Cybersécurité : obligations et responsabilités des collectivités
Protection des données personnelles, mise en œuvre de téléservices locaux, hébergement des données de santé... Maires de France rappelle les principales règles.
À l’occasion du 104e Congrès des maires, Cybermalveillance.gouv.fr et l’AMF ont publié une méthode «clé en main » destinée à sensibiliser les agents des collectivités, particulièrement exposés aux cybermenaces. Afin de faire progresser le niveau de connaissance, cybermalveillance.gouv.fr a rédigé, en collaboration avec la Commission nationale de l’informatique et des libertés (Cnil), un guide d’information à destination des élus locaux et agents territoriaux.
Cet article en résume les principaux enjeux : respect des différentes réglementations, analyse préalable des risques pesant sur les systèmes d’information et détermination des solutions techniques et organisationnelles. Le lecteur pourra se reporter utilement aux guides mentionnés.
I - La protection des données personnelles
• Définitions : données personnelles, traitement de données…
La gestion de données personnelles, entendues comme des informations se rapportant à une personne physique identifiée ou identifiable directement (nom, prénom…) ou indirectement (numéro de téléphone, plaque d’immatriculation de véhicule, numéro de Sécurité sociale, adresse postale, adresse électronique…), fait l’objet de textes juridiques de référence qui s’appliquent aux collectivités locales et à leurs établissements publics.
Dans le cadre de leurs compétences et de leurs relations avec les administrés, les collectivités locales détiennent en effet nombre de ces données. Elles doivent se plier aux règles relatives à la protection des données personnelles dès lors que les données considérées font l’objet de collecte, enregistrement, stockage, extraction, consultation, adaptation ou modification, communication, etc. Toutes ces opérations relèvent en effet du «traitement » de données à caractère personnel.
Un «traitement » n’est pas nécessairement automatisé : il peut résulter d’une simple liste tenue sur un registre manuel (fichier papier des usagers de la médiathèque, par exemple).
• Principes fondamentaux
Les collectivités locales et leurs établissements publics sont tenus de ne collecter, d’utiliser et de stocker des données personnelles que dans la mesure où cela est strictement nécessaire, conformément au principe dit «de minimisation ».
Le traitement de données doit se fonder sur au moins une des bases légales possibles au titre du RGPD (consentement, contrat, obligation légale, mission d’intérêt public, intérêt légitime, etc.). Les finalités poursuivies par le traitement doivent être explicitées (gestion de la paie, inscription à un service municipal, sur une liste électorale, à l’école, demande de permis de construire, etc.).
• Les obligations de protection des données personnelles pesant sur les collectivités locales
Avant la collecte et toute mise en œuvre d’un traitement
Il faut définir les mesures techniques et organisationnelles appropriées afin de respecter les principes relatifs à la protection des données : finalité explicite et légitime, nécessité de l’exploitation des données, minimisation de leur recueil, définition d’une durée de conservation, respect des droits des personnes concernées, mesures de sécurité adaptées, etc.
De plus, lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le RGPD rend obligatoire une «analyse d’impact relative à la protection des données » (AIPD). Cela concerne notamment les systèmes de vidéosurveillance de la voie publique, l’instruction des demandes de logements sociaux, la prise en charge des personnes par les établissements de santé ou médico-sociaux…
Pendant le traitement des données
Il faut mettre en œuvre des procédures démontrant le respect des règles relatives à la protection des données et des mesures de sécurité «adaptées » aux risques (destruction, perte, altération, diffusion ou accès non autorisé, piratage, fuite de données) et «appropriées » à la nature des données considérées.
Concrètement, les mesures les plus élémentaires requises dans la quasi-totalité des cas sont : la sécurisation des postes de travail (antivirus, etc.), des éléments réseau (pare-feu, proxy, etc.), la mise à jour régulière et suivie des systèmes et logiciels utilisés, des sauvegardes régulières et testées, un système d’authentification fiable et robuste des utilisateurs, le chiffrement des flux réseau à travers internet (par https) et des supports de stockage (notamment ordinateurs portables et clés USB), la définition d’une politique d’habilitation pour limiter les accès aux données, la mise en place de journaux de connexion et leur supervision afin de détecter une compromission.
• Conserver et archiver les données
La durée de conservation des données doit être proportionnée, en adéquation avec les finalités du traitement. Elle doit être inscrite dans le registre du délégué à la protection des données (DPO, lire ci-contre) pour chacun des traitements concernés.
• Alerter en cas de violation de données personnelles
Toute atteinte aux données personnelles présentant un risque pour les droits et libertés des personnes concernées doit être signalé à la Cnil sous 72 heures. C’est le cas d’une panne accidentelle de serveur conduisant à la destruction de fichiers de demande d’inscription à un service, d’une cyberattaque conduisant à une fuite d’informations bancaires d’usagers ou à une perte de confidentialité des données.
Les personnes concernées doivent être informées si les risques sont élevés : en cas de doute sur le niveau de risque, la Cnil peut être consultée.
II - Les enjeux spécifiques des téléservices locaux
Les téléservices recouvrent les services offerts par des moyens de communication électronique permettant aux usagers de formuler une demande en vue d’obtenir une prestation, faire une déclaration, solliciter une autorisation, télépayer un service. Ils doivent satisfaire aux exigences du référentiel général de sécurité (RGS, décret n° 2010-112 du 2 février 2010).
Les produits et services utilisés pour mettre en place le système d’information doivent être choisis parmi ceux qualifiés par l’Agence nationale de la sécurité des systèmes d’information (Anssi) : le recours à ces produits de sécurité et/ou prestataires de confiance (PSCO) est requis pour toute prestation visant à assurer la certification électronique (signature électronique…), l’horodatage et l’audit de sécurité des systèmes d’information.
La collectivité locale doit en outre attester de la conformité de son système d’information par une décision d’homologation prise par l’autorité compétente (assemblée délibérante, directeur d’établissement) qui sera rendue publique.
Cette décision, dénommée «attestation formelle », est prise sur la base d’un dossier d’homologation élaboré préalablement par ses services pour déterminer les fonctionnalités du téléservice, ses risques et les mesures de sécurité envisagées en cas d’incident.
L’attestation formelle, prise pour une durée limitée, engage la collectivité qui garantit ainsi aux usagers que le téléservice respecte la réglementation en matière de protection des données.
Une fois le téléservice mis en place, le RGS impose un maintien en condition opérationnelle pour assurer la protection du système d’information, sa surveillance, détecter les anomalies et réagir aux incidents de sécurité.
III - Le cas particulier de l’hébergement des données de santé
Outre les obligations au titre de la protection des données personnelles, une réglementation spécifique s’applique aux activités consistant à héberger des données de santé, lorsqu’elles sont externalisées. L’hébergement des données de santé par un prestataire externe est en effet soumis à une exigence de certification de ce dernier.
Les centres hospitaliers, groupements de coopération sanitaires ou EPCI sont soumis à cette certification lorsqu’ils réalisent des activités d’hébergement pour le compte d’autres collectivités ou établissements. L’audit de certification auquel est soumis l’hébergeur doit permettre de vérifier le respect de plusieurs normes garantissant la protection des données.
Toute collectivité locale ou établissement public local, quelle que soit sa taille, est tenu de désigner un délégué à la protection des données (DPO) qui doit pouvoir exercer en toute indépendance et à l’abri des conflits d’intérêts.
Ce délégué peut être un agent de la collectivité ou un conseil externe désigné dans le cadre d’un contrat de prestation de service. Ni un élu, ni un secrétaire de mairie, ni un DGS, ni un chef du service informatique ne peut exercer la fonction, du fait du risque de conflit d’intérêts.
Un DPO peut être mutualisé par plusieurs collectivités. Le maire reste le seul responsable des traitements de données de la collectivité : le DPO ne peut être mis en cause en cas d’éventuels manquements.
• Un élu ou un agent public peut voir sa responsabilité civile engagée sur son patrimoine personnel pour réparer des dommages causés aux tiers, si l’existence d’une faute «détachable du service » est établie.
Elle est caractérisée lorsque les faits reprochés révèlent de préoccupations d’ordre privé, procèdent d’un comportement incompatible avec les obligations s’imposant dans l’exercice de fonctions publiques ou relèvent une particulière gravité.
• La responsabilité pénale d’un élu et d’un agent peut résulter de la violation des règles relatives à la protection des données personnelles (le Code pénal réprime les atteintes les plus graves aux règles du RGPD) ou de la commission de fautes d’imprudence ou de négligence (qui peuvent trouver à s’appliquer juridiquement au cas d’une cyberattaque conduisant à des atteintes aux personnes).
• Guide cybermalveillance.gouv.fr et Cnil «Obligations et responsabilités des collectivités locales en matière de cybersécurité » : www.cnil.fr
• Guide cybermalveillance.gouv.fr «Méthode clé en main pour sensibiliser les agents des collectivités à la cybersécurité »
• Guide de la Cnil sur la sécurité des données personnelles
• Guide de l’ANSSI : «L’essentiel de la réglementation sur la sécurité numérique des collectivités territoriales » : www.ssi.gouv.fr (rubrique Administration/Bonnes pratiques).
À lire aussi :
- Cybersécurité : comment les collectivités se prémunisent
- Adopter les bons réflexes en cas de cyberattaque
- Protection des données : désigner et mutualiser le délégué
- Hameçonnage, rançongiciel, piratage : les collectivités restent des cibles privilégiées en 2022 (Maire info du 24 mars 2023)
Consulter aussi notre dossier " Cybersécurité : les outils pratiques "
Suivez Maires de France sur Twitter: @Maires_deFrance
Cet article a été publié dans l'édition :
- AMF 66 - Une nouvelle directrice
- SDIS. De nouvelles pistes de financement
- Livret A : la hausse du taux d'intérêt met des communes en grave difficulté
- Santé. Assurer la permanence des soins
- Électricité. Le bouclier tarifaire bientôt étendu ?
- EPCI : quelle répartition des sièges de conseillers communautaires ?
- Rénovation énergétique et bâtiments publics : un tiers financement expérimenté
- Le Sénat renforce les dispositifs anti-squat
- Échanges avec les AD d'Outre-mer
- AMF 43 - Premier Salon le 16 juin 2023
- ADM 64 - Guide sur le logement
- Financement des jumelages : appel à propositions
- Ruralité : les chiffres clés de l'Observatoire européen
- Fêter l'Europe en mai !
- La France rappelée à l'ordre sur la qualité de l'eau potable
- La châtaigne des Cévennes en AOP
- Faire face à la demande de foncier économique
- La Mayenne personnalise ses solutions santé
- Quand l'intercommunalité favorise une politique RH volontariste
- Démographie : les chiffres clés des EPCI
- Eau et assainissement : préparer le transfert d'ici à 2026
- Tout savoir sur les finances locales
- Fiscalité : répartition des IFER photovoltaïques
- Quelles dispositions budgétaires sont-elles prévues pour les communes nouvelles en 2023 ?
- Le bilan mitigé de la dématérialisation
- L'accessibilité des écoles ne se résume pas au bâti!
- Pays voironnais. Former des élus isérois à la santé mentale
- Annonay Rhône Agglo relie toutes ses bibliothèques
- Albertville refuse l'implantation d'une école privée hors contrat
- Pourquoi et comment utiliser des logiciels libres
- Qualité de l'air intérieur : appliquer le nouveau cadre réglementaire
- Le rôle du maire dans l'annonce d'un décès
- Travailler avec Météo France
- Mobilité. Anticiper la fin des moteurs thermiques
- Cybersécurité : obligations et responsabilités des collectivités
- Bouclier tarifaire pour l'électricité : envoyer l'attestation au fournisseur avant le 31 mars 2023
- Urssaf : attention, erreurs !
- Retrait-gonflement des argiles : indemnisation
- Stationnement payant : collecte des plaques d'immatriculation
- Retraite des élus avocats
- Poteaux électriques : convention d'utilisation
- Plan communal de sauvegarde : l'échéance est fixée
- Commerce. Mise en place du bail réel solidaire pour les locaux d'activité
- Biodiversité. La libre circulation des animaux sauvages est désormais facilitée
- Environnement : un additif à l'instruction sur les projets de territoire pour la gestion de l'eau
- Covid-19 : quelle est l'évolution du dispositif de prise en charge des agents publics ?
- Quelles sont les règles sur le service minimum dans les écoles en cas de grève ?
- Les collectivités peuvent-elles moduler le montant du forfait mobilité durable ?
- Élections. Des aménagements pour le bon déroulement des prochaines sénatoriales
- Agressions. Quelles suites pour les maires victimes ?
- Retraite des élu(e) locaux. Quels régimes ?
- Le maire et le sifflement
Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).