5. Cybersécurité 
5.2. RGPD, Loi informatique et libertés et textes associés
5.2. RGPD, Loi informatique et libertés et textes associés
Arrêté du 18 juin 2024 portant création d’un traitement automatisé de données à caractère personnel dénommé « Suivi des signalements de vulnérabilités effectués dans le cadre de l’article L. 2321-4 du code de la défense »
| Date de signature : | 18/06/2024 | Statut du texte : | En vigueur |
| Date de publication : | 25/06/2024 | Emetteur : | Premier ministre |
| Consolidée le : | Source : | JO du 25 juin 2024 | |
| Date d'entrée en vigueur : | 26/06/2024 |
Arrêté du 18 juin 2024 portant création d’un traitement automatisé de données à caractère personnel dénommé « Suivi des signalements de vulnérabilités effectués dans le cadre de l’article L. 2321-4 du code de la défense »
NOR : PRMD2416800A
Le Premier ministre,
Art. 1er. – Il est créé un traitement automatisé de données à caractère personnel dénommé « Suivi des signalements de vulnérabilités effectués dans le cadre de l’article L. 2321-4 du code de la défense », sous la responsabilité du directeur général de l’Agence nationale de la sécurité des systèmes d’information.
Ce traitement a pour objet la collecte et le traitement des données communiquées par les personnes qui transmettent à l’Agence nationale de la sécurité des systèmes d’information, dans le cadre de l’article L. 2321-4 du code de la défense, des informations sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données.
Il a pour finalités :
1° De caractériser le risque ou la menace au regard des informations ainsi transmises ;
2° Si le risque ou la menace le justifie, d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information affecté par la vulnérabilité.
Art. 2. – Les catégories de données à caractère personnel et informations collectées dans le présent traitement sont les suivantes :
1° Identité de la personne à l’origine du signalement de la vulnérabilité (par exemple : nom, prénom, alias) ;
2° Données liées aux conditions de transmission de la vulnérabilité (par exemple : numéro de téléphone ou adresse de courrier électronique) ;
3° Données liées à l’hébergeur, l’opérateur ou le responsable du système d’information ou du produit vulnérable, transmises dans le cadre du signalement ;
4° Données nécessaires au traitement du signalement auprès de l’hébergeur, de l’opérateur ou du responsable du système d’information ou du produit vulnérable (par exemple : adresse de courrier électronique, numéro de téléphone, adresse postale).
Art. 3. – Les données à caractère personnel mentionnées à l’article 2 sont conservées trois ans à compter de la fin du traitement de la vulnérabilité.
Art. 4. – I. – Sont autorisés à accéder, à raison de leurs attributions, à tout ou partie des données mentionnées à l’article 2, les agents de l’Agence nationale de la sécurité des systèmes d’information.
II. – Dans la limite de leurs besoins respectifs, sont destinataires des données mentionnées au c) de l’article 2 les entités affectées par la vulnérabilité signalée.
Art. 5. – Les opérations de création, consultation, modification et suppression des données à caractère personnel du présent traitement, effectuées par un agent de l’Agence nationale de la sécurité des systèmes d’information, font l’objet d’un enregistrement comprenant l’identification de l’auteur, la date, l’heure et la nature de l’opération. Ces informations sont conservées pendant un an.
Art. 6. – Le droit d’opposition prévu à l’article 21 du règlement du 27 avril 2016 susvisé ne s’applique pas au présent traitement.
Art. 7. – Le directeur général de l’Agence nationale de la sécurité des systèmes d’information est chargé de l’exécution du présent arrêté, qui sera publié au Journal officiel de la République française.
Fait le 18 juin 2024.
Pour le Premier ministre et par délégation :
Le secrétaire général de la défense et de la sécurité nationale,
S. Bouillon
Source Légifrance
NOR : PRMD2416800A
Le Premier ministre,
- Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, notamment le e du 1 de son article 6 ;
- Vu le code de la défense, notamment son article L. 2321-4 ;
- Vu la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
- Vu le décret n°2009-834 du 7 juillet 2009 modifiée portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information », notamment son article 3,
Art. 1er. – Il est créé un traitement automatisé de données à caractère personnel dénommé « Suivi des signalements de vulnérabilités effectués dans le cadre de l’article L. 2321-4 du code de la défense », sous la responsabilité du directeur général de l’Agence nationale de la sécurité des systèmes d’information.
Ce traitement a pour objet la collecte et le traitement des données communiquées par les personnes qui transmettent à l’Agence nationale de la sécurité des systèmes d’information, dans le cadre de l’article L. 2321-4 du code de la défense, des informations sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données.
Il a pour finalités :
1° De caractériser le risque ou la menace au regard des informations ainsi transmises ;
2° Si le risque ou la menace le justifie, d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information affecté par la vulnérabilité.
Art. 2. – Les catégories de données à caractère personnel et informations collectées dans le présent traitement sont les suivantes :
1° Identité de la personne à l’origine du signalement de la vulnérabilité (par exemple : nom, prénom, alias) ;
2° Données liées aux conditions de transmission de la vulnérabilité (par exemple : numéro de téléphone ou adresse de courrier électronique) ;
3° Données liées à l’hébergeur, l’opérateur ou le responsable du système d’information ou du produit vulnérable, transmises dans le cadre du signalement ;
4° Données nécessaires au traitement du signalement auprès de l’hébergeur, de l’opérateur ou du responsable du système d’information ou du produit vulnérable (par exemple : adresse de courrier électronique, numéro de téléphone, adresse postale).
Art. 3. – Les données à caractère personnel mentionnées à l’article 2 sont conservées trois ans à compter de la fin du traitement de la vulnérabilité.
Art. 4. – I. – Sont autorisés à accéder, à raison de leurs attributions, à tout ou partie des données mentionnées à l’article 2, les agents de l’Agence nationale de la sécurité des systèmes d’information.
II. – Dans la limite de leurs besoins respectifs, sont destinataires des données mentionnées au c) de l’article 2 les entités affectées par la vulnérabilité signalée.
Art. 5. – Les opérations de création, consultation, modification et suppression des données à caractère personnel du présent traitement, effectuées par un agent de l’Agence nationale de la sécurité des systèmes d’information, font l’objet d’un enregistrement comprenant l’identification de l’auteur, la date, l’heure et la nature de l’opération. Ces informations sont conservées pendant un an.
Art. 6. – Le droit d’opposition prévu à l’article 21 du règlement du 27 avril 2016 susvisé ne s’applique pas au présent traitement.
Art. 7. – Le directeur général de l’Agence nationale de la sécurité des systèmes d’information est chargé de l’exécution du présent arrêté, qui sera publié au Journal officiel de la République française.
Fait le 18 juin 2024.
Pour le Premier ministre et par délégation :
Le secrétaire général de la défense et de la sécurité nationale,
S. Bouillon
Source Légifrance