Cybersécurité des sites web : les collectivités locales dans le viseur de la Cnil
La Commission nationale Informatique et Libertés (Cnil) et Cybermalveillance.gouv.fr ont récemment publié un guide relatif aux obligations et responsabilités des collectivités locales en matière de cybersécurité. Une initiative concomitante à la conduite de contrôles de sites web.
Mieux informer les élus locaux et les agents territoriaux alors que les collectivités ont lancé leur transformation numérique et que les actes de cybercriminalité se multiplient. Tel est l’objectif du guide sur les obligations et les responsabilités des collectivités locales et de leurs établissements publics en matière de cybersécurité, récemment publié par le service d’assistance et de prévention en sécurité numérique Cybermalveillance.gouv.fr, en collaboration avec la Cnil.
Sensibiliser des acteurs globalement peu informés
Cette initiative est directement liée aux résultats d’une étude conduite fin 2021 par Cybermalveillance.gouv.fr afin de mieux connaître les usages numériques des collectivités de moins de 3 500 habitants (qui représentent 91% des communes en France), d’en identifier les besoins et les risques. Or, il est apparu qu’il s’agit d’un public peu informé et sensibilisé à la cybersécurité : la majorité des personnes interrogées ne connaissaient pas le cadre juridique en vigueur, à l’exception du Règlement général sur la protection des données (RGPD), et appréhendaient mal les dispositions relatives aux compétences et aux responsabilités des collectivités locales en matière de sécurité numérique.
Rappeler les obligations et responsabilités des élus locaux et agents territoriaux
Le guide fait tout d’abord le point sur les obligations des élus locaux et des agents territoriaux relatives à la protection des données personnelles, à la mise en œuvre des téléservices locaux et à l’hébergement des données de santé. Il rappelle ensuite les différents types de responsabilité juridique auxquels sont exposés les collectivités locales et leurs établissements publics en matière de cybersécurité : la responsabilité administrative de la collectivité, la responsabilité (civile) personnelle des élus et des agents publics, en cas de cyberattaque, et leur responsabilité pénale, en cas de violation des règles relatives à la protection des données personnelles ou de fautes d’imprudence et de négligence.
Quinze organismes mis en demeure de mettre leurs sites web en conformité
De son côté, la Cnil a lancé en 2021 une campagne de contrôles de la cybersécurité du web français qui a visé les sites d’organismes du secteur public (ministères, communes, centres hospitaliers universitaires…) et du secteur privé (plateformes de e-commerce, prestataires de solutions informatiques…). Début juillet, la Commission a fait savoir que, sur les 21 organismes contrôlés, 15 ont été mis en demeure de mettre leur site web en conformité. Les principaux manquements constatés par la Commission portent sur l’obligation générale du responsable de traitement de sécuriser les données personnelles traitées, et , notamment, des défauts de chiffrement des données et de gestion et de sécurisation des comptes utilisateurs. Les organismes mis en demeure disposent d’un délai de trois mois pour prendre les mesures adaptées.
Référentiels nationaux et recommandations en matière de cybersécurité
Les contrôles réalisés par la Cnil ont porté, pour l’essentiel, sur des points techniques et organisationnels et la Commission s’est référée aux recommandations du Référentiel général de sécurité (RGS) de l’Agence nationale de sécurité des systèmes d’information (ANSSI), en particulier pour le secteur public. Ce référentiel fixe notamment les règles que les administrations doivent respecter pour assurer la sécurité des informations échangées dans le cadre des téléservices qu’elles mettent en place. La Commission s’est également référée à sa propre recommandation sur les mots de passe, dont une nouvelle version est attendue.