal et des obligations en matière de dématérialisation
  • les réglementations concernant la gestion de la preuve
  • les démarches méthodologiques et les étapes du processus

Les points abordés étaient les suivants :

  • la mutation organisationnelle
  • les fondements juridiques
  • les formats et concepts de gestion de contenu
  • les applications et outils de la dématérialisation
  • l’archivage et les contraintes de sécurité
  • la gestion des certificats
  • des exemples opérationnels

Le cadre réglementaire de la dématérialisation a connu une lente mais une « vraie » évolution, depuis la convention sur la preuve en 2000 jusqu’au règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques dit Règlement eIDAS pour e-IDentity And Signature en vigueur depuis 2016, en passant par l’usage d’une signature électronique conforme aux règles du RGS (référentiel général de sécurité issu de l’article 9. I de l’Ordonnance 2005-1516 du 8 décembre 2005).

Ce cadre constitue ce que l’on appelle la transformation numérique. Dans les collectivités territoriales, cette transformation a pour ambition de simplifier autant la vie des citoyens que le travail quotidien des agents du service public et de gagner en efficience dans un contexte très contraint financièrement.

La transformation numérique des services publics locaux est bien en route !

Isabelle Pottier
Directrice Études et Publications




Champs électromagnétiques : suite (mais sûrement pas fin)

Champs électromagnétiques : suite (mais sûrement pas fin)Les champs électromagnétiques, auxquels le public est exposé, font à nouveau l’actualité réglementaire.

Après un décret paru en pleine torpeur estivale, relatif aux obligations des employeurs en matière de santé et de sécurité des travailleurs exposés à des champs électromagnétiques, voilà que l’attention est portée aux champs électromagnétiques (1).

Ce décret s’inscrit dans un environnement légal marqué par une forte production de textes encadrant, de manière de plus en plus rigoureuse, la question de l’émission de champs électromagnétiques et de l’information du public à ce propos.

Par exemple, tel a été le cas de la loi du 9 février 2015 intitulée « Sobriété de l’exposition aux champs électromagnétiques, information et concertation lors de l’implantation d’installations radioélectriques » (2) et que nous avions déjà commentée à l’époque, ou encore de la loi du 14 octobre 2015 relative au deuxième dividende numérique et à la poursuite de la modernisation de la télévision numérique terrestre (3).

Il concerne les implantations d’installations radioélectriques ou les modifications substantielles d’installations existantes soumises à accord ou à avis de l’Agence nationale des fréquences (AnFr).

La partie réglementaire du Code des postes et communications électroniques est modifiée en conséquence, afin d’insérer des dispositions relatives, d’une part, à l’information locale concernant l’implantation ou la modification de telles installations et, d’autre part, la mise en place d’un comité de dialogue au sein de l’AnFr sur les niveaux d’exposition du public aux champs électromagnétiques.

Information locale. Le décret précise les modalités dans lesquelles les maires ou les présidents des établissements publics de coopération intercommunale peuvent demander que soient réalisées des simulations d’exposition du public aux champs électromagnétiques pour les équipements dont l’installation est projetée.

Il indique que les informations reçues, par ailleurs, par les maires ou par les présidents des établissements publics de coopération intercommunale doivent être mis à la disposition du public concerné dix jours après la réception du dossier par ces derniers, qui peuvent recueillir les observations des habitants, sous réserve de préciser les modalités de recueil de celles-ci.

Comité national de dialogue. Le décret fixe la composition de ce comité, sans pour autant préciser le nombre total de représentants le composant.

Sont, en tout état de cause, membres de ce comité, deux députés et deux sénateurs ainsi que des représentants des associations d’élus locaux, des ministres chargés des communications électroniques, de l’environnement, de la santé et de la communication, de l’Arcep, du CSA, des administrations affectataires de fréquences radioélectriques et l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail.

S’ajoutent également des représentants des associations d’exploitants d’installations radioélectriques, de fournisseurs de services de communications électroniques, d’équipementiers, notamment.

Enfin, sont membres du comité des représentants des associations agréées de protection de l’environnement et de défense des consommateurs, entre autres.

L’initiative de l’ordre du jour des réunions de comité revient à l’AnFr, le comité devant se réunit au moins deux fois par an.

Enfin, le décret prévoit que l’AnFr rende publique une synthèse des travaux et des réunions de comité.

Ce décret est entré en vigueur le 12 septembre 2016.

Frédéric Forster
Lexing Droit Télécoms

(1) Décret 2016-1074 du 3-8-2016 relatif à la protection des travailleurs contre les risques dus aux champs électromagnétiques
(2) Loi 2015-136 du 9-2-2015 relative à la sobriété, à la transparence, à l’information et à la concertation en matière d’exposition aux ondes électromagnétiques
(3) Loi 2015-1267 du 14 -10-2015 relative au deuxième dividende numérique et à la poursuite de la modernisation de la télévision numérique terrestre)




Transition numérique territoriale et recommandations FNCCR

Transition numérique territoriale et recommandations FNCCR

La FNCCR a publié en juin 2016 un Livre blanc relatif à la transition numérique des collectivités territoriales.

Intitulée « Réussir la révolution numérique : des réseaux, des services et des données au profit des citoyens, des services publics et de l’économie », l’étude de la FNCCR développe les besoins et attentes des citoyens en matière d’usage du numérique dans la vie administrative (1). La FNCCR fournit un certain nombre de recommandations à destination des collectivités territoriales. L’objectif : qu’elles s’adaptent aux évolutions des technologies et à la nouvelle relation numérique entre administration et administrés.

Transition numérique : les attentes et besoins des citoyens

La FNCCR souligne le caractère nouvellement horizontal de la relation entre le citoyen, l’administration et les services publics. Avec l’usage des réseaux numériques, les citoyens possèdent une meilleure autonomie administrative. Que ce soit pour rechercher des informations ou pour connaître les moyens de contestation dont ils disposent.

Les citoyens n’ont a priori pas d’attentes particulières quant à la transition numérique des collectivités territoriales. Ils émettent toutefois une exigence : la sécurité. Qu’il s’agisse de la transition numérique du secteur privé ou du secteur public, les citoyens sont focalisés sur la sécurité de leurs données. Il ressort de l’étude que les administrés sont séduits par la simplification, la rapidité et la désintermédiation des procédures et de l’information. Et ce, toujours sous réserve de la condition de sécurité des données. La réussite de la transition numérique d’une collectivité territoriale est donc liée à la fiabilité de la procédure mise en place.

Par ailleurs, la FNCCR rappelle que certaines actions publiques de transition numérique ont déjà eu lieu. C’est le cas notamment des déclarations fiscales et des espaces publics numériques destinés aux citoyens. Pour autant, la transition numérique des collectivités territoriales demeure insuffisante sur certains aspects. Notamment s’agissant des menaces des financements sociaux, la perte de contrôle des données, les services publics non coordonnés.

Les recommandations de la FNCCR

Au-delà de ces considérations générales sur l’état actuel de la relation numérique avec le citoyen, la FNCCR donne plusieurs recommandations concrètes aux collectivités territoriales afin de favoriser leur transition numérique :

  • instituer une instance nationale de gouvernance et de coordination du numérique pour les infrastructures tant fixes que mobiles, gérant des services ou des données ;
  • fournir un budget durable de 660 millions d’euros par an au Fonds d’Aménagement Numérique des Territoires en complément du Fonds national pour la Société Numérique ;
  • instaurer un opérateur national afin de mutualiser les Réseaux FTTH d’Initiative Publique ;
  • accélérer la migration du cuivre à la fibre par la mise en place d’une bascule immédiate par plaques des « zones fibrées » ;
  • créer un observatoire des territoires numériques suivant l’évolution vers le Haut Débit et le THD fixe et mobile ;
  • permettre aux collectivités territoriales de mieux contrôler les données recueillies dans le cadre de leurs contrats ;
  • couvrir l’ensemble du territoire avec les structures de mutualisation informatique ;
  • établir des missions locales de service public ayant pour but de gérer les données d’intérêt général ;
  • protéger les infrastructures numériques sensibles.

Ces recommandations constituent une avancée notable pour permettre la transition numérique des collectivités territoriales. Il faudra néanmoins attendre le 27 septembre 2016, date d’examen du projet de la loi par le Sénat. Leur mise en œuvre nécessite « un accompagnement législatif assidu qui commencera, avant même sa promulgation, par un travail d’évolution et d’approfondissement de la loi pour une République numérique ».

Virginie Bensoussan – Brulé
Lexing Contentieux numérique

(1) Livre blanc de la FNCCR, Réussir la révolution numérique : Des réseaux, des services et des données au profit des citoyens, des services publics et de l’économie.




Collectivités territoriales : le projet de loi consommation adopté

Collectivités territoriales : le projet de loi consommation adoptéLes collectivités territoriales seront directement concernées par le projet de loi sur la consommation qui a été définitivement adopté par l’Assemblée nationale le 13 février 2014. Ce projet vise en effet à introduire dans le Code de la propriété intellectuelle de nouvelles dispositions afin de renforcer la protection de leur dénomination.

Plus précisément, les collectivités territoriales et les établissements publics de coopération intercommunale (EPCI), vont désormais pouvoir bénéficier, dans des conditions qui seront fixées par décret, d’un dispositif d’alerte suite à une demande exprimée auprès de l’Institut National de la Propriété Industrielle (INPI) afin d’être informés des demandes d’enregistrement de marque intégrant leur dénomination.

Les conseils régionaux, la collectivité territoriale de Corse et les conseils généraux pourront également être alertés, selon le même mécanisme, des demandes d’enregistrement de marque intégrant un nom de pays se situant sur leur territoire géographique.

Dans le prolongement de ce nouveau dispositif, les collectivités territoriales pourront, à l’avenir, également s’opposer dans le cadre d’une procédure administrative à une demande d’enregistrement portant atteinte à leur nom, à leur image ou à leur renommée sans devoir assigner le titulaire de la demande d’enregistrement contestée sur le fondement de l’article L.711-4 h) du Code de la propriété intellectuelle .

La procédure d’opposition sera ainsi ouverte aux collectivités territoriales, qu’elles soient ou non titulaires d’une demande d’enregistrement ou d’un enregistrement à titre de marque. Il s’agit d’une évolution favorable aux collectivités territoriales. En effet, avant l’adoption de ces nouvelles dispositions, les collectivités territoriales qui pouvaient former opposition à l’encontre d’une demande de marque dont le signe était identique ou similaire à leur dénomination, étaient celles qui avaient pris soin de déposer leur dénomination à titre de marque, cette dernière devant revendiquer bien évidemment, des produits identiques ou similaires à ceux de demande d’enregistrement contestée.

Dans le cadre de ce nouveau dispositif d’alerte, les collectivités territoriales devront toutefois mettre en place des procédures de suivi des alertes efficientes, pour ne pas omettre de former opposition dans le délai imparti, qui est de deux mois, à compter de la publication de la demande d’enregistrement de la marque dans le Bulletin Officiel de la Propriété Industrielle (BOPI).

Claudine Salomon
Lexing Droit des marques

Assemblée nationale, Dossier législatif




Elus locaux comment protéger l’e-réputation et le nom de sacollectivité

e-réputation des élus - Petit-déjeuner débat du 12 février 2014Petit-déjeuner Elus locaux : comment protéger votre e-réputation et le nom de votre collectivité ? du 12 février 2014.

Virginie Bensoussan-Brulé et Claudine Salomon animeront un petit-déjeuner débat consacré à l’e-réputation des élus et à la protection du nom d’une collectivité territoriale.

Usurpation d’identité, dénigrement, injure ou diffamation, citations hors contexte, comment lutter contre l’e-médisance des usagers mécontents et des adversaires politiques à quelques semaines des élections municipales ? Comment anticiper ces débordements pour mieux réagir ?

La viralité des réseaux sociaux et l’absence de droit à l’oubli sur internet impose une vigilance de chaque instant car il faut réagir très vite. Au-delà de l’e-réputation des élus, les collectivités territoriales peuvent être, en ce qui les concerne, la cible de pratiques qui portent atteinte à leurs droits.

Le projet de loi relatif à la consommation en cours de discussion va introduire, au bénéfice des collectivités territoriales et établissements intercommunaux, la possibilité de demander à l’Inpi à être alertés en cas de dépôt d’une demande d’enregistrement d’une marque incorporant leur nom. Les collectivités territoriales pourraient ainsi s’opposer à une telle demande avant d’être contraintes d’engager une procédure judiciaire coûteuse.

Ce petit-déjeuner sera l’occasion d’examiner les questions suivantes :

  • Quels sont les recours judiciaires pour gérer l’e-réputation des élus ?
  • Comment intervenir auprès des hébergeurs et fournisseurs d’accès internet ?
  • Comment le nom d’une collectivité territoriale est-il actuellement protégé par le droit ?
  • Quelle est la position des tribunaux ?
  • Quels sont les nouveaux dispositifs à venir et comment les mettre en œuvre ?

Le petit-déjeuner aura lieu de 9h00 à 11h00 (accueil à partir de 8 h 30) dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Participation gratuite (sous réserve des places disponibles). L’enregistrement en ligne est obligatoire pour y assister.





Elections municipales : les collectivités sont-elles bien protégées?

Elections municipales Elections municipales 2014 : les collectivités sont-elles suffisamment protégées pour les affronter ? Les élections municipales ont un impact direct sur la vie quotidienne des français et les thèmes de campagne sont nombreux face à leurs préoccupations (emploi, fiscalité locale, sécurité, logement et autres équipements locaux, etc.).

Déjà les sites fleurissent pour donner la parole aux citoyens, maires sortants et à leurs opposants et détracteurs. Les blogs et les réseaux sociaux sont des outils de communication incontournables pour les élections. Grâce à internet, les plateformes participatives et les forums de discussion deviennent de véritables « tribunes » pour les élections.

Dès lors comment anticiper les débordements qui risquent de se produire ?

La viralité des réseaux sociaux et l’absence de droit à l’oubli sur internet impose une vigilance de chaque instant car il faut réagir très vite. Au-delà de l’e-réputation des élus, les collectivités territoriales peuvent être, en ce qui les concerne, la cible de pratiques qui portent atteinte à leurs droits (Campagne de dénigrement numérique notamment).

Quels sont les recours judiciaires pour gérer l’e-réputation des élus ?

Comment intervenir auprès des hébergeurs et fournisseurs d’accès internet ?

Telles seront quelques unes des questions qui seront abordées lors du petit-déjeuner débat du 12 février 2014 intitulé « Elus locaux : comment protéger votre e-réputation et le nom de votre collectivité ? » et qui sera animé par Virginie Bensoussan-Brulé et Claudine Salomon, dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Participation gratuite (sous réserve des places disponibles). L’enregistrement en ligne est obligatoire pour y assister.




Videosurveillance : Le maire ne peut déléguer la mission de police

Videosurveillance : Le maire ne peut déléguer la mission de policeLa juridiction administrative écarte la possibilité pour des sociétés privées, de surveiller la voie publique par l’intermédiaire d’écrans de vidéosurveillance pour le compte d’une commune, s’agissant d’une mission réservée à la police.

Dans cette affaire, le maire d’une commune a confié à une société privée, la mission d’assurer durant un an, un service « de surveillance, de pilotage et d’alerte de la vidéosurveillance de la ville ». Ce service comportait des missions ayant pour objet, d’une part, de visionner les images « en direct » de plusieurs quartiers de la commune, dont le centre-ville, d’autre part, d’orienter les caméras et de prévenir les forces de l’ordre en cas d’infraction et, enfin, de rédiger des mains courantes. L’Union syndicale professionnelle des policiers municipaux a obtenu du  Tribunal administratif de Grenoble  l’annulation de la décision du maire.

Contrairement à ce que soutenait la commune, le contrat ne se limitait pas à confier à la société privée de vidéosurveillance l’installation et la maintenance des équipements de vidéosurveillance mais lui confiait le soin de visionner les images transmises par les caméras de vidéosurveillance orientées sur la voie publique, impliquant que les agents de la société cocontractante appréciaient si des faits survenus sur la voie publique constituaient ou non une atteinte à l’ordre public et décidaient d’alerter les services susceptibles d’intervenir de manière appropriée pour remédier à la situation.

Selon le tribunal, le contrat confiant à la société privée « la surveillance de la voie publique par l’intermédiaire d’écrans de vidéosurveillance a pour objet de la faire participer à l’exercice même d’une mission de police administrative qui relève de la compétence du maire, qui, par sa nature, ne saurait être déléguée par la commune à une société de surveillance et de gardiennage ».

Rappelons que les sociétés de surveillance et de gardiennage régies par la loi du 12 juillet 1983  ne peuvent se voir confier des tâches de surveillance sur la voie publique, lesquelles relèvent, dans la commune, de la police municipale, aux termes de l’article L. 2212-2 du Code général des collectivités territoriales. Le Conseil d’Etat écarte systématiquement cette possibilité. Il a notamment annulé le contrat par lequel un maire avait chargé une telle société d’assurer la surveillance de sa commune, à raison de trois soirées par semaine, en effectuant des rondes de nuit entre 22 h et 4 h dans la ville, la zone artisanale et la zone commerciale .

 Pour permettre la passation de tels contrats avec des prestataires privés, une modification législative est nécessaire. C’est ce qu’à tenté de faire le législateur avec la loi d’orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI 2) promulguée le 15 mars 2011 . Mais le Conseil Constitutionnel, dans sa décision le 10 mars 2011 , a censuré les dispositions visant à permettre des systèmes de vidéoprotection publique avec visionnage des images par des agents d’opérateurs privés.

Frédéric Forster

____________________

(1)  TA Grenoble, du 17 décembre 2010, n° 0705134.

(2)  Loi n°83-629 du 12 juillet 1983 réglementant les activités privées de sécurité.

(3)  CE, 29 déc. 1997, n° 170606, Commune d’Ostricourt.

(4)  Loi 2011-267 du 14 mars 2011, JO du 15 mars 2011.

(5)  Conseil constitutionnel, Décision 2011-625 DC du 10 mars 2011.