Conformité au RGPD : un impératif pour une commune selon la CRC 

“La commune dispose en mairie d’une salle informatique hébergeant notamment les serveurs. La fenêtre de la salle est grillagée et un extincteur est mis à disposition ; en revanche, l’accès est libre et la porte ne comporte pas de système de fermeture sécurisé. La commune recourt à un prestataire pour assurer la maintenance des installations et du matériel informatique.

La sauvegarde des données communales est assurée quotidiennement et dupliquée sur un second serveur. Le niveau de sécurité pourrait encore être renforcé par une sauvegarde sur un serveur virtuel externalisé, démarche que la commune a engagée. La gestion des systèmes d’information appelle deux observations. D’une part, la sécurité de l’accès aux postes de travail est insuffisante. 

Aucune complexité des mots de passe n’est exigée ; ils sont partagés entre les utilisateurs au motif d’assurer la continuité du service et le directeur général des services détient ceux de tous les agents.

La chambre invite la commune à suivre les recommandations de l’Agence nationale de sécurité des systèmes d’information (ANSSI) en matière d’authentification et de mots de passe¹.

D’autre part, la gestion des données personnelles n’est pas conforme à la réglementation. En décembre 2019, la commune a amorcé sa mise en conformité avec le règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018. Le conseil municipal a alors approuvé le principe d’un recours aux services du centre de gestion de la fonction publique territoriale du Morbihan, pour accompagner la commune dans sa démarche de sécurisation des données et intervenir comme délégué à la protection des données. Cette option de mutualisation, fréquemment utilisée par les petites communes, est de bonne gestion. 

Cependant, le maire n’a pas exécuté cette délibération : aucune convention n’a été signée avec le centre de gestion, dont l’accompagnement n’a jamais été sollicité. Le délégué à la protection des données n’est pas désigné et le registre des traitements de données personnelles, imposé par l’article 30 du RGPD, n’a pas été établi. La commune n’a donc entrepris aucune démarche pour renforcer la protection des données personnelles qu’elle traite. 

La chambre rappelle que les collectivités territoriales, y compris les petites communes, compte tenu de leurs missions et de l’exercice de l’autorité publique, doivent particulièrement veiller à la protection des données à caractère personnel qu’elles détiennent. Cette protection s’avère d’autant plus essentielle s’agissant de l’obligation de sécurité, que les systèmes d’information des acteurs publics sont la cible d’attaques informatiques récurrentes² . 

La chambre invite par conséquent le maire à exécuter la délibération du 16 décembre 2019 et à s’appuyer effectivement sur le centre départemental de gestion pour mettre la commune en conformité avec le RGPD. 

De manière générale, pour sécuriser ses systèmes d’informations, la commune gagnerait à envisager une mutualisation avec Centre Morbihan Communauté, qui intervient dans ce domaine depuis 2014, et à solliciter l’ANSSI qui dispose de délégués régionaux. 

En réponse aux observations provisoires, la commune a pris acte des actions à entreprendre et indiqué que certaines sont en cours (sauvegarde externe, contacts avec le centre de gestion et l’ANSSI)”.

Notes

1. www.ssi.gouv.fr/guide/recommandations-relatives-a-lauthentification-multifacteur-et-aux-mots-de-passe/. ↩︎
2. Termes du communiqué de la Cnil en date du 5 mai 2022. ↩︎