Main Menu
Protection des Données à caractère personnel :
Risques opérationnels et juridiques pour les Collectivités territoriales, établissements publics et autres structures chargées d’une mission de service public
Selon la dernière étude du CLUSIF intitulée « Menaces informatiques et pratiques de sécurité – collectivités territoriales », 30% des collectivités sondées ont déclaré avoir été impactées en 2019 par une cyberattaque de type rançongiciel.
L’actualité récente vient encore l’illustrer : la ville de Vincennes, a annoncé mardi 3 novembre dernier avoir été victime « d’une cyberattaque organisée » ayant conduit au chiffrementEst une méthode qui consiste à protéger ses documents en les rendant illisible à toute personne n’ayant pas accès à une clé dite de déchiffrement. de données et du système. Le 17 décembre 2020, la mairie d’Évreux et l’Agglomération Évreux Portes de Normandie ont été également été victimes d’une cyberattaque. Les 2 500 agents de la Ville et de l’Agglomération n’ont pas pu avoir accès à leurs ordinateurs et téléphone pendant deux jours, ce qui a entravé le bon fonctionnement des services publics.
Dans les deux cas, aucune demande de rançon officielle n’a été évoquée. Le 4 novembre 2020, Guillaume Poupard, directeur général de l’ANSSI indiquait devant le Sénat que le nombre d’interventions de l’ANSSI suite à des attaques au ransomware en 2020 avait triplé.
Les conséquences de ces cyberattaques peuvent être multiples : incapacité d’assurer la continuité des services aux administrés, conséquences financières, d’image, humaines (vol de Données d’employés municipaux, d’administrés…).
Le risque de fuite de données est d’autant plus grave pour les collectivités et autres structures publiques qu’elles traitent de très nombreuses données à caractère personnel dans le cadre de l’exécution de leur mission de services publics (état civil, inscriptions scolaires, listes électorales, etc.), la gestion des ressources humaines, la sécurisation des locaux (contrôle d’accès par badge, vidéosurveillance) ou encore les sites web.
De plus que certaines collectivités sont amenées à traiter des données sensiblesC’est une donnée soumise à un régime juridique particulier concernant : • La santé physique ou morale telles que les données relatives à l’existence d’une maladie, d’un handicap, …(même sans que… ou hautement confidentiel, notamment lors de l’utilisation de nouveaux outils de surveillance et de contrôle par exemple les dispositifs de verbalisation automatisée, de caméras de reconnaissance faciale ou de caméras thermiques.
A ce risque de sécurité informatique, s’ajoute le risque juridique d’illégalité des traitements de données à caractère personnel de la part des collectivités n’ayant pas mis en place de mesures de conformité adéquates.
Les personnes publiques sont d’ailleurs nommément désignées dans le règlement général sur la protection des données et qu’elles sont soumises à des obligations de conformité strictes indépendamment de leur taille, notamment la nomination d’un délégué à la protection des données obligatoire.
Le non-respect de ces obligations entraine plusieurs types de sanctions allant du simple avertissement de la CNIL à l’annulation du dispositif mis en place avec astreinte et jusqu’aux sanctions pécuniaires, considérablement alourdies depuis le règlement général pour la protection des données.
Nous constatons que la CNIL et le Conseil d’Etat sont de plus en plus saisis sur des questions relatives aux questions de protection de données à caractère personnel, par exemple lors de l’utilisation de fichiers pour des finalités non déclarées auprès des personnes concernées ou lors de la mise en place de dispositifs de contrôle des personnes.
A titre d’exemple, le conseil d’état saisi par la ligue des droits de l’homme a ordonné le 26 juin 2020 à la commune de Lisses de mettre fin à l’usage des caméras thermiques portables dans les écoles de la commune.
Ce contrôle a posteriori peut s’avérer très couteux en termes d’investissements financiers, d’atteinte à l’image et de perte de confiance des administrés.
Notre expérience auprès des collectivités territoriales et l’expertise développée autour de la protection des données à caractère personnel, notamment l’accompagnement à la mise en conformité et la mission de DPOLe Data Protection Officer (ou Délégué à la Protection des Données personnelles en français) est chargé de la conformité en matière de protection des Données personnelles au sein d’une entité… Externalisé, sont nos atouts pour vous accompagner, vous informer et vous assister sur ces questions.