Collectivités : quelles mesures de sécurité pour son téléservice ?

téléservice En mars 2020, l’ANSSI a publié un guide intitulé « sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ». Au sein de ce guide, une fiche de recommandation est consacrée au respect des règles de sécurité lors de l’ouverture d’un téléservice. L’objectif de cette fiche est d’expliciter les obligations mises à la charge des collectivités territoriales, et notamment les mairies, par le RGS dans le cadre de l’ouverture d’un téléservice. La méthodologie mise en place par le RGS s’appuie sur deux piliers : l’approche par les risques et l’amélioration continue. Elle reprend la démarche « plan/do/check/act » proposée notamment par bon nombre de normes ISO.

L’analyse de risques de sécurité

Dès le départ du projet de mise en place d’un téléservice, la collectivité territoriale concernée doit délimiter les contours de ce dernier et procéder à une analyse des risques de sécurité. Elle doit à cette occasion identifier l’écosystème dans lequel évolue le système d’information, le contexte dans lequel il s’inscrit ainsi que les menaces pesant sur la collectivité territoriale. Sur la base de ce constat, elle doit ensuite analyser la vraisemblance, les conséquences ainsi que la criticité de la survenance d’éventuels incidents de sécurité.

A partir de cette analyse, la collectivité territoriale propose un plan d’action ayant pour objet la mise en œuvre de mesures de sécurité (organisationnelles, techniques et/ou contractuelles).

Les objectifs de sécurité

A l’issue de l’analyse de risque, la collectivité territoriale définit des objectifs de sécurité qui doivent couvrir, au minimum les principaux critères de sécurité que sont la disponibilité, l’intégrité et la confidentialité.

La collectivité pourra par exemple définir une politique de sécurité du système d’information, mettre en œuvre un système de journalisation des événements et/ou mettre en place un procédé de signature électronique.

La mise en œuvre des mesures de sécurité

À l’issue de la réalisation de l’analyse de risque, la collectivité territoriale doit mettre en œuvre les mesures de sécurité adéquates pour atteindre les objectifs de sécurité définis. Il existe 4 catégories de mesures à mettre en place :

  • la gouvernance de la sécurité (mise en place d’une politique de sécurité du système d’information, mise en place de responsabilités ou de processus dans le cadre de la gestion de la sécurité…) ;
  • la protection des systèmes d’information (mise en place de mesures de sécurité préventives) ;
  • la défense des systèmes d’information (mise en place d’un processus de gestion des incidents de sécurité par exemple) ;
  • la résilience des systèmes d’information (mise en place d’un plan de continuité d’activité par exemple).

Un guide d’hygiène informatique a été publié par l’ANSSI, afin d’aider notamment les collectivités territoriales à s’assurer qu’aucune thématique liée à la sécurité n’a été omise lors de la mise en œuvre du système d’information.

L’homologation de sécurité du système d’information

Préalablement à la mise en place de tout téléservice, le RGS impose aux collectivités territoriales d’homologuer le téléservice. La décision d’homologation atteste, au nom de la collectivité territoriale, le niveau de protection du téléservice et la maîtrise des risques en termes de sécurité.

Cette décision rendue sur la base de l’analyse d’un dossier d’homologation, doit être accessible aux usagers du téléservice. La décision d’homologation est prononcée pour 5 ans maximum et doit faire l’objet d’une révision à l’expiration de cette durée. Afin d’aider les collectivités territoriales et notamment les mairies dans leur démarche d’homologation, l’ANSSI a publié un guide d’homologation en 9 étapes.

Le suivi opérationnel de la sécurité du système d’information

Enfin, la conformité au RGS impose à la collectivité de mettre en œuvre des dispositifs de surveillance et de détection ; et ce, afin de pouvoir réagir au plus tôt aux incidents de sécurité. Ces dispositifs devront s’accompagner d’audits du système d’information réalisés à intervalles réguliers ; les rapports de ces audits étant notamment des éléments composant le dossier d’homologation.

Sur la base des rapports d’audit et des cas de non-conformité relevés, la collectivité devra en identifier les causes. Elle devra aussi mettre en œuvre un plan d’actions préventives et correctives.

Téléservice et sécurité mais aussi… RGPD

Ces impératifs d’analyse de risque et de sécurité sont en parfaite adéquation avec les exigences de la réglementation applicable. Cette dernière impose de mettre en place des mesures de sécurité adaptées aux risques présentés par les traitements.

Par le biais de leurs téléservices, les collectivités territoriales collectent de nombreuses données personnelles concernant leurs usagers. Un certain nombre d’interconnexions avec d’autres applications ou services peuvent présenter des risques. Un encadrement juridique et technique est alors nécessaire.

Une analyse d’impact (nouvelle obligation issue du RGPD) peut parfois s’avérer nécessaire. Ce type d’exercice poursuit une démarche similaire de gestion des risques (pour les droits et libertés des personnes concernées).

Enfin, il convient de respecter l’ensemble des exigences de la réglementation Informatique et libertés, à savoir, les principes de :

  • finalité,
  • transparence,
  • loyauté,
  • licéité,
  • minimisation.

… sans oublier l’information des personnes concernées et les durées de conservation des données.

Anne Renard
Louis Montecot Grall
Lexing département conformité et certification




Diffamation publique envers un maire : lien avec la fonction

La diffamation publique envers un maire nécessite que soit établi un lien entre les allégations et sa fonction de citoyen chargé d’un service ou d’un mandat public qu’il soit temporaire ou permanent, n’est caractérisée que si les allégations diffamatoires présentent un rapport direct et étroit avec les fonctions ou la qualité de la personne visée.

C’est ce principe qu’a rappelé la chambre criminelle de la Cour de cassation par un arrêt du 15 décembre 2015 (1), en jugeant que « l’article 31 de la loi du 29 juillet 1881, ne punit de peines particulières les diffamations dirigées contre les personnes revêtues des qualités qu’il énonce que lorsque ces diffamations, qui doivent s’apprécier non d’après le mobile qui les ont inspirées ou le but recherché par leur auteur, mais d’après la nature du fait sur lequel elles portent, contiennent la critique d’actes de la fonction ou d’abus de la fonction, ou encore que la qualité ou la fonction de la personne visée a été soit le moyen d’accomplir le fait imputé, soit son support nécessaire ».

Le maire d’une commune avait fait citer directement devant le tribunal correctionnel, du chef de diffamation publique envers un maire, citoyen chargé d’un mandat public, temporaire ou permanent, la personne qui avait publiquement tenu à son encontre les propos suivants : « fils de crapule, le maire est une crapule, il est où le maire que je l’étrangle, D… assassin, incendiaire, voleur, vous n’êtes que des merdes, des sous-merdes, retournez en Corse, il faut leur tirer dessus et ne pas être lâche comme en 40, il faut les dénoncer, il faut les étrangler ».

Faisant droit à une exception présentée par le prévenu, le tribunal a prononcé l’annulation de la citation directe, motif pris de ce que celle-ci ne visait, comme texte réprimant le délit, que l’article 31 de la loi du 29 juillet 1881, et non l’article 30 de ladite loi.

La Cour d’appel de Bordeaux, dans un arrêt du 9 décembre 2011, avait infirmé le jugement et rejeté les exceptions de nullité soulevées pour déclarer le prévenu coupable de diffamation publique envers un citoyen chargé d’un mandat ou d’un service public temporaire ou permanent.

Un premier pourvoi en cassation avait été formé par le prévenu et la chambre criminelle avait cassé, en novembre 2013, l’arrêt de la Cour d’appel de Bordeaux, jugeant qu’il appartient au juge du fond de « préciser en quoi les propos poursuivis comportaient des critiques d’actes de la fonction ou d’abus de la fonction, ou encore établissaient que la qualité ou la fonction de maire avait été, soit le moyen d’accomplir le fait imputé, soit son support nécessaire ».

La chambre criminelle avait néanmoins validé la décision de la Cour d’appel de Bordeaux sur les points suivants :

  • « la citation introductive d’instance délivrée pour diffamation publique envers un citoyen chargé d’un mandat public et visant, comme texte applicable à la poursuite de ce délit, le seul article 31 de la loi du 29 juillet 1881 satisfait aux exigences de l’article 53 de la loi précitée, dès lors que ledit article 31 édicte la peine encourue pour le délit par référence à l’article 30 de la même loi » ;
  • « c’est à bon droit que, pour écarter l’exception de nullité de la citation à comparaître devant la cour d’appel, l’arrêt énonce que, celle-ci étant simplement indicative de la date d’audience, n’était pas soumise aux exigences de l’article 53 de la loi du 29 juillet 1881, dès lors que, contrairement à ce qui est soutenu, cette règle trouve également à s’appliquer lorsque l’annulation de la citation introductive d’instance par le tribunal correctionnel constitue l’objet même de l’appel de la partie civile » (2).

L’affaire avait été renvoyée devant la Cour d’appel de Poitiers qui, par arrêt du 12 juin 2014, a retenu la même solution que la Cour d’appel de Bordeaux, infirmant le jugement de première instance et déclarant le prévenu coupable de diffamation publique envers un maire, citoyen chargé d’un service ou d’un mandat public.

Mettant fin à cette saga judiciaire, la chambre criminelle de la Cour de cassation a, à nouveau, cassé l’arrêt de la Cour d’appel de Poitiers, mais cette fois sans renvoi.

La chambre criminelle, dans son arrêt du 15 décembre 2015, a jugé que :

  • « en matière de presse, il appartient à la Cour de cassation de contrôler le sens et la portée des écrits incriminés, et de vérifier si dans les propos retenus dans la prévention se retrouvent les éléments légaux de la diffamation publique tels qu’ils sont définis par la loi du 29 juillet 1881 » ;
  • « l’article 31 de la loi du 29 juillet 1881, ne punit de peines particulières les diffamations dirigées contre les personnes revêtues des qualités qu’il énonce que lorsque ces diffamations, qui doivent s’apprécier non d’après le mobile qui les ont inspirées ou le but recherché par leur auteur, mais d’après la nature du fait sur lequel elles portent, contiennent la critique d’actes de la fonction ou d’abus de la fonction, ou encore que la qualité ou la fonction de la personne visée a été, soit le moyen d’accomplir le fait imputé, soit son support nécessaire » ;

Elle en a alors déduit qu’en l’espèce, « le fait imputé ne constituait ni un acte, ni un abus de la fonction du maire, et se trouvait dépourvu de tout lien avec ladite fonction » et que, par conséquent, « la diffamation ne concernant que le particulier », le délit de diffamation publique envers un citoyen chargé d’un service ou d’un mandat public n’était pas constitué en l’espèce.

Cet arrêt vient conforter une jurisprudence constante en la matière (3) et rappeler l’importance de la qualification tant des propos poursuivis, que de la personne qu’ils visent.

Les conséquences d’une mauvaise qualification dans l’acte initial de poursuite sont extrêmement lourdes en matière d’infractions de presse, la nullité de l’acte de poursuite entraînant la prescription de l’action publique sur le fondement de l’article 65 de la loi du 29 juillet 1881.

Virginie Bensoussan-Brulé
Chloé Legris
Lexing Presse et pénal numérique

(1) Cass. crim. 15-12-2015 n°14-85118.
(2) Cass. crim. 5-11-2013 n°12-82257.
(3) Voir par exemple Cass. crim. 23-8-1989 n°87-91981.