JORF n°0171 du 19 juillet 2024

Arrêté du 15 juillet 2024

Le Premier ministre,

Vu le code de la défense, notamment son article L. 2321-3 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses titres Ier et IV ;

Vu la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, notamment son article 6 ;

Vu le décret n° 2009-834 du 7 juillet 2009 modifiée portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information » ;

Vu la délibération n° 2024-052 de la Commission nationale de l'informatique et des libertés en date du 27 juin 2024,

Arrête :

Article 1

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Mise en œuvre d'un traitement automatisé de données pour l'alerte des victimes

Résumé L'Agence collecte des informations pour protéger les systèmes d'information des utilisateurs.

Dans le cadre du premier alinéa de l'article L. 2321-3 du code de la défense, le directeur général de l'Agence nationale de la sécurité des systèmes d'information est autorisé à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Base relative à l'alerte de victimes ».
Ce traitement a pour objet la collecte et le traitement des données transmises par les personnes mentionnées au premier alinéa de l'article L. 2321-3 du code de la défense à la suite d'une demande d'identification d'un utilisateur ou d'un détenteur d'un système d'information vulnérable, menacé ou attaqué. Il a pour finalités l'alerte des utilisateurs sur la vulnérabilité ou l'atteinte de leur système d'information.

1 version

1 cité

Article 2

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Données personnelles enregistrées dans la Base relative à l'alerte de victimes

Résumé Cet article dit quelles informations personnelles sont stockées pour aider les victimes de cyberattaques.

Les données ou catégories de données à caractère personnel enregistrées dans la « Base relative à l'alerte de victimes » sont les données relatives à des utilisateurs ou des détenteurs de systèmes d'information vulnérables, menacés ou attaqués suivantes :
1° Adresse IP ou nom de domaine ;
2° Identité ;
3° Adresse postale ;
4° Adresse électronique ;
5° Le cas échéant, numéro de téléphone.

1 version

Article 3

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Durée de conservation des données personnelles

Résumé Les données personnelles sont gardées deux ans après leur collecte.

Les données à caractère personnel mentionnées à l'article 2 sont conservées deux ans, à compter de leur collecte.

1 version

Article 4

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Accès et destinataires des données à caractère personnel

Résumé Les données personnelles sont protégées et seules certaines personnes peuvent y accéder.

I. - Seuls les agents de l'Agence nationale de la sécurité des systèmes d'information, individuellement désignés et spécialement habilités, peuvent accéder à tout ou partie des données à caractère personnel mentionnées à l'article 2.
II. - Peuvent être destinataires des données mentionnées aux 1°, 4° et 5° de l'article 2, les opérateurs de communications électroniques et les personnes mentionnées au 2 du I de l'article 6 de la loi du 21 juin 2004 susvisée.

1 version

1 cité

Article 5

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Enregistrement des opérations sur les données personnelles

Résumé Les actions sur les données personnelles doivent être enregistrées et gardées pendant un an.

Les opérations de création, consultation, modification et suppression des données à caractère personnel du présent traitement, effectuées par les agents de l'Agence nationale de la sécurité des systèmes d'information, font l'objet d'un enregistrement comprenant l'identification de l'auteur, la date, l'heure et la nature de l'opération effectuée et sont conservées pendant un an.

1 version

Article 6

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Limitation des droits des personnes concernées par le traitement de données

Résumé Les gens n'ont pas le droit de demander des informations ou de s'opposer au traitement des données, mais peuvent demander à la CNIL d'accéder, de corriger ou de supprimer leurs données.

Les droits à l'information et d'opposition prévus respectivement aux articles 116 et 117 de la loi du 6 janvier 1978 susvisée ne s'appliquent pas au présent traitement.
Les droits d'accès, de rectification et à l'effacement s'exercent de manière indirecte auprès de la Commission nationale de l'informatique et des libertés, dans les conditions prévues à l'article 118 de la loi du 6 janvier 1978 susvisée.

1 version

3 cités

Article 7

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Chargé de l'exécution de l'arrêté

Résumé Le directeur général doit faire appliquer et publier cet arrêté.

Le directeur général de l'Agence nationale de la sécurité des systèmes d'information est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.

1 version

Fait le 15 juillet 2024.

Pour le Premier ministre et par délégation :

Le secrétaire général de la défense et de la sécurité nationale,

S. Bouillon