Audit Securite & RGPD

1. Resultats globaux

L'audit a porte sur les 70 communes membres de Haute-Correze Communaute. Voici la repartition :

Categorie	Nombre	Pourcentage	Commentaire
Sites fonctionnels audites	19	27%	Audit complet securite + RGPD realise
Sites en construction	2	3%	Domaine enregistre, pas de contenu publie
Proteges par Cloudflare (pas de site derriere)	3	4%	Protection DNS mais aucun site accessible
Communes SANS aucun site	46	66%	Aucune presence numerique

2. Audit des 19 sites actifs — tableau complet

Chaque site a ete teste sur 10 criteres : HTTPS, HSTS, CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy, trackers tiers, banniere cookies, mentions legales et DPO.

Commune	URL	CMS / Fournisseur	Hebergeur	HSTS	CSP	Trackers	Banniere cookies	Mentions legales	DPO	Score
Ussel	ussel19.fr	WebSee	OVH	Oui	Non	Facebook	Non	Oui	Non	7/10
Aix	aix19.fr	WordPress / Elementor	o2switch	Non	Non	Facebook + GTM + Crisp sans consentement	Non	Oui	Non	2/10
Ambrugeat	ambrugeat.fr	WordPress / Divi	Cloudflare	Non	Non	Facebook	Non	Oui	Non	4/10
Bort-les-Orgues	bfrancebort.fr	WordPress / Divi	o2switch	Non	Non	Facebook	Non	ABSENTES	Non	1/10
La Courtine	lacourtine23.fr	HTML statique	OVH	Non	Non	Facebook SDK	Non	Oui	Non	2/10
Lamaziere-Basse	lamaziere-basse.fr	WordPress / Elementor	o2switch	Non	Non	Facebook	Non	Oui	Non	2/10
Liginiac	liginiac.fr	WebSee	OVH	Oui	Non	Aucun	Oui	Oui	GaiaConnect	9/10
Margerides	margerides.fr	WordPress / Elementor	o2switch	Non	Non	Facebook	Non	Oui	Non	2/10
Merlines	merlines.fr	WordPress / Ashe	Infomaniak	Non	Non	Facebook	Oui	Oui	Oui	6/10
Meymac	meymac.fr	WebSee	OVH	Oui	Non	Facebook	Non	ABSENTES	Non	6/10
Monestier-Merlines	monestier-merlines.fr	WordPress	OVH	Non	Non	Facebook	Non	en HTTP !	Non	2/10
Neuvic	neuvic19.fr	WebSee	OVH	Oui	Non	Aucun	Oui	Oui	D. Miermont	9/10
Peyrelevade	peyrelevade.fr	WebSee	OVH	Oui	Non	Facebook	Non	Oui	Non	7/10
Saint-Angel	saint-angel.fr	IONOS MyWebsite	IONOS	Non	Non	Cookiebot	Oui (Cookiebot)	Oui	Non	6/10
Saint-Merd-la-Breuille	saintmerdlabreuille.fr	WordPress / Elementor	o2switch	Non	Non	Facebook	Non	Oui	Non	2/10
Saint-Pardoux-le-Vieux	saint-pardoux-le-vieux.fr	WordPress / Elementor	o2switch	Non	Non	Facebook	Non	Oui	Non	2/10
Saint-Setiers	saint-setiers.fr	Wix	Wix	Non	Non	Facebook + Wix Analytics	Oui (Wix)	Oui	Non	5/10
Sarroux-Saint-Julien	sarroux-saint-julien.fr	WebSee	OVH	Oui	Non	Facebook	Non	Oui	Non	7/10
Sornac	sornac.fr	WordPress	IONOS	Non	Non	GA + GTM + Facebook	Non	Oui	Oui	5/10

Legende : HSTS = HTTP Strict Transport Security | CSP = Content Security Policy | DPO = Delegue a la Protection des Donnees (obligation RGPD art. 37)

Meilleurs eleves : Liginiac (9/10) et Neuvic (9/10) — les deux seules communes avec un DPO nomme et aucun tracker non consenti.

3. Les 46 communes sans site internet

Ces 46 communes n'ont aucune presence numerique. Leurs administres n'ont pas acces en ligne aux informations municipales, aux alertes, ni aux demarches.

8 communes sont situees en Creuse (23), les 38 autres en Correze (19).

Alleyrat19

Beissat23

Bellechassagne19

Bonnefond19

Chavanac19

Chavagnac19

Chirac-Bellevue19

Combressol19

Confolent-Port-Dieu19

Couffy-sur-Sarsonne19

Courteix19

Cros23

Davignac19

Feyt19

Flayat23

Gioux23

Grandsaigne19

Laroche-pres-Feyt19

Latronche19

Laval-sur-Luzege19

Lignareix19

Magnat-l'Etrange23

Maussac19

Millevaches19

Moustier-Ventadour19

Palisse19

Perols-sur-Vezere19

Roche-le-Peyroux19

Saint-Bonnot-pres-Bort19

Saint-Etienne-aux-Clos19

Saint-Exupery-les-Roches19

Saint-Freminet19

Saint-Germain-Lavolps19

Saint-Julien-pres-Bort19

Saint-Martial-le-Vieux23

Saint-Oradoux-de-Chirouze23

Saint-Pardoux-le-Neuf23

Saint-Remy19

Saint-Sulpice-les-Bois19

Saint-Victour19

Serandon19

Singles19

Soudeilles19

Thalamy19

Valiergues19

Veyriere19

4. Problemes critiques detectes

Critique 66% des communes sans site web — Deux tiers du territoire sont invisibles en ligne. Les administres n'ont aucun acces numerique aux services municipaux.
Critique Facebook charge sans consentement sur 17/19 sites — Violation directe du RGPD (art. 6 et 7) et de la directive ePrivacy. Le SDK Facebook transmet des donnees personnelles (IP, navigateur, pages visitees) a Meta Platforms Inc. (USA) sans base legale.
Critique 5 sites WordPress identiques (meme agence, meme template) — Aix, Lamaziere-Basse, Margerides, Saint-Merd-la-Breuille, Saint-Pardoux-le-Vieux : zero securite, zero HSTS, zero CSP, score 2/10.
Critique Bort-les-Orgues (2e ville du territoire) n'a pas de mentions legales — Obligation legale (loi LCEN art. 6-III). Score 1/10, le plus bas de l'audit.
Grave Monestier-Merlines reference ses mentions legales en HTTP — Le lien vers les mentions legales pointe vers une URL non securisee (http://), exposant les donnees en clair.
Grave Crisp (chat) sur 8 sites sans mention politique de confidentialite — Le widget de chat collecte des donnees personnelles (nom, email, messages) sans informer les utilisateurs.
Grave 2 sites HTTP uniquement (Maussac, Feyt) — Aucun chiffrement des communications. Les donnees transitent en clair sur le reseau.

5. Correctif securite pour hautecorreze.fr

Le site de l'intercommunalite lui-meme necessite l'ajout des headers de securite recommandes par l'ANSSI. Voici le fichier .htaccess a deployer a la racine du site :

# ==============================================
# Headers de securite ANSSI — hautecorreze.fr
# A placer dans .htaccess a la racine du site
# ==============================================

<IfModule mod_headers.c>

    # 1. HSTS — Force HTTPS pendant 1 an
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

    # 2. CSP — Empeche l'injection de scripts tiers
    Header always set Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; frame-ancestors 'none'"

    # 3. X-Frame-Options — Bloque le clickjacking
    Header always set X-Frame-Options "DENY"

    # 4. Referrer-Policy — Limite les fuites de donnees
    Header always set Referrer-Policy "strict-origin-when-cross-origin"

    # 5. Permissions-Policy — Bloque camera, micro, geoloc
    Header always set Permissions-Policy "camera=(), microphone=(), geolocation=(), interest-cohort=()"

</IfModule>
        

Obligation DPO (art. 37 RGPD)

En tant qu'autorite publique, Haute-Correze Communaute a l'obligation legale de designer un Delegue a la Protection des Donnees (DPO). Cette obligation s'etend a chacune des 70 communes membres (possibilite de mutualisation via un DPO partage). Actuellement, seules 4 communes sur 19 mentionnent un DPO sur leur site.

6. Repartition par fournisseur

Fournisseur / CMS	Nombre de sites	Communes	Score moyen
WebSee	7	Ussel, Liginiac, Meymac, Neuvic, Peyrelevade, Sarroux-Saint-Julien, +1	7.3/10
WordPress / Elementor	5	Aix, Lamaziere-Basse, Margerides, St-Merd-la-Breuille, St-Pardoux-le-Vieux	2.0/10
WordPress / Divi	2	Ambrugeat, Bort-les-Orgues	2.5/10
WordPress autre	3	Merlines (Ashe), Monestier-Merlines, Sornac	4.3/10
IONOS MyWebsite	1	Saint-Angel	6.0/10
Wix	1	Saint-Setiers	5.0/10
HTML statique (custom)	1	La Courtine	2.0/10

Constat : WebSee (editeur local) obtient les meilleurs scores grace a l'activation systematique de HSTS via OVH. Les 5 sites WordPress/Elementor sur o2switch (probablement la meme agence web) obtiennent tous 2/10 — ce lot represente le principal risque RGPD du territoire.

Note positive : Aucune commune n'utilise JVS (Citopia) ni Berger-Levrault, ce qui signifie zero lock-in contractuel et une migration facilitee.