Cyberattaques : la négligence des collectivités pourrait leur coûter cher
Les collectivités territoriales qui négligeraient la sécurité de leurs données et infrastructures numériques risquent gros. C’est ce qu’il ressort du guide sur les obligations cyber des collectivités que viennent de publier la Cnil et Cybermalveillance.
Résumer en 16 pages dans un langage accessible les obligations des collectivités locales en matière de (cyber) protection des données est le défi que s’est fixé le guide obligations et responsabilités en matière de cybersécurité des collectivités locales que viennent de publier la Cnil et le GIP Acyma (Cybermalveillance). Un guide qui complète les ressources existantes – mise en œuvre du RGPD, hygiène informatique, notification de cyberattaque… - tout en clarifiant le cadre juridique en vigueur.
Risques financiers
Une récente enquête d’Acyma (notre article du 18 mai 2022) avait en effet montré la faible conscience des petites collectivités sur le périmètre et la réalité des risques cyber qui les menacent. Le guide insiste ainsi sur les conséquences matérielles des cyberattaques affectant les collectivités avec de potentiels préjudices financiers directs (prestataire, réinstallation, reconfiguration… ) mais aussi indirects (pertes de recettes de services comme la piscine ou le stationnement). Des dommages qui s’ajoutent à la "perte du lien de confiance" qui relie la collectivité à ses administrés. Plus grave encore : la mise en danger de la vie d’autrui pouvant résulter de feux de circulation hors service ou d’un panneau de signalisation piraté. Autant d’incidents susceptibles d’engager la responsabilité administrative, civile ou pénale des collectivités, des élus et des agents.
Collectivités et élus responsables
En cas de fuite de données personnelles, les collectivités comme leurs satellites ou les sociétés d’économie mixte risquent tout d’abord les foudres de la Cnil. Au titre du RGPD, la commission peut prononcer des sanctions financières pouvant aller jusqu’à 20 millions d’euros si elle constate des "manquements graves aux mesures de sécurité nécessaires à la protection des données personnelles". Les citoyens sont également susceptibles d’engager la responsabilité de la collectivité pour faute s’il était établi que le préjudice subi est lié à des manquements en matière de cybersécurité. Le guide mentionne l’exemple (plausible) d’un achat frauduleux réalisé à la suite d’une fuite de coordonnées bancaires stockées par la collectivité. Le dysfonctionnement d’un équipement public pourrait également entrainer la responsabilité administrative de la commune "pour dommage de travaux publics". Les élus et agents risquent également leur mise en cause personnelle, au titre de leur responsabilité civile. Le guide cite l’exemple (fictif) d’un téléservice défaillant mis en place par un élu sans étude de sécurité préalable malgré les mises en garde d’un agent. Enfin, en cas d’atteinte à l’intégrité physique d’une personne résultant des conséquences d’une cyberattaque les élus et agents pourraient être attaqués au pénal.
Clarification des lois applicables
Au-delà des règles usuelles sur la protection des données – qui sont en vigueur pour la plupart depuis 1978 – les juristes apportent ensuite des clarifications sur les lois applicables. Il s’avère ainsi que l’ensemble des téléservices des collectivités locales – demandes d’extraits d’état civil, inscription et paiement de la cantine, demande de logement social… - sont soumis au Référentiel Général de Sécurité, ou "RGS", qui les oblige, entre autres, à une analyse de risque et à protéger leur système d’information. Les téléservices nécessitant une identification, une authentification ou une signature électronique doivent aussi respecter les spécifications techniques imposées par le règlement européen eIDAS (1) pour être interopérables avec ceux des autres pays européens. Il apparait enfin qu’au titre de leurs compétences sociales, les départements et communes sont assujettis à la législation sur l’hébergement des données de santé.
Autant d’obligations qui devraient inciter les petites collectivités à se doter de véritables compétences en matière d’informatique et de sécurité, quitte à les mutualiser au niveau d’un EPCI.
(1) La réglementation eIDAS pour Electronic IDentification And Trust Services est le règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein des 28 Etats membres de la communauté européenne.