La sécurité des données des administrés

26 juillet 2016

Les collectivités doivent assurer un accès sécurisé aux téléservices et protéger les données des citoyens.

  1. La loi Informatique et Libertés et le RGS

La loi Informatique et Libertés garantit la protection du citoyen qui confie ses données à une collectivité. Les services de la CNIL se réfèrent à l’article 34 de la loi Informatique et Libertés : ils apprécient les risques qui pèsent sur les traitements et ils déterminent si les mesures choisies par le responsable de traitement sont ou non proportionnées à ces risques, et protègent les personnes.

Elaboré conformément à l’article 9 de l’ordonnance n° 2005-1516 du 8 décembre 2005, le référentiel général de sécurité (RGS) procède par une approche identique : les risques doivent être identifiés et des mesures proportionnées doivent être déterminées. Le RGS définit un ensemble de règles de sécurité qui s’imposent aux autorités administratives dans la sécurisation de leurs systèmes d’information. Il fixe les règles que doivent respecter les fonctions des systèmes d’information contribuant à la sécurité des informations échangées par voie électronique. Seul le point de vue diffère légèrement puisque les risques dont il est question pour le RGS sont ceux encourus par l’organisme et non ceux que l’organisme fait encourir aux personnes concernées du fait de la création de téléservices.

En outre, c’est l’autorité administrative (par exemple, le maire pour la commune, le président du conseil départemental pour le département ), qui prend la décision d’accepter les risques résiduels et la manière dont ils ont été gérés. Il doit s’engager à une amélioration continue de la sécurité. Lorsque le téléservice recourt à certains dispositifs techniques (authentification, chiffrement, signature électronique, etc.), l’autorité administrative doit respecter les règles définies par les annexes du RGS.

Le responsable de traitement doit considérer aussi bien les risques portant sur la collectivité que ceux pesant sur les personnes concernées par le téléservice. Cette analyse globale permet la mise en oeuvre de mesures de sécurité protégeant à la fois l’activité administrative  et les données personnelles des administrés. 

  1. Conseils méthodologiques 

La démarche doit être pilotée par les agents de la collectivité, sous l’autorité des élus. Elle doit respecter certains principes essentiels. 

Analyser les risques 

La collectivité doit identifier les risques engendrés par chaque téléservice. Que pourrait-il se passer, d’une part sur les personnes concernées, et d’autre part sur la collectivité : 

  • si les données étaient connues de personnes non autorisées ? 
  • si les données étaient modifiées ? 
  • si les données disparaissaient ? 

Cette analyse de risques peut être réalisée en suivant une démarche formalisée par la CNIL 

Traiter les risques

Les services compétents (informatique, ressources humaines, etc.) doivent ensuite prévoir les mesures techniques et opérationnelles, de prévention, de protection et de réaction qui vont permettre de traiter ces risques, et élaborer l’argumentaire permettant de démontrer que les risques résiduels sont acceptables. Pour choisir ces mesures, il est notamment possible de s’appuyer sur des catalogues de bonnes pratiques reconnues de la CNIL.

Homologuer le téléservice 

La décision de valider le traitement des risques et l’acceptation des risques résiduels doit enfin être formalisée et rendue accessible aux usagers sur le portail du téléservice.

Il s’agit de l’attestation prévue par l’article 5 du décret n° 2010-112 du 2 février 2010 qui doit prendre la forme d’un acte réglementaire à l’instar de la décision administrative qui a créé le téléservice.

Prononcée pour une durée limitée, généralement entre 1 et 3 ans, cette attestation de sécurité permet de s’engager dans un processus d’amélioration continue de la sécurité et de tenir compte des évolutions du contexte (changements fonctionnels, nouvelles technologies, exposition aux risques, etc.). Elle ne signifie pas que la collectivité s’estime irréprochable en matière de sécurité, mais marque la prise de conscience et l’engagement pris par l’autorité de gérer les risques et de viser une amélioration continue.


A savoir

Responsabilité : la collectivité peut recourir à un prestataire mais elle reste seule responsable au regard de la loi Informatique et Libertés.

Le CIL : La création de postes de Correspondant Informatique et Libertés (CIL) et/ou de responsable de la sécurité des systèmes d’information (RSSI) facilitera la démarche de sécurisation des systèmes d’information des collectivités. 


 

Document reference

A lire

Les mots clés associés à cet article