Sécurité informatique - Les collectivités se préparent au nouveau règlement général sur la protection des données
Le nouveau règlement général sur la protection des données (RGPD) dans l'Union européenne entre en vigueur en mai 2018 et change la donne sur la gestion des données personnelles. Le correspondant Informatique et Libertés (CIL) est remplacé par le délégué à la protection des données (data protection officer ou DPO), qui est lui obligatoire pour toute structure publique. Pour de nombreuses collectivités, la mise en conformité passera par la mutualisation et constitue une opportunité de repenser la gestion de données.
Un durcissement des sanctions, un nouveau mode de contrôle de la protection des données : le nouveau règlement général sur la protection des données (RGPD) de l'UE n'est pas avare de changements et ils concernent au premier chef les collectivités. Un point qui préoccupe : les amendes en cas de mauvaise gestion et de fuite des données personnelles peuvent désormais atteindre 20 millions d'euros. C'est un défi pour les territoires : les collectivités les plus modestes passent parfois par une gestion artisanale de leur présence sur le web et sont vulnérables aux attaques. En 2015, la Gazette des communes constatait que près de la moitié des sites internet des collectivités n'étaient pas à jour dans leur sécurisation.
L'Anssi veut se rapprocher des territoires
Mi-2016, l'Agence nationale de la sécurité des systèmes d'information (Anssi) a renforcé sa présence auprès des territoires avec des référents régionaux. Elle expérimente en Hauts-de-France Acyma, une plateforme de remontées d'information sur les attaques informatiques. Un outil censé remplir une cruelle lacune : lors de l'épisode récent de cyberattaque du rançongiciel Wannacry en mai 2017, qui avait affecté de nombreux systèmes informatiques français dont les usines Renault, l'Anssi n'avait reçu aucun signalement de la part de collectivités territoriales. Alors même que, du côté des acteurs de terrain, on compte par dizaines le nombre de structures qui auraient été affectées. Un verrou psychologique reste à dépasser : les élus et les agents peuvent percevoir la vulnérabilité informatique comme une honte et un échec, difficile à divulguer. Or, le nouveau RGPD impose des normes très strictes sur l'information aux usagers quant aux fuites, lorsqu'elles concernent des données personnelles.
La mutualisation du DPO a déjà commencé
Autre avancée du RGPD, la nomination d'un délégué à la protection des données (ou DPO) au sein de chaque structure publique, dont les collectivités territoriales. Un rôle assez semblable à celui du correspondant Informatique et Libertés (CIL) qui pour autant, lui, ne revêtait pas de caractère obligatoire. La tendance qui s'observait déjà pour le CIL, devrait donc s'amplifier : parmi les centres de gestion, syndicats mixtes et autres structures publiques concernées par l'informatique en collectivités, certains réfléchissent déjà à proposer des formules de DPO mutualisé. "C'est un modèle que la Cnil encourage", précise Emmanuel Vivé, directeur de l'association départementale pour l'informatisation des collectivités de l'Oise, l'Adico. "La Cnil sait que l'obligation ne pourra pas être remplie sans recours massif à la mutualisation." Naturellement, nombreuses sont les collectivités qui restent sceptiques face au poids des nouvelles normes en matière de protection des données. Mais l'effectif des structures intéressées est assez conséquent pour que l'Adico ait embauché un collaborateur supplémentaire, pour en faire un DPO mutualisé dès début 2018. Parmi ses tâches : effectuer des audits de la gestion et de la gouvernance des données auprès des communes adhérentes. Au sein de la FNCCR, mais aussi de Déclic, le réseau des structures départementales d'aide à l'informatique, d'autres membres envisagent la mutualisation du DPO : Soluris en Charente-Maritime, le Sictiam dans les Alpes-Maritimes, ou encore l'agence landaise pour l'informatique (Alpi). Ce n'est sans doute qu'un début : entre le RGPD et les nouvelles normes en matière d'open data, les collectivités sont de plus en plus incitées à repenser leur gestion des données.
Référence : règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).