Protection des Données à caractère personnel :

Risques opérationnels et juridiques pour les Collectivités territoriales, établissements publics et autres structures chargées d’une mission de service public

Selon la dernière étude du CLUSIF intitulée « Menaces informatiques et pratiques de sécurité – collectivités territoriales », 30% des collectivités sondées ont déclaré avoir été impactées en 2019 par une cyberattaque de type rançongiciel.

L’actualité récente vient encore l’illustrer : la ville de Vincennes, a annoncé mardi 3 novembre dernier avoir été victime « d’une cyberattaque organisée » ayant conduit au chiffrement de données et du système. Le 17 décembre 2020, la mairie d’Évreux et l’Agglomération Évreux Portes de Normandie ont été également été victimes d’une cyberattaque. Les 2 500 agents de la Ville et de l’Agglomération n’ont pas pu avoir accès à leurs ordinateurs et téléphone pendant deux jours, ce qui a entravé le bon fonctionnement des services publics.

Dans les deux cas, aucune demande de rançon officielle n’a été évoquée. Le 4 novembre 2020, Guillaume Poupard, directeur général de l’ANSSI indiquait devant le Sénat que le nombre d’interventions de l’ANSSI suite à des attaques au ransomware en 2020 avait triplé.

Les conséquences de ces cyberattaques peuvent être multiples : incapacité d’assurer la continuité des services aux administrés, conséquences financières, d’image, humaines (vol de Données d’employés municipaux, d’administrés…).

Le risque de fuite de données est d’autant plus grave pour les collectivités et autres structures publiques qu’elles traitent de très nombreuses données à caractère personnel dans le cadre de l’exécution de leur mission de services publics (état civil, inscriptions scolaires, listes électorales, etc.), la gestion des ressources humaines, la sécurisation des locaux (contrôle d’accès par badge, vidéosurveillance) ou encore les sites web.
De plus que certaines collectivités sont amenées à traiter des données sensibles ou hautement confidentiel, notamment lors de l’utilisation de nouveaux outils de surveillance et de contrôle par exemple les dispositifs de verbalisation automatisée, de caméras de reconnaissance faciale ou de caméras thermiques.

A ce risque de sécurité informatique, s’ajoute le risque juridique d’illégalité des traitements de données à caractère personnel de la part des collectivités n’ayant pas mis en place de mesures de conformité adéquates.

Les personnes publiques sont d’ailleurs nommément désignées dans le règlement général sur la protection des données et qu’elles sont soumises à des obligations de conformité strictes indépendamment de leur taille, notamment la nomination d’un délégué à la protection des données obligatoire.

Le non-respect de ces obligations entraine plusieurs types de sanctions allant du simple avertissement de la CNIL à l’annulation du dispositif mis en place avec astreinte et jusqu’aux sanctions pécuniaires, considérablement alourdies depuis le règlement général pour la protection des données.

Nous constatons que la CNIL et le Conseil d’Etat sont de plus en plus saisis sur des questions relatives aux questions de protection de données à caractère personnel, par exemple lors de l’utilisation de fichiers pour des finalités non déclarées auprès des personnes concernées ou lors de la mise en place de dispositifs de contrôle des personnes.

A titre d’exemple, le conseil d’état saisi par la ligue des droits de l’homme a ordonné le 26 juin 2020 à la commune de Lisses de mettre fin à l’usage des caméras thermiques portables dans les écoles de la commune.

Ce contrôle a posteriori peut s’avérer très couteux en termes d’investissements financiers, d’atteinte à l’image et de perte de confiance des administrés.

Notre expérience auprès des collectivités territoriales et l’expertise développée autour de la protection des données à caractère personnel, notamment l’accompagnement à la mise en conformité et la mission de DPO Externalisé, sont nos atouts pour vous accompagner, vous informer et vous assister sur ces questions.

Retour en haut

Quels sont les documents RGPD fournis ?

Des documents standards à personnaliser en ligne

Des documents standards et experts à télécharger directement