L’enquête menée par la plateforme cybermalveillance.gouv.fr l’avait exposé : les élus et agents des plus petites collectivités s’estiment mal sensibilisés à la cybersécurité, voire pas du tout concernés. Pour mieux les accompagner, la plateforme a publié, conjointement avec la Cnil, un guide sur les obligations des communes.
Protection des données personnelles, mise en place de téléservices, hébergement des données de santé : les obligations sont nombreuses et importantes. Ainsi, le guide rappelle qu’il est important de nommer un délégué à la protection des données (DPO). Un rappel utile puisqu’un rapport récent de l’observatoire Data Publica calculait qu’une commune sur deux n’avait pas nommé de DPO.
L’analyse d’impact avant la mise en oeuvre d’une collecte de données personnelles, la protection de ces données sont également impératifs. Sous peine d’être rappelé à l’ordre.
Sanctions et condamnations
Le guide rappelle en effet que les collectivités locales, mais aussi les élus, peuvent être condamnés ou sanctionnés en cas de problème sur ces données. La Cnil peut décider de sanctions administratives, parfois assorties d’amendes, en cas de défaut de sécurisation des données personnelles par exemple.
La responsabilité administrative ou pénale peut également être engagée. « Des entreprises ou des administrés pourraient réclamer, auprès d’une collectivité locale ou d’un établissement public, l’indemnisation des préjudices subis du fait des conséquences d’une cyberattaque », indique notamment le guide.
Un outil indispensable donc pour accompagner les agents et élus dans les plus petites collectivités qui peuvent parfois se trouver dépourvus quand la transformation numérique et les bases de données s’installent.
Thèmes abordés
