Une poignée de jours après avoir sensibilisé les collectivités territoriales au RGPD avec un Mooc, la Cnil publie cette fois un guide sur les obligations et les responsabilités des collectivités locales en matière de cybersécurité. Accessible à cette adresse, ce document synthétique réalisé conjointement avec Cybermalveillance.gouv.fr a le mérite de rappeler les fondamentaux.
En termes d'obligations tout d'abord, liées à la protection des données personnelles, à la mise en œuvre des téléservices locaux ainsi qu'à l'hébergement des données de santé. S'agissant de la protection des informations privées et sensibles, le guide rappelle que « les collectivités locales sont soumises aux règles relatives à la protection des données personnelles dès lors que les données considérées font l’objet de l’une des opérations suivantes : collecte, enregistrement, stockage, extraction, adaptation ou modification, communication, etc. ». Et également que « pour une collectivité locale, en pratique et en général, le responsable de traitement de données à caractère personnel est son représentant légal : maire, président d’un établissement public de coopération intercommunal (EPCI), directeur d’un établissement (ex : centre hospitalier). Pour chaque traitement opéré, ce dernier est responsable de la conformité de l’ensemble des traitements de sa collectivité à l’égard des principes et obligations prévus par le RGPD (ex : tenue du registre) ».
Attester la conformité de son système d'information
Concernant les téléservices locaux, le document rappelle que le référentiel général de sécurité (RGS) fixe un ensemble de règles de sécurité applicable à l’ensemble des collectivités ainsi qu’aux prestataires qui les assistent dans leur démarche de sécurisation de leurs systèmes d’information. « La collectivité locale ou l’établissement public doit attester de la conformité de son système d’information par une décision d’homologation prise par l’autorité compétente (assemblée délibérante, directeur d’établissement) qui sera rendue publique. Cette décision, dénommée attestation formelle, est prise sur la base d’un dossier technique (ou dossier d’homologation) élaboré préalablement par ses services pour déterminer les fonctionnalités du téléservice, ses risques et les mesures de sécurité envisagées en cas d’incident », rappelle le guide. Enfin, pour ce qui attrait à l'hébergement des données de santé, le guide rappelle que « les activités d’hébergement des données de santé, lorsqu’elles sont réalisées par un prestataire externe, sont soumises à des exigences de certification préalable délivrée par un organisme de certification agréé ».
La responsabilité personnelle des élus et des agents engagée
Les responsabilités des collectivités locales sont aussi abordées par la Cnil et Cybermalveillance. Avec notamment les sanctions possibles, de type administratives, pour faute ou encore pour dommage de travaux publics. « Pour les collectivités ayant commis des manquements graves à ces réglementations, le montant des sanctions pécuniaires susceptibles d’être infligées au responsable de traitement peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires du contrevenant », souligne le rapport. S'agissant de la responsabilité administrative pour faute, « les citoyens peuvent engager la responsabilité de l’administration pour faute lorsque cette dernière a manqué à ses obligations et que le manquement leur a causé un préjudice » peut-on lire dans le guide. Et en cas de dommage pour travaux publics, la responsabilité peut être engagée dès lors qu'elle qu'une cyberattaque entraine un dysfonctionnement d'une installation ou d'un ouvrage public et que cela occasionne des dommages aux usagers.
Les élus et les agents peuvent aussi voir leur responsabilité civile engagée sur leur patrimoine pour réparer des dommages causés à des tiers. « Cela suppose toutefois l’existence d’une faute « détachable du service », qui se trouve caractérisée lorsque les faits reprochés révèlent des préoccupations d’ordre privé, procèdent d’un comportement incompatible avec les obligations qui s’imposent dans l’exercice de fonctions publiques ou revêtent une particulière gravité », prévient toutefois le guide. Enfin, la responsabilité pénale peut aussi être mise en cause, sans compter d'éventuels faits de négligence : « Le Code pénal réprime les atteintes les plus graves aux règles du RGPD. Par exemple, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures destinées à garantir la sécurité des données ou de ne pas tenir de registre des traitements ».