La sécurité des données des administrés, un enjeu de la transition numérique des collectivités
La dématérialisation continue des échanges de nos sociétés n’épargne pas la sphère publique : les collectivités territoriales se modernisent et numérisent progressivement leurs services (les « téléservices »), poursuivant ainsi leur transition numérique.
Cette dernière induit toutefois une nouvelle sphère de risques qui est propre au numérique : les cyberattaques.
En réponse à ces risques, la cybersécurité s’est développée. Celle-ci est d’autant plus cruciale pour les collectivités, que sont en jeu les données des administrés et que celles-ci revêtent souvent un caractère hautement privé voir sensible (niveau social, santé, éducation, famille).
La sécurité des systèmes informatiques des collectivités territoriales est donc un enjeu actuel majeur.
Qu’est-ce que la cybersécurité ?
L’Autorité nationale de la sécurité des systèmes d’information (« ANSSI ») définit la cybersécurité comme « état recherché pour un système d’information lui permettant de résister à des événements, issus du cyberespace, susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles »
Quelles sont les obligations légales et réglementaires en termes de cybersécurité ?
Lorsque les données traitées sont des données à caractère personnel (c’est-à-dire des informations se rapportant à une personne physique identifiée ou identifiable), la loi n° 78-17 du 6 janvier 1978 dite « Informatique et libertés » mettait à la charge du responsable du traitement l’obligation « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (ancien article 34 de la loi).
Le règlement européen sur la protection des données (« RGPD ») entré en application le 25 mai 2018 a repris cette obligation de sécurité et impose au responsable de traitement de mettre en œuvre “les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque” que sont, par exemple, la pseudonymisation ou le chiffrement (articles 32 et suivants du règlement).
Plus spécifiquement, dans le cadre de leurs relations avec les administrés, les autorités administratives sont soumises, en vertu de l’article 9 de l’ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives, à un référentiel de sécurité nommé Référentiel Général de Sécurité (« RGS »).
Le RGS définit un ensemble de règles de sécurité qui s’imposent aux autorités administratives dans la sécurisation de leurs systèmes d’information. Les fonctions des systèmes d’information doivent respecter les règles fixées par ce référentiel afin d’assurer la sécurité des données transitant par les téléservices.
Ce référentiel a d’ailleurs été complété au niveau européen par le règlement n°91/2014 dit « eIDAS » qui s’applique aux collectivités territoriales lorsqu’elles mettent en œuvre un système d’identification électronique, de signature électronique ou un cachet électronique dans le cadre de téléservices à destination du public.
Les collectivités sont donc soumises à un certain nombre d’obligations visant à garantir la sécurité des données qu’elles traitent. Pourtant, la prise de conscience au niveau local des potentiels impacts des cyberattaques et la mise en place d’actions concrètes pour s’en prémunir ne semblent pas encore totalement acquises.
Quelle démarche les collectivités territoriales doivent-elles alors adopter ?
Au mois de novembre 2020, l’ANSSI et l’Association des Maires de France (« AMF »), ont publié un guide « Cybersécurité : toutes les communes et intercommunalités sont concernées » ayant pour objectif d’insuffler au sein des collectivités des méthodes et mesures de cybersécurité dans la gestion de leurs activités.
En effet, les risques d’attaques augmentant et les usages numériques se développant (notamment le télétravail en période de la COVID), l’ANSSI et l’AMF plaident pour un investissement accru des communes et intercommunalités dans le développement de la protection de leur système d’information et pour une protection contre tout « sinistre numérique ».
Le guide insiste d’ailleurs particulièrement sur le rôle déterminant des élus dans la prise en compte des enjeux de cybersécurité ainsi que sur la nécessité de mettre à disposition des moyens suffisants et, au besoin, de mettre en commun ces moyens entres collectivités au travers par exemple de l’intercommunalité. En ce sens, il est rappelé que la responsabilité incombe au collecteur ainsi qu’aux dirigeants de leurs collectivités (maires et présidents d’intercommunalités).
Afin d’accompagner ces derniers, les axes d’action prioritaires suivants ont été identifiés :
- La sensibilisation des agents, le comportement humain étant un facteur amplificateur ou réducteur des risques de cyberattaques ;
- L’identification des systèmes d’information, des matériels et des logiciels employés et l’adaptation de ces outils aux besoins de la collectivité ;
- L’analyse des clauses contractuelles conclus avec les prestataires informatiques et les responsabilités respectives des cocontractants ;
- La définition d’un plan de crise (plan de continuité d’activité (« PCA ») et plan de reprise d’activité (« PRA »)).
Une trentaine de recommandations sont ensuite énoncées, selon quatre grands thèmes :
(1) La gouvernance : il est préconisé notamment de prévoir un dispositif financier d’accompagnement pour une gouvernance partagée entre les communes et les intercommunalités, ou encore de promouvoir la mutualisation afin que les plus petites communes puissent bénéficier de l’expertise et des moyens financiers des entités plus importantes.
(2) Les moyens : la logique financière actuelle doit être inversée en ce sens qu’il convient d’évaluer les besoins en cybersécurité avant d’allouer un certain budget et non de déterminer les besoins en fonction des moyens financiers ; les agents des collectivités qui traitent de données sensibles doivent être accompagnés et formés en priorité…
(3) La résilience : elle implique d’élaborer des scénarios de cyberattaques et de les intégrer dans les PCA et PRA ; de communiquer ces documents aux fournisseurs afin qu’ils l’appliquent en cas de réalisation du risque ; ou encore de désigner des référents locaux en matière de sécurité informatique.
(4) La relation des collectivités avec les tiers : il est préconisé de formaliser un « plan d’assurance sécurité » avec les prestataires, d’inclure systématiquement des clauses relatives à la sécurité numérique et des clauses de réversibilité.
Il est par ailleurs souligné que la connaissance du RGPD et le travail de sensibilisation du délégué à la protection des données (« DPO ») sont de solides bases pour mettre en œuvre les bonnes pratiques de la sécurité numérique.
Pour plus d’exhaustivité, nous vous invitons à consulter :
- la décision du Conseil d’Etat en date de novembre dernier.