Obligations et responsabilités des collectivités locales en matière de cybersécurité

Trois obligations primordiales

Ce guide publié par la CNIL part du constat d'une étude réalisée par Cybermalveillance.gouv.fr et publiée en début d'année, qui a montré que les acteurs publics locaux sous-estiment le risque de cybermalveillance (à 65% des répondants). Ce guide sert donc à rappeler les obligations des collectivités en matière de cybersécurité.

• Obligation concernant la protection des données personnelles

Pour ce faire, l'utilisation de logiciels anti-virus, ou encore la mise en place de systèmes d'authentification fiable sont recommandés. La protection des données personnelles est encadrée par le Délégué à la Protection des Données.

• Obligation de sécuriser les téléservices locaux

L'ensemble des téléservices indispensables (permis de construire, inscription à la cantine scolaire, demandes de pièces d'état civil, etc.) doivent faire l'objet d'une sécurisation accrue.

• Obligation de la sécurisation des données de santé

Utilisées pour la gestion des aides sociales, ces données sont sensibles et doivent être protégées.

En cas de non-respect de ces obligations, la collectivité est passible de poursuites

En cas d'une attaque cyber, la CNIL vérifie a posteriori si l'ensemble des obligations ont été tenues. Si ceci n'est pas le cas, alors la Commission peut demander des sanctions pécuniaires allant jusqu'à 20 millions d'euros. Par ailleurs, les citoyens impactés peuvent également réclamer réparation à la collectivité, un agent de celle-ci ou son élu.