Arrêté du 18 juin 2024 portant création d’un traitement automatisé de données à caractère personnel dénommé « Suivi des signalements de vulnérabilités par des éditeurs de logiciel »
NOR :
PRMD2416806A
Le Premier ministre,
- Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, notamment le e du 1 de son article 6 ;
- Vu le code de la défense, notamment son article L. 2321-4-1 ;
- Vu la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
- Vu le décret n°2009-834 du 7 juillet 2009 modifiée portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information », notamment son article 3,
Arrête :
Art. 1er. – Il est créé un traitement automatisé de données à caractère personnel dénommé « Suivi des remontées de vulnérabilités par les éditeurs de logiciels », sous la responsabilité du directeur général de l’Agence nationale de la sécurité des systèmes d’information.
Ce traitement a pour objet la collecte et le traitement des données transmises par les éditeurs de logiciels mentionnés au sixième alinéa de l’article L. 2321-4-1 du code de la défense, aux fins de :
1° Suivre et gérer les notifications de vulnérabilités significatives affectant un de leurs produits ou les notifications d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits ;
2° En cas d’inaction de l’éditeur, à la suite d’une mise en demeure de l’Agence nationale de la sécurité des systèmes d’information, informer les utilisateurs de ce produit ou rendre publics la vulnérabilité ou l’incident ainsi que l’injonction adressée à l’éditeur de logiciel.
Art. 2. – Les catégories de données à caractère personnel et informations enregistrées dans le présent traitement sont les suivantes :
1° Raison sociale et adresse postale de l’éditeur de logiciel concerné ;
2° Nom, prénom du dirigeant de l’éditeur de logiciel concerné ;
3° Nom, prénom, adresse de messagerie électronique et numéro de téléphone du point de contact au sein de l’éditeur de logiciel concerné pour la gestion de la vulnérabilité ou de l’incident, transmis dans le cadre du signalement ;
4° Données transmises relatives à la vulnérabilité ou à l’incident ;
5° Données nécessaires au traitement de l’information aux utilisateurs, si l’Agence nationale de la sécurité des systèmes d’information y procède et notamment les nom, prénom, adresse de messagerie électronique, adresse postale et numéro de téléphone du point de contact des utilisateurs du produit affecté par la vulnérabilité ou l’incident.
Art. 3. – Les données à caractère personnel mentionnées à l’article 2 sont conservées trois ans à compter de la clôture du traitement de la vulnérabilité ou de l’incident.
Art. 4. – I. – Sont autorisés à accéder, à raison de leurs attributions, à tout ou partie des données à caractère personnel mentionnées à l’article 2, les agents de l’Agence nationale de la sécurité des systèmes d’information.
II. – Peuvent être destinataires de tout ou partie des données à caractère personnel mentionnées au 1° et au 2° de l’article 2 les utilisateurs d’un produit affecté par la vulnérabilité ou l’incident ayant été notifié.
Art. 5. – Les opérations de création, consultation, modification et suppression des données à caractère personnel du présent traitement, effectuées par les agents de l’Agence nationale de la sécurité des systèmes d’information, font l’objet d’un enregistrement comprenant l’identification de l’auteur, la date, l’heure et la nature de l’opération. Ces informations sont conservées pendant un an.
Art. 6. – Le droit d’opposition prévu à l’article 21 du règlement du 27 avril 2016 susvisé ne s’applique pas au présent traitement.
Art. 7. – Le directeur général de l’Agence nationale de la sécurité des systèmes d’information est chargé de l’exécution du présent arrêté, qui sera publié au
Journal officiel de la République française.
Fait le 18 juin 2024.
Pour le Premier ministre et par délégation :
Le secrétaire général de la défense et de la sécurité nationale,
S. Bouillon
Source Légifrance