Bibliographies

La Cnil publie un guide pour les collectivités locales

La Cnil publie un guide pour les collectivités locales
Le guide est en téléchargement libre sur le site de la CNIL.

La Cnil et Cybermalveillance.gouv.fr publient un guide pratique destiné aux collectivités locales pour les aider dans leur lutte contre les cybermenaces en leur rappelant à la fois leurs obligations et leurs responsabilités.

PublicitéUne poignée de jours après avoir sensibilisé les collectivités territoriales au RGPD avec un Mooc, la Cnil publie cette fois un guide sur les obligations et les responsabilités des collectivités locales en matière de cybersécurité. Accessible à cette adresse, ce document synthétique réalisé conjointement avec Cybermalveillance.gouv.fr a le mérite de rappeler les fondamentaux. 

En termes d'obligations tout d'abord, liées à la protection des données personnelles, à la mise en oeuvre des téléservices locaux ainsi qu'à l'hébergement des données de santé. S'agissant de la protection des informations privées et sensibles, le guide rappelle que « les collectivités locales sont soumises aux règles relatives à la protection des données personnelles dès lors que les données considérées font l'objet de l'une des opérations suivantes : collecte, enregistrement, stockage, extraction, adaptation ou modification, communication, etc. ». Et également que « pour une collectivité locale, en pratique et en général, le responsable de traitement de données à caractère personnel est son représentant légal : maire, président d'un établissement public de coopération intercommunal (EPCI), directeur d'un établissement (ex : centre hospitalier). Pour chaque traitement opéré, ce dernier est responsable de la conformité de l'ensemble des traitements de sa collectivité à l'égard des principes et obligations prévus par le RGPD (ex : tenue du registre) ».

Attester la conformité de son système d'information

Concernant les téléservices locaux, le document  rappelle que le référentiel général de sécurité (RGS) fixe un ensemble de règles de sécurité applicable à l'ensemble des collectivités ainsi qu'aux prestataires qui les assistent dans leur démarche de sécurisation de leurs systèmes d'information. « La collectivité locale ou l'établissement public doit attester de la conformité de son système d'information par une décision d'homologation prise par l'autorité compétente (assemblée délibérante, directeur d'établissement) qui sera rendue publique. Cette décision, dénommée attestation formelle, est prise sur la base d'un dossier technique (ou dossier d'homologation) élaboré préalablement par ses services pour déterminer les fonctionnalités du téléservice, ses risques et les mesures de sécurité envisagées en cas d'incident », rappelle le guide. Enfin, pour ce qui attrait à l'hébergement des données de santé, le guide rappelle que « les activités d'hébergement des données de santé, lorsqu'elles sont réalisées par un prestataire externe, sont soumises à des exigences de certification préalable délivrée par un organisme de certification agréé ».

Publicité La responsabilité personnelle des élus et des agents engagée

Les responsabilités des collectivités locales sont aussi abordées par la Cnil et Cybermalveillance. Avec notamment les sanctions possibles, de type administratives, pour faute ou encore pour dommage de travaux publics. « Pour les collectivités ayant commis des manquements graves à ces réglementations, le montant des sanctions pécuniaires susceptibles d'être infligées au responsable de traitement peut s'élever jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires du contrevenant », souligne le rapport. S'agissant de la responsabilité administrative pour faute, « les citoyens peuvent engager la responsabilité de l'administration pour faute lorsque cette dernière a manqué à ses obligations et que le manquement leur a causé un préjudice » peut-on lire dans le guide. Et en cas de dommage pour travaux publics, la responsabilité peut être engagée dès lors qu'elle qu'une cyberattaque entraîne un dysfonctionnement d'une installation ou d'un ouvrage public et que cela occasionne des dommages aux usagers.

Les élus et les agents peuvent aussi voir leur responsabilité civile engagée sur leur patrimoine pour réparer des dommages causés à des tiers. « Cela suppose toutefois l'existence d'une faute « détachable du service », qui se trouve caractérisée lorsque les faits reprochés révèlent des préoccupations d'ordre privé, procèdent d'un comportement incompatible avec les obligations qui s'imposent dans l'exercice de fonctions publiques ou revêtent une particulière gravité », prévient toutefois le guide. Enfin, la responsabilité pénale peut aussi être mise en cause, sans compter d'éventuels faits de négligence : « Le Code pénal réprime les atteintes les plus graves aux règles du RGPD. Par exemple, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures destinées à garantir la sécurité des données ou de ne pas tenir de registre des traitements ».

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis