Obligations et responsabilités des collectivités en matière de cybersécurité

Une donnée personnelle est une information se rapportant à une personne physique identifiée directement (nom, prénom) ou indirectement (numéro de téléphone, numéro de sécurité sociale, adresse…). Au sein des collectivités, ces données peuvent être internes (ressources humaines…) ou externes (état civil, listes électorales, inscriptions scolaires…).

Les collectivités locales sont soumises aux règles relatives à la protection des données personnelles dès lors que les données considérées font l’objet de l’une des opérations suivantes : collecte, enregistrement, stockage, extraction, adaptation ou modification, communication, etc.

C’est le délégué à la protection des données (DPO) qui supervise les questions relatives à la protection des données personnelles, et toute collectivité, qu’elle que soit sa taille, est tenue d’en désigner un.

L’obligation de protection de données personnelle recouvre des mesures techniques et organisationnelles avant la collecte et le traitement des données, mais aussi pendant le traitement de ces données. Il revient aux collectivités locales de mettre en œuvre des mesures de sécurité adaptées aux éventuels risques susceptibles de peser sur les données personnelles (destruction, perte, altération, diffusion ou accès non autorisé, piratage, fuite de données…) et appropriées à la nature des données considérées.

De plus, les collectivités locales et leurs établissements publics sont tenus de ne collecter, utiliser et stocker des données personnelles que dans la mesure où cela est strictement nécessaire, conformément au principe de minimisation. Le traitement de données doit se fonder sur au moins une des bases légales possibles au titre du RGPD (consentement, contrat, obligation légale, mission d’intérêt public, intérêt légitime, etc.).

Enfin, la collectivité doit se préoccuper de la conservation et l’archivage des données personnelles, qui devra être proportionné et en adéquation avec les finalités du traitement. Certaines durées sont fixées par la loi (ex : 5 ans pour les bulletins de paies) et d’autres sont à la libre appréciation du responsable du traitement.

Un téléservice est un guichet d’accueil numérique proposé par une collectivité permettant aux usagers de procéder par voie électronique à des démarches ou formalités administratives (ex : demande de permis de construire, extrait d’état civil, inscription à la cantine scolaire, …).

La mise en œuvre de téléservices locaux impose des obligations aux collectivités locales et à leurs établissements publics. À partir de 5 000 € de recettes annuelles, la mise à disposition de services de paiement en ligne auprès des usagers par les collectivités locales est obligatoire.

Les téléservices offerts par les collectivités doivent satisfaire aux exigences du Référentiel Général de Sécurité (RGS), édicté par le décret n°2010-112 du 2 février 2010.

Le RGS fixe un ensemble de règles de sécurité́ applicable à l’ensemble des collectivités ainsi qu’aux prestataires qui les assistent dans leur démarche de sécurisation de leurs systèmes d’information.

De plus, lorsque le téléservice recourt à certains dispositifs techniques (authentification, chiffrement, signature électronique, etc.), les produits et services utilisés doivent être choisis parmi ceux qualifiés par l’ANSSI (ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf).

La collectivité doit ensuite attester de la conformité de son système d’information par une décision d’homologation prise par l’autorité compétente (assemblée délibérante, directeur d’établissement), qui sera rendue publique. Cette « attestation formelle » garantit ainsi aux usagers que le téléservice respecte la réglementation en matière de protection des données. Elle marque également la prise de conscience et l’engagement pris par l’autorité de gérer les risques et de viser une amélioration continue.

La réglementation relative à l’hébergement des données s’applique aux données de santé recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social.

Les collectivités locales et leurs établissements publics sont doublement concernés par l’hébergement des données de santé : d’une part, au titre de la protection des données personnelles ; d’autre part, au titre d’une réglementation spécifique s’appliquant aux activités consistant à héberger des données de santé, lorsqu’elles sont externalisées auprès d’un tiers.

Définies par le Code de la santé publique de manière précise et exhaustive, ces activités sont fréquemment mises en œuvre par les collectivités locales (centres communaux d’action sociale pour les communes par exemple).

L’hébergement des données de santé peut être assuré directement par l’établissement concerné ou bien externalisé et confié à un prestataire. Dans ce cas, il doit être certifié (esante.gouv.fr/offres-services/hds/liste-des-herbergeurs-certifies).

Les sanctions administratives de la CNIL

Dans l’hypothèse d’une cyberattaque frappant une collectivité locale et occasionnant une fuite de données personnelles, la CNIL pourrait décider de sanctions pécuniaires dès lors qu’elle considérerait que cette fuite de données résulte en partie de manquements graves aux mesures de sécurité nécessaires à la protection des données personnelles.

La responsabilité administrative pour faute

L’application de ce régime de responsabilité pour faute en cas de cyberattaque n’est pas à exclure. Des entreprises ou des administrés pourraient réclamer, auprès d’une collectivité locale ou d’un établissement public, l’indemnisation des préjudices subis du fait des conséquences d’une cyberattaque, s’il peut être établi que les conséquences dommageables de l’attaque sont imputables à des manquements de l’administration dans l’application de la réglementation relative aux systèmes d’information.

Par exemple, le vol de données du téléservice de paiement du centre de loisirs qui conduit à l’utilisation frauduleuse des coordonnées bancaires de plusieurs usagers.

La responsabilité pour dommage de travaux publics

Dans des cas exceptionnels, une cyberattaque de grande ampleur pourrait conduire à la mise en cause de la responsabilité pour dommages de travaux publics d’une collectivité locale si elle entraîne le dysfonctionnement d’une installation ou d’un ouvrage public et que cela occasionne des dommages aux usagers.

Par exemple, une cyberattaque conduit à une panne de signalisation lumineuse d’un carrefour ou d’une voie publique, entraînant un accident.

Un maire, un élu, ou un agent public peut voir sa responsabilité civile engagée sur son patrimoine personnel pour réparer des dommages causés aux tiers. Cela suppose toutefois l’existence d’une faute « détachable du service » (gravité exceptionnelle et qui, de fait, ne peut raisonnablement être rattachée au fonctionnement du service).

Par exemple, un élu procède à l’homologation d’un nouveau téléservice sans que les analyses de sécurité les plus élémentaires aient été mises en œuvre et nonobstant les mises en garde techniques qui lui ont été adressées par l’agent responsable de l’informatique. Une cyberattaque conduit à des fuites de données, notamment des vols de coordonnées bancaires. En application du principe de cumul de responsabilités, la collectivité engage une action récursoire contre l’élu, la gravité de la faute commise par ce dernier dans l’exercice de ses fonctions conduisant à lui imputer une faute personnelle détachable du service.

La mise en cause de la responsabilité́ pénale des agents et élus des collectivités locales et de leurs établissements publics peut résulter de la violation des règles relatives à la protection des données personnelles, mais aussi de la commission de fautes d’imprudence ou de négligence.

Le code pénal réprime les atteintes les plus graves aux règles du RGPD, comme par exemple le fait de procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures destinées à garantir la sécurité des données.

Concernant les fautes d’imprudence ou de négligence, les agents publics ou les élus peuvent faire l’objet de poursuites pénales en cas d’atteinte à l’intégrité physique des personnes. Ainsi, ce régime de responsabilité pénale pourrait s’appliquer à un maire en cas de cyberattaque conduisant à des atteintes aux personnes, s’il s’avère que des manquements graves à la sécurité du Système d’Information l’a rendu particulièrement vulnérable.

Par exemple, dysfonctionnement d’une barrière de parking blessant un usager.