Cybersécurité : obligations et responsabilités des collectivités

© AdobeStock

I - La protection des données personnelles
 

• Définitions : données personnelles, traitement de données…

La gestion de données personnelles, entendues comme des informations se rapportant à une personne physique identifiée ou identifiable directement (nom, prénom…) ou indirectement (numéro de téléphone, plaque d’immatriculation de véhicule, numéro de Sécurité sociale, adresse postale, adresse électronique…), fait l’objet de textes juridiques de référence qui s’appliquent aux collectivités locales et à leurs établissements publics.

Dans le cadre de leurs compétences et de leurs relations avec les administrés, les collectivités locales détiennent en effet nombre de ces données. Elles doivent se plier aux règles relatives à la protection des données personnelles dès lors que les données considérées font l’objet de collecte, enregistrement, stockage, extraction, consultation, adaptation ou modification, communication, etc. Toutes ces opérations relèvent en effet du «traitement » de données à caractère personnel.

Un «traitement » n’est pas nécessairement automatisé : il peut résulter d’une simple liste tenue sur un registre manuel (fichier papier des usagers de la médiathèque, par exemple).

• Principes fondamentaux

Les collectivités locales et leurs établissements publics sont tenus de ne collecter, d’utiliser et de stocker des données personnelles que dans la mesure où cela est strictement nécessaire, conformément au principe dit «de minimisation ».

Le traitement de données doit se fonder sur au moins une des bases légales possibles au titre du RGPD (consentement, contrat, obligation légale, mission d’intérêt public, intérêt légitime, etc.). Les finalités poursuivies par le traitement doivent être explicitées (gestion de la paie, inscription à un service municipal, sur une liste électorale, à l’école, demande de permis de construire, etc.).

• Les obligations de protection des données personnelles pesant sur les collectivités locales

Avant la collecte et toute mise en œuvre d’un traitement

Il faut définir les mesures techniques et organisationnelles appropriées afin de respecter les principes relatifs à la protection des données : finalité explicite et légitime, nécessité de l’exploitation des données, minimisation de leur recueil, définition d’une durée de conservation, respect des droits des personnes concernées, mesures de sécurité adaptées, etc.

De plus, lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le RGPD rend obligatoire une «analyse d’impact relative à la protection des données » (AIPD). Cela concerne notamment les systèmes de vidéosurveillance de la voie publique, l’instruction des demandes de logements sociaux, la prise en charge des personnes par les établissements de santé ou médico-sociaux…

Pendant le traitement des données

Il faut mettre en œuvre des procédures démontrant le respect des règles relatives à la protection des données et des mesures de sécurité «adaptées » aux risques (destruction, perte, altération, diffusion ou accès non autorisé, piratage, fuite de données) et «appropriées » à la nature des données considérées.

Concrètement, les mesures les plus élémentaires requises dans la quasi-totalité des cas sont : la sécurisation des postes de travail (antivirus, etc.), des éléments réseau (pare-feu, proxy, etc.), la mise à jour régulière et suivie des systèmes et logiciels utilisés, des sauvegardes régulières et testées, un système d’authentification fiable et robuste des utilisateurs, le chiffrement des flux réseau à travers internet (par https) et des supports de stockage (notamment ordinateurs portables et clés USB), la définition d’une politique d’habilitation pour limiter les accès aux données, la mise en place de journaux de connexion et leur supervision afin de détecter une compromission.

• Conserver et archiver les données

La durée de conservation des données doit être proportionnée, en adéquation avec les finalités du traitement. Elle doit être inscrite dans le registre du délégué à la protection des données (DPO, lire ci-contre) pour chacun des traitements concernés.

• Alerter en cas de violation de données personnelles

Toute atteinte aux données personnelles présentant un risque pour les droits et libertés des personnes concernées doit être signalé à la Cnil sous 72 heures. C’est le cas d’une panne accidentelle de serveur conduisant à la destruction de fichiers de demande d’inscription à un service, d’une cyber­attaque conduisant à une fuite d’informations bancaires d’usagers ou à une perte de confidentialité des données.

Les personnes concernées doivent être informées si les risques sont élevés : en cas de doute sur le niveau de risque, la Cnil peut être consultée.

II - Les enjeux spécifiques des téléservices locaux

Les téléservices recouvrent les services offerts par des moyens de communication électronique permettant aux usagers de formuler une demande en vue d’obtenir une prestation, faire une déclaration, solliciter une autorisation, télépayer un service. Ils doivent satisfaire aux exigences du référentiel général de sécurité (RGS, décret n° 2010-112 du 2 février 2010).

Les produits et services utilisés pour mettre en place le système d’information doivent être choisis parmi ceux qualifiés par l’Agence nationale de la sécurité des systèmes d’information (Anssi) : le recours à ces produits de sécurité et/ou prestataires de confiance (PSCO) est requis pour toute prestation visant à assurer la certification électronique (signature électronique…), l’horodatage et l’audit de sécurité des systèmes d’information.

La collectivité locale doit en outre attester de la conformité de son système d’information par une décision d’homologation prise par l’autorité compétente (assemblée délibérante, directeur d’établissement) qui sera rendue publique.

Cette décision, dénommée «attestation formelle », est prise sur la base d’un dossier d’homologation élaboré préalablement par ses services pour déterminer les fonctionnalités du téléservice, ses risques et les mesures de sécurité envisagées en cas d’incident.

L’attestation formelle, prise pour une durée limitée, engage la collectivité qui garantit ainsi aux usagers que le téléservice respecte la réglementation en matière de protection des données.

Une fois le téléservice mis en place, le RGS impose un maintien en condition opérationnelle pour assurer la protection du système d’information, sa surveillance, détecter les anomalies et réagir aux incidents de sécurité.

III - Le cas particulier de l’hébergement des données de santé

Outre les obligations au titre de la protection des données personnelles, une réglementation spécifique s’applique aux activités consistant à héberger des données de santé, lorsqu’elles sont externalisées. L’hébergement des données de santé par un prestataire externe est en effet soumis à une exigence de certification de ce dernier.

Les centres hospitaliers, groupements de coopération sanitaires ou EPCI sont soumis à cette certification lorsqu’ils réalisent des activités d’hébergement pour le compte d’autres collectivités ou établissements. L’audit de certification auquel est soumis l’hébergeur doit permettre de vérifier le respect de plusieurs normes garantissant la protection des données.

À lire aussi :

• Cybersécurité : comment les collectivités se prémunisent
• Adopter les bons réflexes en cas de cyberattaque
• Protection des données : désigner et mutualiser le délégué
• Hameçonnage, rançongiciel, piratage : les collectivités restent des cibles privilégiées en 2022 (Maire info du 24 mars 2023)

Consulter aussi notre dossier " Cybersécurité : les outils pratiques "

Suivez Maires de France sur Twitter: @Maires_deFrance