<= Revenir à la Lettre d'actualités juridiques
Numérique et télécom
le 12/07/2022
Sara BEN ABDELADHIMSara BEN ABDELADHIM

La CNIL et le site Cybermalveillance.gouv.fr publient un guide à destination des collectivités territoriales en matière de cybersécurité

Guide obligations et responsabilité en matière de cybersécurité des collectivités locales

Constatant la recrudescence des cyberattaques à l’encontre des collectivités territoriales et la méconnaissance du cadre juridique en vigueur par la majorité des communes, la CNIL et le site Cybermalveillance.gouv.fr ont publié un guide visant à accompagner les collectivités territoriales dans leur mise en œuvre d’une plus grande cybersécurité.

Ce guide revient, d’abord, sur les obligations des collectivités territoriales (et leurs établissement publics) en matière de cybersécurité et en particulier sur les obligations liées à la protection des données à caractère personnel, à la mise en œuvre des téléservices et à l’hébergement de données de santé.

Il est, ensuite, exposé les différents régimes de responsabilité pouvant s’appliquer aux collectivités. Le régime de responsabilité applicable à la collectivité est celui de la responsabilité administrative alors que les élus et agents publics encourent, pour leur part, une responsabilité civile ou pénale.

Il ressort ainsi de ce guide, et de la pratique de la matière, que l’obligation principale des collectivités relève de la prévention du risque, en mettant en place les mesures adéquates et en faisant appel à des prestataires de confiance, afin de diminuer la probabilité de survenance d’un risque ou sa fréquence.

Par ailleurs, nous noterons qu’il n’existe pas d’obligation générale pour les collectivités territoriales ou les syndicats mixtes, pas plus que pour les personnes publiques en général, de s’assurer contre le cyber-risque. Seules certaines polices d’assurance sont obligatoires à raison de certaines activités jugées particulièrement risquées (les établissements de santé ont par exemple l’obligation de s’assurer en application des articles L. 251-1 du Code des assurances et L. 1142-2 du Code de la santé publique, qui visent tout professionnel de santé).

Cela étant dit, même en l’absence d’une telle obligation, la souscription à une assurance contre le cyber-risque peut apparaître pertinente au regard du préjudice pouvant être subi par la collectivité, qui pourrait être regardée comme responsable en cas d’insuffisance ou de non-respect des mesures de sécurité mises en place au sein de ses services.