Cybersécurité : la Cnil met les collectivités face à leurs responsabilités
Publié par Clément Bohic le - mis à jour à
La Cnil adresse une forme de rappel à l'ordre aux collectivités territoriales en matière de sécurité numérique. En insistant notamment sur la responsabilité des individus.
Élus, agents publics, en cas de cyberattaque, votre responsabilité civile, voire pénale, pourrait être mise en cause. La Cnil ne fait pas passer le message tel quel, mais suggère clairement le risque - exemples à l'appui - dans un guide qu'elle vient d'émettre à l'adresse des collectivités territoriales.
Ce guide s'inscrit dans la lignée d'une étude conduite fin 2021 sur les collectivités de moins de 3500 habitants. Parmi les constats établis : chez la majorité des personnes interrogées, une méconnaissance du cadre juridique en vigueur, à l'exception du RGPD. Et, plus globalement des publics peu informés sur les compétences et les responsabilités en matière de sécurité numérique.
La Cnil a opté pour une synthèse sur trois axes : protection des données personnelles, mise en oeuvre des téléservices locaux et hébergement de données de santé. Elle aborde chacun sous deux angles. D'une part, les obligations. De l'autre, les responsabilités.
Sur le premier volet, outre les mesures techniques et organisationnelles à mettre en oeuvre en amont des traitements, la Cnil évoque le cas des analyses d'impact. Des démarches là aussi a priori, à réaliser en cas de risque élevé pour les droits et libertés des personnes physiques. La vidéosurveillance de la voie publique entre dans cette catégorie. Tout comme l'instruction des demandes de logements sociaux. Ou la prise en charge des personnes par les établissements de santé ou médicosociaux.
Téléservices : les clés dans le RGS et l'eIDAS
Sur la partie « pendant les traitements », le guide mentionne, entre autres, le principe de minimisation des collectes, la nécessité d'une base légale et l'obligation de signalement sous 72 heures en cas d'incident. En aval, la Cnil insiste essentiellement sur la proportionnalité des durées de conservation par rapport aux finalités des traitements.
Côté téléservices locaux, un élément à retenir en particulier : il faut satisfaire aux exigences du RGS (Référentiel général de sécurité). Ce qui implique notamment de choisir, pour mettre en place le SI, des produits et services qualifiés par l'ANSSI.
Les téléservices nécessitant l'identification, l'authentification ou la signature électronique des usagers sont un cas particulier. Le règlement eIDAS impose effectivement des spécifications. Parmi elles, la compatibilité avec les standards des autres pays d'Europe.
Les responsabilités des collectivités...
Qu'en est-il des responsabilités en cas d'incident ? La Cnil distingue celles qui incomberont potentiellement aux collectivités de celles qui pourraient valoir des condamnations aux élus et aux agents.
Pour les collectivités, existent les risques suivants :
- Sanctions administratives de la Cnil
En cas de violation de la loi informatique et libertés et/ou du RGPD. Elles peuvent viser les collectivités locales et leurs établissements. Mais aussi leurs satellites lorsqu'ils prennent la forme de société commerciales générant un C. A. (sociétés publiques locales, sociétés d'économie mixte).
- Responsabilité administrative pour faute
Les citoyens peuvent engager cette responsabilité en cas de préjudice. À l'avenir, l'application de ce régime en cas de cyberattaque n'est pas à exclure, assure la Cnil.
- Responsabilité pour dommage de travaux publics
Cette responsabilité peut être engagée en cas de dommages causés aux usagers par les ouvrages publics et leurs accessoires. Dans des cas exceptionnels, une cyberattaque de grandeur ampleur pourrait conduire à une telle mise en cause. Et la Cnil de donner deux exemples. D'une part, une panne de signalisation lumineuse à un carrefour, entraînant un accident. De l'autre, un piratage survenu début 2021 en Floride. Sa cible : les automates et les systèmes de communications des stations de gestion locale d'un réseau d'épuration.
... et de leurs représentants
Traditionnellement, il est possible d'engager la responsabilité civile personnelle d'un élu ou d'un agent en cas de faute « détachable du service ». C'est-à-dire, dans les grandes lignes, lorsque les faits reprochés relèvent des préoccupations d'ordre privé ou d'un comportement incompatible avec l'exercice des fonctions.
La Cnil donne un exemple qu'elle considère plausible : un élu procède à l'homologation d'un téléservice. Sans les analyses de sécurité élémentaires et malgré les mises en garde de l'agent responsable de l'informatique. Une cyberattaque se produit, entraînant une fuite de données. La collectivité a la possibilité d'engager une action contre l'élu/agent, selon le principe de cumul des fautes.
Le Code pénal réprime les atteintes les plus graves aux règles du RGPD. Par exemple, jusqu'à 5 ans de prison et 300 000 € d'amende si on procède (ou fait procéder) à un traitement sans mettre en oeuvre les mesures de sécurité. Si les circonstances relèvent une faute personnelle, un élu/agent pourrait faire l'objet d'une condamnation pénale.
Des sanctions pénales, il peut aussi y en avoir pour fautes d'imprudence et de négligence. Et que ces dernières conduisent à des atteintes à l'intégrité physique de personnes. Un maire, par exemple, peut être condamné pour ne pas s'être assuré de la stabilité d'une cage de but mobile dont la barre transversale avait blessé un enfant. Ce régime pourrait, estime la Cnil, s'appliquer à des cyberattaques, si des manquements graves à la sécurité des SI les ont rendus particulièrement vulnérables. Et de donner un exemple : le dysfonctionnement d'une barrière de parking blessant un usager.
Photo d'illustration © Worldgraphics - Shutterstock