Le risque ne faiblit pas. Dans son analyse des cyberattaques en 2023, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) assure que « le niveau de la menace informatique continue d’augmenter ». Elle précise que « les attaquants réputés liés à la Chine, à la Russie et à l’écosystème cybercriminel constituent les trois principales menaces tant pour les systèmes d’information français les plus critiques que pour l’écosystème national de manière systémique ».
Les collectivités locales représentent une cible privilégiée. Elles regroupent par exemple 24 % des victimes d’attaque par rançongiciel en 2023 et doivent faire face à « une hausse du nombre d’incidents ».
La responsabilité des collectivités peut être engagée
Les conséquences de ces cyberattaques sont multiples pour les collectivités locales, comme le rappellent les pouvoirs publics et la CNIL (Commission nationale de l’informatique et des libertés) : « systèmes d’information bloqués, vol de données personnelles, missions de service public interrompues, etc ». Ces agressions peuvent par ailleurs engager la responsabilité juridique des collectivités mais aussi de leurs agents sur le plan administratif, civil ou pénal.
Pour limiter ces risques, les collectivités locales et leurs établissements publics sont tenus à différentes obligations concernant la protection des données personnelles, la sécurisation des téléservices locaux et celle de l’hébergement des données de santé.
« Les objectifs poursuivis par le traitement des données personnelles doivent être clairement explicités »
Protéger les données personnelles
Première obligation : la protection des données personnelles. Les collectivités locales possèdent un grand nombre de ces données (nom, numéro de téléphone, numéro de sécurité sociale, photographie…) pour un usage interne (ressources humaines, vidéosurveillance…) ou externe (listes électorales, inscription scolaire…). Si celles-ci sont traitées (collecte, enregistrement, stockage…), elles doivent être protégées, en conformité avec le RGPD (Règlement général sur la protection des données).
Que recouvre cette obligation ? Avant la collecte ou le traitement, des mesures techniques et organisationnelles de protection doivent être prises afin de respecter les principes relatifs à la protection des données (minimiser leur recueil, définir une finalité explicite et légitime, envisager des mesures de sécurité adaptées etc). Lors de traitements considérés à risque (vidéosurveillance sur la voie publique, instruction des demandes de logement social…), une analyse de l’impact des opérations envisagées doit par ailleurs être menée.
Pendant le traitement, les mesures de sécurité adaptées doivent être prises. Les objectifs poursuivis par le traitement des données doivent, en outre, être clairement explicités. De même, « les collectivités (…) sont tenues de ne collecter, d’utiliser et de stocker des données personnelles que dans la mesure où cela est strictement nécessaire », précise la CNIL. Enfin, la durée de conservation et d’archivage des données doit être « proportionnée, en adéquation avec les finalités du traitement et être inscrite dans le registre du délégué à la protection des données pour chacun des traitements concernés », indique la CNIL.
« La durée de conservation et d’archivage des données doit être proportionnée et en adéquation avec les finalités du traitement »
Sécuriser les téléservices locaux
Deuxième obligation pour les collectivités locales : la sécurisation des téléservices locaux qui permettent de réaliser des démarches administratives (demande de permis de construire…) par voie électronique. Elles doivent, pour ce faire, satisfaire aux exigences du Référentiel général de sécurité (RGS) : réalisation d’une analyse des risques, définition des objectifs de sécurité, etc.
De même, « les produits et services utilisés pour mettre en place leur système d’information doivent être choisis parmi ceux qualifiés par l’ANSSI ». Un cas particulier : si le téléservice nécessite une identification, une authentification ou une signature électronique des usagers, il devra respecter les spécifications techniques de l’eIDAS (règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques au sein de l’Union européenne), afin d’être accessible à l’ensemble des ressortissants de l’Union.
Enfin, les collectivités doivent prendre des mesures en lien avec l’hébergement des données de santé. Celles-ci sont recueillies lors d’activité de prévention, de diagnostic, de soins ou de suivi social ou médico-social (radios, résultats de laboratoire, comptes-rendus médicaux…). La CNIL précise que lorsqu’il est réalisé par un prestataire externe, cet hébergement doit être soumis à « des exigences de certification préalable délivrée par un organisme de certification agréé. » Une certification qui est également imposée aux EPCI (Etablissements publics de coopération intercommunale) lorsqu’ils réalisent des activités d’hébergement pour le compte d’autres collectivités ou établissements.
