La cybersécurité des collectivités dans le viseur de la Cnil
La Commission nationale Informatique et Libertés (Cnil) a annoncé le 21 mars 2025 que les politiques de cybersécurité des collectivités territoriales feraient partie de ses thématiques de contrôle prioritaires pour 2025. Une action qui s'inscrit dans la perspective de la mise en œuvre de la directive NIS 2, adoptée par le Sénat et transmise à l'assemblée nationale (voir notre article du 13 mars 2025), qui va imposer aux collectivités territoriales un renforcement de la sécurisation de leur système d'information.
La Cnil souligne la vulnérabilité particulière des collectivités face aux cyberattaques, alors qu'elles traitent de nombreuses données sensibles telles que l'état civil, le versement de prestations sociales ou encore le télépaiement de services publics ou de contraventions. L'autorité contrôlera les mesures de protection mises en œuvre par les collectivités tout en renforçant son action de sensibilisation et d'accompagnement. Cette annonce intervient alors que plusieurs collectivités ont été victimes de vols de données concernant leurs agents ces dernières semaines, avec notamment des signalements pour les municipalités des Lilas, de Lorient et de la métropole du Grand Paris.
Les deux autres thématiques identifiées pour 2025 concernent la collecte de données via les applications mobiles et les traitements de données par l'administration pénitentiaire. Ces contrôles thématiques représentent environ un quart des contrôles que mène la Cnil chaque année – 321 en 2024 - les autres étant la conséquence de signalements ou de plaintes.