Sécurité informatique et conformité réglementaire - Demande d'intervention par Monsieur le Conseiller communal Christophe BURTON

Exposé

Projet de décision

Monsieur le Bourgmestre,

Mesdames et Messieurs les Échevins,

Chers collègues,

Ces derniers mois, ces dernières années, plusieurs incidents graves de cybersécurité ont touché nos institutions publiques, locales comme régionales. Nous avons tous en mémoire l'attaque en 2023 contre le CPAS de Charleroi, qui a paralysé des services essentiels, exposé potentiellement des données sensibles et entraîné des coûts importants pour la collectivité. Plus récemment encore, en avril 2025, la Région wallonne a elle aussi été victime d'une cyberattaque majeure, démontrant une fois de plus la vulnérabilité de nos administrations face à des menaces de plus en plus sophistiquées.

Dans ce contexte, je m'inquiète du niveau de préparation et de résilience de la Ville de Charleroi face à ces risques. La ville gère quotidiennement des données hautement sensibles : données sociales, données de santé, dossiers urbanistiques, données RH, registres administratifs… Toute faille dans nos systèmes n'est pas seulement un problème technique : c'est une menace directe pour la continuité des services publics, pour la protection de nos citoyens et pour la crédibilité de notre institution.

Au-delà de l'enjeu opérationnel, il existe des obligations légales strictes :

• Le RGPD, qui impose non seulement la protection des données personnelles mais aussi la mise en place de mesures techniques et organisationnelles adéquates, l'obligation de confidentialité, ainsi qu'un registre documenté des traitements.

• La directive NIS2, qui renforce considérablement les exigences de cybersécurité pour les collectivités locales considérées comme entités essentielles ou importantes incluant désormais de nombreuses communes. Les administrations locales (plus de 30 000 hab. ou fournissant des services essentiels) doivent renforcer leur gouvernance, gérer les risques et signaler les incidents majeurs. L'enregistrement est requis auprès du Centre for Cybersecurity Belgium (CCB).

Elle impose notamment une gouvernance claire, des politiques internes de sécurité, des audits réguliers, une gestion des incidents documentée, et un reporting obligatoire en cas d'attaque.

La ville de Charleroi se trouve à l'intérieur du champ d'application de la loi, car avec le réseau de chaleur urbain elle devient entité essentielle (voir annexe 1 de la loi).

• Les bonnes pratiques de gouvernance IT, parmi lesquelles la désignation d'un responsable de la sécurité de l'information (CISO/RSI), la mise en place de plans de continuité et de reprise d'activité (PCA/PRA), et une sensibilisation régulière du personnel aux cyber-risques (avec des formations spécifiques aux utilisations des mails en toutes sécurité, sites non sécurisés ou douteux, actions à effectuer en cas de doute,…).

• Les priorités thématiques du CCB pour 2026-2028 sont les traitements de données à grande échelle présentant un risque élevé et la protection des données personnelles des mineurs.
Face à ces enjeux, je souhaite poser les questions suivantes au Collège communal :

1. Où en est la Ville de Charleroi en matière de stratégie de cybersécurité ?

Dispose-t-elle d'un plan de sécurité informatique formalisé, régulièrement mis à jour et aligné avec les exigences Cyfun Basic du CCB au minimum ? Si oui de quand date sa dernière mise à jour ?

2. Un responsable de la sécurité des systèmes d'information (CISO/RSI) est-il officiellement désigné ?

Si oui, quelle est l'étendue de ses responsabilités et dispose-t-il des moyens suffisants ?

Si non, cette désignation sera-t-elle réalisée et quand ?

3. Quelles mesures ont été prises depuis l'attaque contre le CPAS afin d'éviter qu'un incident similaire ne se produise au niveau de la Ville ?

4. La Ville est-elle conforme au RGPD en matière de protection des données personnelles des citoyens et de son personnel ?

Nomination du DPO, Registre des traitements, Analyses d'impact (DPIA), Politique de gestion des accès, Mesures techniques et organisationnelle de sécurité, Procédure de notification des incidents à l'APD, Validation des sous-traitants, ...

Pouvez-vous faire un état d'avancement clair sur ces points ?

5. Quel est le niveau de préparation actuel en cas de cyberincident majeur ?

Existe-t-il un plan de continuité d'activité et un plan de reprise informatique testés et opérationnels ? Si oui quand a-t 'il été mis à jour ?

6. Quel est le budget alloué à la cybersécurité ?

Peut-on savoir quelle est la part d'investissement (extraordinaire) spécifiquement dédiée à la cybersécurité pour l'année 2026 ? Ainsi que la manière dont ils sont structurés (prévention, sensibilisation, outillage technique, audits, etc.) ?

7. Des formations ou campagnes de sensibilisation sont-elles organisées pour le personnel communal ?

Le facteur humain demeure la première source de risque : quelles actions concrètes sont planifiées ?

8. Quand le registre documenté des traitements du RGPD ont-ils été mis à jour pour la dernière fois ?

Ce registre doit être tenu à jour régulièrement sans quoi cette mise en place ne correspond pas aux exigences du RGPD

9. Centralisation des compétences et/ou un audit croisé entre différentes instances : Ville de Charleroi, CPAS, Sambrienne (vdc actionnaire principale) ?

Il serait opportun de centraliser les services de cybersécurité et de formations aux utilisateurs entre les instances dépendantes de la Ville de Charleroi et peut-être les intercommunales où la Ville est actionnaire majoritaire.

10. Priorités 2026-2028 du CCB, Que met en place la Ville de Charleroi ?

Connaissant les priorités du CCB que va mettre en place la ville pour renforcer la protection des données à grande échelle et concernant les personnes mineurs sachant que la ville est PO des écoles et gère les ATL.

Monsieur le Bourgmestre, Mesdames et Messieurs, la cybersécurité n'est plus une option : c'est une obligation légale et une responsabilité politique majeure. En l'absence de mesures robustes et proactives, ce sont non seulement nos

infrastructures informatiques qui sont menacées, mais également le fonctionnement même du service public et surtout les données personnelles de nos concitoyens.

Je vous remercie pour vos réponses.

Entend l'intervention de Monsieur le Conseiller Christophe Burton, la réponse de Monsieur le Bourgmestre Thomas Dermine et la réplique de Monsieur le Conseiller Christophe Burton.