La CNIL et Cybermalveillance rappellent aux collectivités leurs obligations cyber

Souvent mal protégées, mais traitant des données sensibles, les collectivités locales sont des cibles de choix pour les attaquants.

Or, une étude de Cybermalveillance.gouv.fr de mai 2022 montre que 65 % des collectivités de moins de 3 500 habitants pensent que le risque cyber est faible, voire inexistant, ou ne savent pas l’évaluer.

Ce 1er juillet 2022, la CNIL et Cybermalveillance.gouv.fr ont donc publié un guide pour rappeler aux élus locaux et agents territoriaux les obligations et responsabilités des collectivités locales en matière de cybersécurité.

Les trois grandes obligations sont les suivantes :

• protéger les données personnelles des administrés, pour une utilisation interne (ressources humaines, vidéosurveillance…) ou externe (état civil, inscriptions scolaires…) ;
• mettre en œuvre des télé-services locaux répondant au référentiel général de sécurité (RGS) ;
• respecter les règlementations en matière d’hébergement des données de santé.

Le guide rappelle aussi les sanctions encourues en cas d’incident : une collectivité peut en effet être tenue juridiquement responsable et se voir infliger par la CNIL des amendes jusqu’à 20 millions d’euros.

Sur le plan pénal, également, un élu local ou agent territorial risque jusqu’à 5 ans de prison et 300 000 euros d’amende s’il traite des données personnelles sans mettre en œuvre des mesures garantissant leur sécurité.