Face à l’augmentation des cyberattaques au 1er trimestre 2022, la CNIL associée à la plateforme cybermalveillance.gouv.fr rappellent les obligations et responsabilités pour les établissements publics. Des réparations et des sanctions peuvent être appliquées aux élus et responsables locaux
En 2021, la Commission nationale informatique et libertés (CNIL) a reçu quelques 5000 notifications de violation de données personnelles. Avec ce guide récemment publiée à l’attention des élus et agents territoriaux, cette autorité administrative souhaite à nouveau alerter les collectivités territoriales (communes, départements, régions, collectivités d'Outre-mer). A partir des données d’une étude menée en fin d’année 2021, la CNIL dresse un constat sans appel : une majorité des personnes interrogées n’ont pas connaissance du cadre juridique en vigueur, à l’exception du Règlement général sur la protection des données (RGPD). Les dispositions relatives aux compétences et aux responsabilités en matière de sécurité numérique sont peu ou pas connues des élus locaux et des agents territoriaux, qui jugent la réglementation en matière de cybersécurité particulièrement complexe.
Des remarques complétées par les acteurs privés tel Brian Spanwick, expert en cybersécurité des infrastructures critiques et RSSI chez Cohesity, éditeur de solutions de sauvegarde en saas « les organisations ont tendance à mettre principalement l’accent sur la prévention en matière de sécurité, ce qui est essentiel pour atténuer les risques d’intrusions malveillantes. Mais qui n’est plus suffisant. Le but est de rendre aussi difficile que possible l’accès aux systèmes d’information et aux environnements critiques. Et surtout, de pouvoir récupérer rapidement les données perdues à partir d’une sauvegarde. Il est également essentiel que les équipes IT et les Responsables de la Sécurité des Systèmes Informatiques (RSSI) travaillent en étroite collaboration, car il ne s’agit pas seulement d’un problème de sécurité ou d’un problème informatique, mais des deux. »
Les obligations et responsabilités des collectivités territoriales
Au titre de l’exercice de leurs compétences et dans leurs relations avec les administrés, les collectivités locales et leurs établissements publics sont tenus d’appliquer la réglementation relative aux données personnelles (ressources humaines, vidéosurveillance, etc.) ou externe (état civil, listes électorales, inscriptions scolaires, etc.) y compris les registres manuels. Rappel : toute collectivité locale ou établissement public local, quelle que soit sa taille, est tenue de désigner un délégué à la protection des données (DPO).
Face aux préjudices pour les administrés, aux coûts d’intervention sur le SI, aux coûts liés à l’indisponibilité d’équipements publics, aux dommages aux personnes et aux biens, etc. la responsabilité des collectivités est en ligne de mire.
Des poursuites au civil (réparation légales des préjudices) et au pénal (sanctions judiciaires) peuvent êtres engagées. Ainsi, un maire, un élu, ou un agent public peut voir sa responsabilité civile engagée sur son patrimoine personnel pour réparer des dommages causés aux tiers.
Au pénal, la mise en cause de la responsabilité des agents et élus des collectivités locales et de leurs établissements publics peut résulter de la violation des règles relatives à la protection des données personnelles, mais aussi à cause de fautes d’imprudence ou de négligence.
Ces mesures sont rarement appliquées mais devraient sensibiliser élus locaux et agents territoriaux.