Le RGPD impose aux mairies de prendre des mesures pour prévenir tout incident de sécurité et réagir de manière appropriée en cas de violation de données.
L’obligation générale de sécurité des mairies
Comme tout responsable de traitement de données personnelles, les mairies et autres collectivités territoriales sont soumises à une obligation générale de sécurité imposée par le RGPD. Les articles 33 et 34 du RGPD précisent les obligations qui pèsent sur les mairies qui traitent des données à caractère personnel. Au titre de ce principe essentiel, ces organismes doivent mettre en place des mesures visant à :
- prévenir tout incident de sécurité ;
- réagir de manière appropriée en cas de violation de données, c’est-à-dire mettre fin à la violation et minimiser ses effets.
Guide Anssi de la sécurité dans les mairies
Afin d’aider les non-spécialistes et les élus confrontés au cadre réglementaire de la sécurité numérique et notamment à la mise en œuvre du RGPD, l’Anssi a publié un guide intitulé « Sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ».
Parmi les 7 fiches que comporte ce guide, l’une s’intitule : « Se préparer et réagir en cas d’incident de sécurité ». Cette fiche a notamment pour objectif d’expliciter les modalités de mise en œuvre du principe général de sécurité dans les mairies ou tout autre collectivité territoriale. La fiche s’inspire d’une méthodologie décrite dans de nombreuses normes ISO, en organisant le processus de gestion des incidents de sécurité autour du cycle suivant.
La préparation – Lors d’une indispensable phase préliminaire de préparation, la mairie doit à la fois définir ce qu’elle considère comme un incident de sécurité et l’organisation qu’elle entend mettre en place autour de la gestion de ces incidents de sécurité. La mairie doit ensuite communiquer en interne, sensibiliser ses collaborateurs et régulièrement auditer les procédures mises en place.
La détection – L’enjeu de la phase de détection pour les mairies est de pouvoir identifier les incidents de sécurité le plus tôt possible afin d’en limiter les conséquences, notamment sur les données personnelles. Cette phase nécessite de combiner une veille constante, l’utilisation d’outils de supervision et de permettre une remontée d’informations efficace.
L’évaluation – Cette phase de filtre consiste à analyser les événements de sécurité à l’aide des critères préalablement définis lors de la phase de préparation et ainsi permettre de les catégoriser en tant qu’incident de sécurité pour pouvoir y réagir.
La réaction – Lorsqu’un incident de sécurité est identifié il est indispensable pour la mairie concernée de remplir ses obligations de notification aux autorités dans le respect des délais imposés (Cnil, Anssi, etc). Par exemple, en cas de violation de données présentant un risque au regard de la vie privée des personnes concernées, l’article 33 du RGPD impose une notification de l’incident de sécurité à la Cnil dans un délai de 72 heures. En outre, dans cette hypothèse l’article 34 du RGPD impose aussi à la mairie de communiquer à la personne concernée l’information selon laquelle elle a été victime d’une violation de données à caractère personnel.
Il convient ensuite de traiter l’incident de sécurité, en prenant toutes les mesures nécessaires afin de limiter la propagation ou la gravité de l’incident. Il est aussi nécessaire de collecter des enregistrements pour conserver des preuves, afin que la mairie puisse être en mesure de déposer plainte si elle l’estime nécessaire.
Tirer les enseignements d’un incident de sécurité
Après la résolution de l’incident de sécurité, la mairie concernée doit prendre le temps d’analyser les causes ayant engendré l’incident et la manière dont elle a su ou non réagir. Cette phase doit permettre la mise en place d’un plan d’action préventive de nature à empêcher la survenance d’un incident similaire.
Enfin, cette phase est aussi l’occasion pour la mairie concernée d’actualiser et d’enrichir les mesures mises en œuvre durant la phase de préparation.
Virginie Bensoussan-Brulé
Lexing Contentieux numérique
Anne Renard
Directeur Conformité & Certification
Louis Montecot Grall