Cybersécurité : quelle responsabilité pour les élus ?

Les cyberattaques contre les collectivités territoriales en France se multiplient à un rythme alarmant. Parmi les récentes attaques, plusieurs communes françaises ont dû faire face à des paralysies de services pendant plusieurs jours, affectant la gestion des systèmes administratifs, les portails numériques, ou encore les infrastructures critiques comme les hôpitaux et les écoles.  

Les élus et agents publics ont la responsabilité de veiller à la continuité des services publics en garantissant la sécurité des systèmes d'information. Or, avec la numérisation des services essentiels des collectivités qui sont nécessaires à la vie des citoyens, la responsabilité en matière de cybersécurité qui incombe à l'administration et aux élus s'intensifie considérablement : une cyberattaque entrainant des coupures d'eau, d'électricité ou de transports pourraient menacer directement la sécurité publique et la continuité des services vitaux sur lesquels repose la société. Pourtant, malgré la recrudescence des cyberattaques, de nombreux obstacles demeurent quant à la prise de conscience des risques numériques dans les collectivités. Il semble donc nécessaire de rappeler les risques, les obligations et les responsabilités qui reposent sur les collectivités et également sur les élus et les agents publics. 

1. A quels risques cyber peuvent être confrontées les collectivités ?

a) Une augmentation des attaques sur les collectivités 

Les collectivités territoriales sont devenues des cibles privilégiées des cybercriminels en raison de leurs ressources limitées en cybersécurité. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a relevé une augmentation de 300% des incidents signalés par les collectivités entre 2020 et 2021 et ces chiffres ne font qu’augmenter. 

Parmi les cybermenaces les plus fréquentes à l’encontre des collectivités figurent les ransomwares (ou rançongiciels), qui chiffrent les données ou bloquent l'accès aux systèmes en échange d'une rançon, paralysant les services publics pendant plusieurs jours voire semaines. Les attaques par déni de service distribué (DDOS), consistant à inonder un système de requêtes jusqu’à le rendre inutilisable se multiplient également, notamment dans un contexte géopolitique instable. Enfin, les fuites et destructions de données sont particulièrement préoccupantes pour les collectivités territoriales car elles exposent les citoyens à des risques de fraude et d’usurpation d’identité. Pour donner des exemples chiffrés, fin 2023, 40% des conséquences d’une cyberattaque sur une collectivité consistaient en une interruption des activités et/ou des services, 20% une destruction de données et 14% un vol de données.   

b) Le risque cyber mis de côté par les collectivités 

Malgré cette augmentation des risques, de nombreuses collectivités territoriales continuent de sous-estimer la gravité des cybermenaces. Selon une étude réalisée par Cybermalveillance.gouv.fr en 2022, les collectivités de moins de 3 500 habitants, qui représentent 91 % des communes en France, rencontrent encore de nombreux freins en matière de cybersécurité. Parmi les obstacles fréquemment cités, on retrouve : 

• Le manque de priorisation budgétaire, 

• L'absence de prise de conscience des risques.

Seulement 42% des collectivités s’estimaient exposées aux risques de cyber attaques en 2023, et parmi elles, seuls 14% indiquaient être prêtes en cas d’attaque. Pourtant, toutes les collectivités peuvent être exposées à un risque cyber et les conséquences, au-delà d’une perte de données, peuvent mettre en danger les citoyens. Une modification malveillante des données d’un capteur d’eau permettrait par exemple de modifier l’affichage du volume d’eau potable, pouvant provoquer un manque d’approvisionnement et/ou une panique dans les communes concernées.  

2. Quelle sont les obligations des collectivités en matière de cybersécurité ?

a. La sécurité des systèmes avec la directive NIS 2  

La directive NIS 2 vise à renforcer le cadre européen de cybersécurité en harmonisant les règles et en augmentant les exigences pour les entités des secteurs critiques. Parmi ces entités, les collectivités territoriales sont directement concernées : elles doivent désormais adopter des mesures strictes pour sécuriser leurs systèmes d'information, dans la mesure où elles ont en charge de services essentiels comme la gestion de l'eau, de l'énergie, des transports, ou encore des services publics numériques. 

Le cadre imposé par NIS 2 inclut des obligations techniques, organisationnelles et juridiques que les collectivités doivent suivre, comme la gestion des risques cyber et la déclaration des incidents. Cette réglementation vise à garantir la continuité des services publics essentiels et à renforcer la résilience des infrastructures critiques assurant ainsi la sécurité des citoyens et la stabilité des fonctions vitales des collectivités. 

b) La protection des données personnelles avec le RGPD  

Le Règlement général sur la protection des données (RGPD) impose aux collectivités territoriales, comme à toute organisation, des obligations strictes en matière de gestion des données personnelles. Parmi ces obligations, on retrouve :  

• La collecte licite et transparente,

• La minimisation des données ,

• La sécurité des données ,

• La conservation limitée ,

• Le traitement des demandes d’exercice de droits des individus .

Les collectivités sont ainsi responsables de la protection des informations qu'elles traitent, et à ce titre, elles doivent désigner un délégué à la protection des données (DPO) pour superviser leur conformité au RGPD. Sa nomination peut se faire en interne, avec un agent formé à la réglementation, ou être externalisée à un prestataire. Le DPO a pour missions principales de : 

• Assurer la conformité des traitements de données au RGPD,

• Conseiller la collectivité sur les bonnes pratiques à suivre,

• Former les agents sur les enjeux de la protection des données,

• Veiller au respect des droits des citoyens.

En pratique, que les collectivités fassent le choix de mutualiser leur DPO ou d’ajouter cette mission à des élus ou agents publics ayant d’ores et déjà des fonctions dans la collectivité, la charge de travail et les risques encourus sont souvent sous-évalués. Cela peut ainsi engendrer des risques pour la sécurité de la collectivité, la protection des données des citoyens, mais aussi pour la responsabilité personnelle du DPO. 

c) La sécurité des téléservices locaux avec le RGS 

Les communes sont de plus en plus amenées à mettre en place des téléservices (services administratifs accessibles en ligne), permettant aux citoyens d'effectuer diverses démarches à distance, comme la demande d'actes d'état civil ou le paiement de taxes territoriales. Cependant, ces téléservices requièrent une gestion rigoureuse des données personnelles et une sécurité renforcée pour protéger les informations sensibles des usagers. 

A cet effet, le Référentiel Général de Sécurité (RGS) s'applique à ces téléservices. Ce cadre réglementaire impose des normes pour garantir la sécurité des systèmes d'information des administrations publiques, y compris les collectivités. Concrètement, le RGS oblige les communes à mettre en place des mesures de sécurité adaptées, telles que le chiffrement des données, l’authentification forte des utilisateurs et une gestion maîtrisée des accès des utilisateurs.  

3. Les responsabilités des différents acteurs 

a. La responsabilité administrative de la collectivité  

Les collectivités territoriales peuvent être tenues pour responsables sur le plan administratif lorsqu'elles manquent à leurs obligations, notamment en matière de cybersécurité. Par exemple, si une commune ne sécurise pas suffisamment son système de téléservices et qu'une fuite de données personnelles survient, elle pourrait être poursuivie pour cette négligence. Les citoyens concernés seraient alors en droit de demander réparation pour l'atteinte à la protection de leurs informations privées.  

A cela s’ajoute la responsabilité de la collectivité au regard des exigences de la directive NIS 2. En cas de manquement à ces obligations, elles s’exposent à des sanctions importantes proportionnelles aux dommages causés, avec des amendes pouvant aller jusqu'à 2 % du chiffre d'affaires annuel mondial pour les entités essentielles. Il semble nécessaire d’indiquer, que dans de telles situations, la responsabilité de la collectivité n’est pas que pécuniaire : l’absence de mise en place de mesures de sécurité privant une commune d’accès à l’eau ou à des infrastructures critiques pourrait mettre en danger les personnes concernées. 

De plus, la Commission Nationale de l’Informatique et des Libertés (CNIL) est compétente pour infliger des sanctions administratives en cas de non-respect du RGPD. Par exemple, une mairie qui ne sécurise pas correctement les données collectées via ses formulaires en ligne ou qui ne désigne pas de DPO pourrait se voir infligé une amende. Pour rappel, la CNIL peut prononcer une amende administrative allant de 20 000 € dans le cadre de la procédure de sanction simplifiée et une amende de 20 000 000 € ou 4% du chiffre d’affaires annuel mondial pour les manquements les plus graves. 

Enfin, la responsabilité d’une collectivité peut être engagée en cas de préjudices causés par des dommages aux travaux publics. Ce type de responsabilité peut désormais théoriquement s’appliquer aux obligations de cybersécurité qui reposent sur les collectivités. Par exemple, si des infrastructures publiques, telles que des réseaux électriques ou des systèmes de gestion d'eau, sont attaquées en raison d’une défaillance dans la cybersécurité de la collectivité, cette dernière pourrait être tenue pour responsable des interruptions de service ou des dégâts matériels. 

b) La responsabilité des élus et des agents publics 

En plus d’engager la responsabilité de la collectivité, il est possible que la responsabilité personnelle des élus et des agents publics soit engagée pour des manquements en matière de cybersécurité.  

Sur le plan pénal, les élus et agents publics peuvent être tenus pour responsables en cas de manquement grave. L’article 226-16 du Code pénal prévoit des sanctions pour la violation des règles de protection des données personnelles. Si un élu ou un agent public ne met pas en place les mesures nécessaires pour sécuriser les données des citoyens, il peut être sanctionné. Ainsi, un agent public responsable de la protection des données personnelles de sa commune qui ne respecte pas les obligations du RGPD pourrait encourir jusqu'à cinq ans d'emprisonnement et 300 000 € d’amende. 

Il est aussi possible que leur responsabilité soit engagée sur le fondement de l’article 121-3 du Code pénal pour négligence ou imprudence. Par exemple, un maire qui n’a pas pris les mesures de cybersécurité nécessaires pour prévenir une attaque de type ransomware pourrait être poursuivi si sa négligence facilite une cyberattaque. En effet, les élus doivent garantir que les systèmes d'information de la collectivité sont protégés contre toute menace. 

En matière de responsabilité civile, un élu ou un agent public peut également être poursuivi pour faute détachable du service, notamment s'il a commis une négligence grave qui a directement contribué à une atteinte à la sécurité. Par exemple, un élu qui refuse de mettre en place un plan de cybersécurité, malgré des avertissements, pourrait être tenu personnellement responsable des conséquences d'une cyberattaque sur la collectivité. On peut également citer un comportement incompatible avec les obligations qui s’imposent dans l’exercice d’une fonction publique : un agent responsable de la sécurité informatique qui refuse de mettre en place des mesures de sécurité minimales par exemple. 

Pour se protéger, les élus et agents publics doivent être en mesure de : 

• Comprendre la réglementation applicable aux enjeux de cybersécurité et de protection des données personnelles,  

• Être conscients que leur responsabilité peut être engagée dans certains cas,

• Identifier les risques et besoins de leur collectivité en matière de sécurité,

• Mettre en place des plans d'action précis, en définissant clairement les rôles et responsabilités des différents acteurs, y compris de leurs prestataires. Pour information, même si les prestataires informatiques ont des obligations légales à respecter (sous peine de voir le contrat annulé), la collectivité et les agents publics ne sont pas exonérés de leur responsabilité. 

• Vérifier régulièrement l'effectivité des mesures mises en œuvre et garder une trace des actions effectuées. 

4. Les outils à disposition des élus et les agents publics pour renforcer la protection cyber de leur collectivité 

• La CNIL met à disposition des guides et des fiches pratiques couvrant les principaux enjeux liés aux données personnelles, notamment le guide sur les obligations et responsabilités des collectivités territoriales.  

• L’ANSSI offre un soutien important aux collectivités territoriales à travers son portail MonServiceSécurisé, qui fournit des outils pour évaluer et améliorer la sécurité numérique des collectivités.  

• Le Guide de sécurité numérique des collectivités territoriales de l’ANSSI constitue une référence incontournable pour comprendre les bonnes pratiques à adopter et les mesures à mettre en place.  

• Le site Cybermalveillance.gouv.fr propose un diagnostic en ligne permettant aux collectivités d'évaluer leur niveau de sécurité et d’identifier les points faibles de leurs systèmes d’information7.  

• Le programme MonAideCyber propose un diagnostic de cybersécurité gratuit qui est réalisé avec le soutien d’un aidant bénévole. Destiné aux entités novices en matière de sécurité cyber, ce programme permet la mise en place des premières mesures de sécurité.

Les DPO certifiés de La Robe Numérique accompagnent de nombreuses collectivités territoriales dans leurs enjeux de conformité. Contactez-nous dès maintenant pour faire le point.

Auteur : Théo Catania

Co-auteurs : Oriana Labruyère, Damien Altersitz