La sécurité des données des administrés
Les collectivités doivent assurer un accès sécurisé aux téléservices et protéger les données des citoyens.
-
Le règlement général sur la protection des données et le RGS
Le règlement général sur la protection des données (RGPD) garantit la protection du citoyen qui confie ses données à une autorité administrative, telle qu’une collectivité. Les services de la CNIL se réfèrent à l’article 32 du RGPD. Cet article requiert de déterminer des mesures proportionnées aux risques que le traitement fait peser sur les personnes et leurs droits.
Elaboré conformément à l’article 9 de l’ordonnance n° 2005-1516 du 8 décembre 2005, le référentiel général de sécurité (RGS) procède par une approche identique : les risques doivent être identifiés et des mesures proportionnées doivent être déterminées. Le RGS définit un ensemble de règles de sécurité qui s’imposent aux autorités administratives dans la sécurisation de leurs systèmes d’information. Il fixe les règles que doivent respecter les fonctions des systèmes d’information contribuant à la sécurité des informations échangées par voie électronique. Seul le point de vue diffère légèrement puisque les risques dont il est question pour le RGS sont ceux encourus par l’organisme et non ceux que l’organisme fait encourir aux personnes concernées du fait de la création de téléservices.
En outre, c’est l’autorité administrative (par exemple, le maire pour la commune, le président du conseil départemental pour le département), qui prend la décision d’accepter les risques résiduels et la manière dont ils ont été gérés. Il doit s’engager à une amélioration continue de la sécurité. Lorsque le téléservice recourt à certains dispositifs techniques (authentification, chiffrement, signature électronique, etc.), l’autorité administrative doit respecter les règles définies par les annexes du RGS.
Le responsable de traitement doit ainsi considérer aussi bien les risques portant sur l’autorité administrative que ceux pesant sur les personnes concernées par le téléservice. Cette analyse globale permet la mise en œuvre de mesures de sécurité protégeant à la fois l’activité administrative et les données personnelles des administrés.
-
Conseils méthodologiques
La démarche doit être pilotée par les agents de l’autorité administrative, sous contrôle de l’autorité d’homologation (par exemple : le maire, la présidente d’une AAI, le directeur d’une administration centrale). Elle doit respecter certains principes essentiels. Celle-ci peut être incluse dans une démarche plus globale d’analyse d’impact à la protection des données d’AIPD, qui contiendrait en outre une réflexion plus juridique sur le respect des principes fondamentaux.
Analyser les risques
L’autorité administrative doit identifier les risques engendrés par chaque téléservice.
Que pourrait-il se passer, d’une part sur les personnes concernées, et d’autre part sur l’autorité administrative :
- si les données étaient connues de personnes non autorisées ?
- si les données étaient modifiées ?
- si les données disparaissaient ?
Le DPO : La création de postes de délégué à la protection des données (DPO) et/ou de responsable de la sécurité des systèmes d’information (RSSI) facilitera la démarche de sécurisation des systèmes d’information des autorités administratives.
Traiter les risques
Les services compétents (informatique, ressources humaines, etc.) doivent ensuite prévoir les mesures techniques et opérationnelles, de prévention, de protection et de réaction qui vont permettre de traiter ces risques, et élaborer l’argumentaire permettant de démontrer que les risques résiduels sont acceptables. Pour choisir ces mesures, il est notamment possible de s’appuyer sur des catalogues de bonnes pratiques reconnues de la CNIL.
Homologuer le téléservice
La décision de valider le traitement des risques et l’acceptation des risques résiduels doit enfin être formalisée et rendue accessible aux usagers sur le portail du téléservice.
Il s’agit de l’attestation prévue par l’article 5 du décret n° 2010-112 du 2 février 2010 qui doit prendre la forme d’un acte réglementaire à l’instar de la décision administrative qui a créé le téléservice.
Prononcée pour une durée limitée, généralement entre 1 et 3 ans, cette attestation de sécurité permet de s’engager dans un processus d’amélioration continue de la sécurité et de tenir compte des évolutions du contexte (changements fonctionnels, nouvelles technologies, exposition aux risques, etc.). Elle ne signifie pas que l’autorité administrative s’estime irréprochable en matière de sécurité, mais marque la prise de conscience et l’engagement pris par l’autorité de gérer les risques et de viser une amélioration continue.
A savoir
- Responsabilité : l’autorité administrative peut recourir à un prestataire mais elle reste la responsable au regard du RGPD. La responsabilité du prestataire se limitera à la responsabilité d’un sous-traitant.
- Notification une violation de données personnelles : le règlement général sur la protection des données (RGPD) impose aux responsables de traitement de documenter, en interne, les violations de données personnelles et de notifier à la CNIL les violations présentant un risque pour les droits et libertés des personnes et, dans certains cas, lorsque le risque est élevé, aux personnes concernées.
Textes de référence
- Le référentiel général de sécurité
- Ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives (JO du 9 décembre 2005, p. 18986)
- Décret n° 2010-112 du 2 février 2010 (référentiel général de sécurité) pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005- 1516 du 8 décembre 2005 relative aux échanges (JO du 4 février 2010, p. 2072)