La sécurité des données au cœur du service public

Les Conseils Départementaux sont des collectivités territoriales françaises importantes. Celles-ci sont confrontées au quotidien aux risques numériques croissants propres à notre époque et aucun département n’échappe à cette réalité, pas même le Lot-et-Garonne, pourtant considéré comme un territoire plutôt rural.

En 2025, le risque de piratage informatique est de plus en plus présent et menaçant. Comme me l'explique mon tuteur de stage — Chef de Projets Web — S. Delaunay :

Au-delà des considérations éthiques, le véritable enjeu réside dans la nature des données traitées : le Conseil Départemental travaille quotidiennement avec des informations sensibles et hautement personnelles, concernant la santé, la situation sociale ou familiale des citoyens. En tant qu’acteur public central dans la vie des Lot-et-Garonnais, la question de la sécurité de ces données est cruciale. Plus encore que dans d'autres types de structures, une vigilance rigoureuse s'impose afin de garantir leur protection et d’éviter tout risque de fuite ou de mauvaise utilisation.

Limiter les risques

Bien qu'on ne puisse garantir l’absence totale d’attaques informatiques, on peut dès maintenant adopter des outils conformes au RGPD et mettre en place de bonnes pratiques pour limiter les risques au maximum. La solution est parfois de passer par des outils payants, mais plus sûrs. On évite d'utiliser des outils qui ne sont pas en capacité de nous garantir la sécurité des données utilisées. Dans cet exemple, le CD47 (Conseil Départemental du Lot-et-Garonne) a cessé d'utiliser Google Analytics pour son site institutionnel.

Google Analytics est simple, gratuit, mais le CD47 a décidé de ne plus l'utiliser, car il n'y a aucune garantie que le site ne revende pas les données enregistrées à d'autres sociétés privées. Il a donc choisi d'utiliser Matomo, un outil à la fonction similaire et garanti RGPD, avec des serveurs basés en Europe. C'est aujourd'hui un critère important en matière de choix,

Cette décision a aussi été portée par la CNIL (Commission Nationale de l'Informatique et des Libertés), qui a décidé récemment que l'usage de Google Analytics n'était pas conforme au RGPD.

 La remise en cause du Privacy Shield

En 2016, un accord appelé Privacy Shield est mis en place entre l’Union européenne et les États-Unis pour encadrer le transfert des données personnelles des Européens vers les entreprises américaines et qu'elles respectent un certain niveau de protection des données personnelles, conforme aux exigences européennes. Il permettait aux citoyens européens de demander l’accès, la rectification ou la suppression de leurs données détenues par des entreprises américaines.

Mais en 2020, la Cour de Justice de l’Union européenne invalide cet accord, estimant que les lois américaines ne garantissent pas une protection équivalente à celle du RGPD, notamment à cause de la surveillance exercée par les autorités américaines. Cette décision fait suite aux actions de l’ONG autrichienne NOYB (None Of Your Business), qui a déposé plus de 100 plaintes contre des entreprises et pratiques jugées non conformes au droit européen.

Par conséquent, de nombreux transferts de données vers les États-Unis sont devenus juridiquement incertains, voire illégaux. Cette même logique a été appliquée en 2022, lorsque plusieurs autorités de protection des données européennes ont jugé l’utilisation de Google Analytics non conforme au RGPD, en raison du transfert de données vers les serveurs américains sans garanties suffisantes.

Le CD47 a également arrêté d'utiliser Google Forms pour les mêmes raisons, car il sert en plus de cela à récolter des données personnelles comme le nom ou l'adresse mail au cours des formulaires. Ces mesures sont importantes pour protéger les données sensibles, un enjeu d’autant plus crucial face aux menaces numériques qui pèsent sur le service public. Puisque aujourd'hui, Le risque de piratage pour les collectivités territoriales n'est pas à négliger.