Alors qu’elles disposent de nombreuses données sensibles, les collectivités sont de plus en plus souvent la proie de cyberattaques. Afin de lutter contre ce phénomène, la Commission National de l’Informatique et des Libertés (Cnil) revient dans son dernier rapport annuel sur les mesures mises en place pour accompagner les collectivités dans leurs démarches de mise en conformité avec le RGPD et rappelle l’obligation pour celles-ci de se doter d’un Délégué à la protection des données.
Selon les chiffres publiés dans son dernier rapport, la Cnil a été notifiée de 4 088 « violations de données » par des organismes détenteurs de bases de données parmi lesquels les collectivités territoriales. 62,8% de ces violations signalées sont dues à des attaques externes malveillantes.
Face à la multiplication de ces attaques, la Cnil souligne la nécessité de mettre en place « une organisation permettant d’anticiper et gérer la sécurité des systèmes d’information et de prendre des mesures de sécurité basiques : procéder à des sauvegardes, utiliser des mots de passe conformes à la recommandation de la Cnil, chiffrer les postes de travail, sécuriser son site web contre les attaques les plus courantes, etc. » Elle a également publié en juillet 2022, en collaboration avec Cybermalveillance.gouv.fr, un guide sur les obligations et les responsabilités des collectivités locales en matière de cybersécurité. Et souligne également la nécessité de se mettre en conformité avec le RGPD.
Un « atelier RGPD » avec un module spécifique pour les collectivités territoriales
A cet effet, la Cnil accompagne les collectivités « dans leur démarche de conformité » notamment grâce à des guides, des référentiels, des recommandations, ou encore des ateliers. Ainsi, la Cnil propose une formation en ligne intitulée « L’atelier RGPD« , gratuite et ouverte à tous. Depuis l’année dernière, un nouveau module s’adresse même directement aux collectivités territoriales.
Le DPD, indispensable pilote de la mise en conformité avec le RGPD
Le RGPD impose par ailleurs « à toute collectivité territoriale, quelle que soit sa taille, de désigner un délégué à la protection des données (DPD) qui sera le pilote de sa mise en conformité ». Ainsi, la Cnil a publié fin 2021 un guide afin d’accompagner les organismes dans la mise en place de la fonction de DPD.
Un an après, la Cnil tient à rappeler dans son rapport annuel que « le délégué à la protection des données joue un rôle essentiel dans la conformité des traitements mis en œuvre par les autorités publiques et qu’il est l’interlocuteur privilégié des agents et des administrés sur l’ensemble des sujets relatifs à la protection des données ».
Concernant cette obligation, 22 communes ont été mises en demeure en 2022 et « 21 ont procédé à la désignation d’un délégué à la protection des données » .