JORF n°0148 du 25 juin 2024

Arrêté du 18 juin 2024

Le Premier ministre,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, notamment le e du 1 de son article 6 ;

Vu le code de la défense, notamment son article L. 2321-4 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2009-834 du 7 juillet 2009 modifiée portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information », notamment son article 3,

Arrête :

Article 1

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Création d'un traitement automatisé de données pour le suivi des signalements de vulnérabilités

Résumé Un système surveille les failles de sécurité des ordinateurs et avertit les responsables en cas de danger.

Il est créé un traitement automatisé de données à caractère personnel dénommé " Suivi des signalements de vulnérabilités effectués dans le cadre de l'article L. 2321-4 du code de la défense ", sous la responsabilité du directeur général de l'Agence nationale de la sécurité des systèmes d'information.
Ce traitement a pour objet la collecte et le traitement des données communiquées par les personnes qui transmettent à l'Agence nationale de la sécurité des systèmes d'information, dans le cadre de l'article L. 2321-4 du code de la défense, des informations sur l'existence d'une vulnérabilité concernant la sécurité d'un système de traitement automatisé de données.
Il a pour finalités :
1° De caractériser le risque ou la menace au regard des informations ainsi transmises ;
2° Si le risque ou la menace le justifie, d'avertir l'hébergeur, l'opérateur ou le responsable du système d'information affecté par la vulnérabilité.

1 version

1 cité

Article 2

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Catégories de données à caractère personnel collectées pour le signalement de vulnérabilités

Résumé L'arrêté du 18 juin 2024 liste les informations personnelles et de contact recueillies pour signaler des failles de sécurité.

Les catégories de données à caractère personnel et informations collectées dans le présent traitement sont les suivantes :
1° Identité de la personne à l'origine du signalement de la vulnérabilité (par exemple : nom, prénom, alias) ;
2° Données liées aux conditions de transmission de la vulnérabilité (par exemple : numéro de téléphone ou adresse de courrier électronique) ;
3° Données liées à l'hébergeur, l'opérateur ou le responsable du système d'information ou du produit vulnérable, transmises dans le cadre du signalement ;
4° Données nécessaires au traitement du signalement auprès de l'hébergeur, de l'opérateur ou du responsable du système d'information ou du produit vulnérable (par exemple : adresse de courrier électronique, numéro de téléphone, adresse postale).

1 version

Article 3

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Conservation des données à caractère personnel

Résumé Les données personnelles sont conservées trois ans après le traitement de la vulnérabilité.

Les données à caractère personnel mentionnées à l'article 2 sont conservées trois ans à compter de la fin du traitement de la vulnérabilité.

1 version

Article 4

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Accès aux données de sécurité des systèmes d'information

Résumé Les agents de sécurité peuvent accéder à des données sensibles pour leur travail, et les entités touchées par une faille peuvent aussi les obtenir si nécessaire.

I. - Sont autorisés à accéder, à raison de leurs attributions, à tout ou partie des données mentionnées à l'article 2, les agents de l'Agence nationale de la sécurité des systèmes d'information.
II. - Dans la limite de leurs besoins respectifs, sont destinataires des données mentionnées au c) de l'article 2 les entités affectées par la vulnérabilité signalée.

1 version

Article 5

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Enregistrement des opérations sur les données personnelles

Résumé Toutes les modifications de données personnelles sont enregistrées pendant un an.

Les opérations de création, consultation, modification et suppression des données à caractère personnel du présent traitement, effectuées par un agent de l'Agence nationale de la sécurité des systèmes d'information, font l'objet d'un enregistrement comprenant l'identification de l'auteur, la date, l'heure et la nature de l'opération. Ces informations sont conservées pendant un an.

1 version

Article 6

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Exclusion du droit d'opposition pour un traitement de données

Résumé On ne peut pas s'opposer au traitement des données de cet arrêté.

Le droit d'opposition prévu à l'article 21 du règlement du 27 avril 2016 susvisé ne s'applique pas au présent traitement.

1 version

Article 7

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Exécution de l'arrêté par le DG de l'Agence nationale de la sécurité des systèmes d'information

Résumé Le patron de l'ANSSI doit faire appliquer cet arrêté et le publier.

Le directeur général de l'Agence nationale de la sécurité des systèmes d'information est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.

1 version

Fait le 18 juin 2024.

Pour le Premier ministre et par délégation :

Le secrétaire général de la défense et de la sécurité nationale,

S. Bouillon