| N° de demande d'avis : 24007115 | Thématiques : sécurité des systèmes d'information - cybersécurité | |:-------------------------------------------------------------------------------------------------------------|:-------------------------------------------------------------------------------------------------------------------------------------------| |Organisme(s) à l'origine de la saisine : Secrétariat général de la défense et de la sécurité nationale (SGDSN)|Fondement de la saisine : article 31-1 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés|

L'essentiel :
La CNIL a été saisie d'un projet d'arrêté visant à créer un traitement dénommé « Base relative à l'alerte de victimes ». Ce traitement est mis en œuvre au titre des missions de l'ANSSI mentionnées à l'article L. 2321-1 du code de la défense et à l'article 3 du décret n° 2009-834 du 7 juillet 2009 modifié portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information ».
S'agissant du régime juridique applicable, elle estime que l'article 1er du projet d'arrêté devrait être complété afin de préciser dans quel cadre l'alerte des victimes peut être réalisée, à savoir celui défini par l'article L. 2321-3 du code de la défense.

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son titre IV ;
Après avoir entendu le rapport de Mme Isabelle Latournarie-Willems, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

Créée par le décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information », l'ANSSI est l'autorité nationale de défense des systèmes d'information ainsi que l'autorité nationale en matière de sécurité des systèmes d'information. A ce titre, elle a notamment pour missions de :

- mener des inspections des systèmes d'information des services de l'Etat et d'opérateurs publics ou privés ;
- mettre en œuvre des dispositifs de détection des événements susceptibles d'affecter la sécurité des systèmes d'information de l'Etat, des autorités publiques et d'opérateurs publics et privés et de coordonner la réaction à ces événements ;
- recueillir les informations techniques relatives aux incidents affectant les systèmes d'information des personnes mentionnées à l'alinéa précédent.

Elle peut apporter son concours pour répondre à ces incidents.
Son intervention se situe soit dans le cadre du code de la défense lorsque sont en cause la stratégie de sécurité nationale et la politique de défense, soit dans le cadre plus général fixé par le décret du 7 juillet 2009 susmentionné.
La loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense (LPM) a complété les instruments juridiques à la disposition de l'ANSSI pour préserver la sécurité des systèmes d'information. Ces instruments juridiques visent à lutter contre les atteintes à la sécurité des systèmes d'information des autorités publiques, des opérateurs d'importance vitale (OIV), et des opérateurs de services essentiels (OSE) ainsi que d'autres opérateurs publics et privés.
Le décret n° 2024-421 du 10 mai 2024 pris pour l'application des articles L. 2321-2-1 à L. 2321-4-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques, dont la CNIL a été saisie pour avis (CNIL, SP, 7 mars 2024, n° 2024-025, publiée), a d'ores et déjà mis en œuvre certaines dispositions du code de la défense issues de la récente LPM.

B. - L'objet de la saisine

Le projet d'arrêté vise à créer un traitement dénommé « Base relative à l'alerte de victimes ». Selon les indications du SGDSN, ce traitement est mis en œuvre au titre des missions de l'ANSSI mentionnées à l'article L. 2321-1 du code de la défense et à l'article 3 du décret du 7 juillet 2009 susmentionné.

II. - L'avis de la CNIL
A. - Sur les finalités et le régime juridique applicable

Le traitement « Base relative à l'alerte de victimes » a pour finalités la sûreté de l'Etat et de la défense ainsi que l'alerte des utilisateurs ou détenteurs de systèmes d'information vulnérables, menacés ou attaqués, sur la vulnérabilité ou l'atteinte de leur système d'information.
S'agissant du régime juridique applicable à ce traitement, le secrétariat général de la défense et de la sécurité nationale (SGDSN) a indiqué qu'il relève du titre IV de la loi du 6 janvier 1978 susvisée (traitements intéressant la sûreté de l'Etat et la défense), dans la mesure où ce traitement est mis en œuvre pour l'exécution des missions de l'ANSSI dans le cadre des articles L. 2321-1 du code de la défense et 3 du décret du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « ANSSI ».
La CNIL estime que ce renvoi aux missions de l'ANSSI de manière générale ne permet pas de comprendre les raisons qui conduisent à retenir le régime juridique du titre IV de la loi du 6 janvier 1978 modifiée pour l'ensemble du traitement. Elle considère que le traitement ne peut relever intégralement du régime du titre IV qu'à la condition d'être fondé sur le premier alinéa de l'article L. 2321-3 du code de la défense, aux termes duquel « pour les besoins de la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité », l'ANSSI peut obtenir des opérateurs les coordonnées « d'utilisateurs ou de détenteurs de systèmes d'information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou l'atteinte de leur système ». Par conséquent, c'est en tant que le traitement est mis en œuvre pour les besoins de la sécurité des systèmes d'information des autorités publiques, OSE et OIV qu'il est entièrement soumis au régime du titre IV de la loi « informatique et libertés ». Elle prend acte de ce que les victimes peuvent aussi ne pas être des entités régulées appartenant à ces catégories, lorsque le système d'information de ces victimes a été utilisé dans le cadre d'une menace visant en réalité le système d'information d'un OIV, d'un OSE ou d'une autorité publique. Par suite, la CNIL invite le SGDSN à compléter les dispositions du deuxième alinéa de l'article 1er du projet d'arrêté pour indiquer expressément que le cadre dans lequel s'insère l'alerte des victimes est celui fixé par le premier alinéa de l'article L. 2321-3 du code de la défense.
Elle accueille favorablement le fait que le projet de texte ne prévoie pas d'exclure le contrôle a posteriori de la CNIL sur le traitement, bien qu'il relève du titre IV de la loi « informatique et libertés » et que, nonobstant la possibilité de dispense de publication prévue au III de l'article 31 de cette loi, l'arrêté fasse l'objet d'une publication.

B. - Sur les données collectées

L'article 2 du projet d'arrêté énumère les données à caractère personnel relatives à des utilisateurs ou des détenteurs de systèmes d'information vulnérables, menacés ou attaqués, qui pourront être enregistrées dans le traitement :

- adresse IP ou nom de domaine ;
- identité ;
- adresse postale ;
- adresse électronique ;
- le cas échéant, numéro de téléphone.

Il est également prévu que le traitement « Base relative à l'alerte de victimes » fasse l'objet d'une mise en relation au sein de l'ANSSI avec le traitement automatisé de données à caractère personnel dénommé « Données opérationnelles de cyberdéfense », créé par un projet de décret dont la CNIL est également saisie.
S'agissant de cette mise en relation, la CNIL prend acte de ce qu'il ne s'agira pas d'une mise en relation automatisée et que le traitement « Base relative à l'alerte de victimes » a vocation à n'être utilisé que s'il n'a pas été possible d'identifier autrement la victime concernée.
Au regard de ce qui précède, la CNIL considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies, conformément au 3° de l'article 4 de la loi « informatique et libertés ».

C. - Sur les durées de conservation

L'article 3 du projet d'arrêté prévoit que les données sont conservées deux ans à compter de leur collecte.
La CNIL prend acte de ce que les données enregistrées dans le traitement ont seulement vocation à être utilisées pour prendre contact avec la victime, dans l'hypothèse où il n'aurait pas été possible de l'identifier autrement.
Dans ces conditions, la Commission considère que les données sont conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément au 5° de l'article 4 de la loi « informatique et libertés ».

D. - Sur les accédants et les destinataires

L'article 4 du projet d'arrêté liste, au I, les accédants (les agents de l'ANSSI individuellement désignés et spécialement habilités) et, au II, les destinataires de certaines données à caractère personnel et informations pouvant être enregistrées dans le traitement, « mentionnées aux 1°, 3° et 4° de l'article 2 », à savoir « les personnes mentionnées au premier alinéa de l'article L. 2321-3 du code de la défense afin qu'elles puissent communiquer à l'ANSSI les autres informations d'identification mentionnées à l'article 2 ».
La CNIL estime que la définition des destinataires découlant du II précité de l'article 4 du projet doit impérativement être précisée. En réalité, seule la transmission de l'adresse IP ou du nom de domaine et, le cas échéant, du numéro de téléphone de la victime par l'ANSSI à l'opérateur de communications électroniques ou à l'hébergeur est de nature à contribuer à ce que ce dernier communique à l'ANSSI les autres informations mentionnées au premier alinéa de l'article L. 2321-3 du code de la défense - à savoir l'identité, l'adresse postale et l'adresse électronique de la victime. Elle prend acte de l'engagement du SGDSN de modifier le II de l'article 4 du projet d'arrêté afin de permettre à l'ANSSI de transmettre l'adresse électronique de la victime à l'opérateur de communication électronique ou à l'hébergeur.

E. - Sur les droits des personnes

L'article 6 du projet d'arrêté détaille les modalités d'exercice des droits.
Il est prévu que les droits d'information et d'opposition ne s'appliquent pas, conformément aux articles 116 et 117 de la loi « informatique et libertés ». Les droits d'accès, de rectification et d'effacement s'exercent de manière indirecte auprès de la CNIL, dans les conditions prévues à l'article 118 de cette même loi, ce qui n'appelle pas d'observation de sa part.

F. - Sur les mesures de sécurité

La CNIL prend acte de la mise en place d'une journalisation des accès ayant pour seule finalité la détection et la prévention d'opérations illégitimes sur les données du traitement. La Commission prend également acte de la supervision en continu des accès, couplée à un système de détection des anomalies, qui permet d'exploiter ces données et contribue à la sécurité du traitement.
La CNIL prend aussi acte de ce que l'ANSSI réalise une revue trimestrielle des privilèges, afin de limiter les risques que des personnes non autorisées accèdent aux données alors qu'elles n'ont pas le besoin d'en connaître.
Enfin, la CNIL prend également acte de l'absence de recours à un tiers extérieur au ministère : des agents du SGDSN sont les seuls agents, en dehors de l'ANSSI, qui sont amenés à avoir accès aux données du traitement et cela pour l'administration système.
Les autres dispositions du projet d'arrêté n'appellent pas d'observations de la part de la CNIL.