5. Cybersécurité 
5.3. Sécurité informatique et de l'information Systèmes d'information des opérateurs d'importance vitale (OIV)
5.3. Sécurité informatique et de l'information Systèmes d'information des opérateurs d'importance vitale (OIV)
Arrêté du 15 juillet 2024 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé « Base relative à l’alerte de victimes »
| Date de signature : | 15/07/2024 | Statut du texte : | En vigueur |
| Date de publication : | 19/07/2024 | Emetteur : | Premier ministre |
| Consolidée le : | Source : | JO du 19 juillet 2024 | |
| Date d'entrée en vigueur : | 20/07/2024 |
Arrêté du 15 juillet 2024 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé « Base relative à l’alerte de victimes »
NOR : PRMD2418954A
Le Premier ministre,
Art. 1er. – Dans le cadre du premier alinéa de l’article L. 2321-3 du code de la défense, le directeur général de l’Agence nationale de la sécurité des systèmes d’information est autorisé à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Base relative à l’alerte de victimes ».
Ce traitement a pour objet la collecte et le traitement des données transmises par les personnes mentionnées au premier alinéa de l’article L. 2321-3 du code de la défense à la suite d’une demande d’identification d’un utilisateur ou d’un détenteur d’un système d’information vulnérable, menacé ou attaqué. Il a pour finalités l’alerte des utilisateurs sur la vulnérabilité ou l’atteinte de leur système d’information.
Art. 2. – Les données ou catégories de données à caractère personnel enregistrées dans la « Base relative à l’alerte de victimes » sont les données relatives à des utilisateurs ou des détenteurs de systèmes d’information vulnérables, menacés ou attaqués suivantes :
1° Adresse IP ou nom de domaine ;
2° Identité ;
3° Adresse postale ;
4° Adresse électronique ;
5° Le cas échéant, numéro de téléphone.
Art. 3. – Les données à caractère personnel mentionnées à l’article 2 sont conservées deux ans, à compter de leur collecte.
Art. 4. – I. – Seuls les agents de l’Agence nationale de la sécurité des systèmes d’information, individuellement désignés et spécialement habilités, peuvent accéder à tout ou partie des données à caractère personnel mentionnées à l’article 2.
II. – Peuvent être destinataires des données mentionnées aux 1o, 4o et 5o de l’article 2, les opérateurs de communications électroniques et les personnes mentionnées au 2 du I de l'article 6 de la loi du 21 juin 2004 susvisée.
Art. 5. – Les opérations de création, consultation, modification et suppression des données à caractère personnel du présent traitement, effectuées par les agents de l’Agence nationale de la sécurité des systèmes d’information, font l’objet d’un enregistrement comprenant l’identification de l’auteur, la date, l’heure et la nature de l’opération effectuée et sont conservées pendant un an.
Art. 6. – Les droits à l’information et d’opposition prévus respectivement aux articles 116 et 117 de la loi du 6 janvier 1978 susvisée ne s’appliquent pas au présent traitement.
Les droits d’accès, de rectification et à l’effacement s’exercent de manière indirecte auprès de la Commission nationale de l’informatique et des libertés, dans les conditions prévues à l’article 118 de la loi du 6 janvier 1978 susvisée.
Art. 7. – Le directeur général de l’Agence nationale de la sécurité des systèmes d’information est chargé de l’exécution du présent arrêté, qui sera publié au Journal officiel de la République française.
Fait le 15 juillet 2024.
Pour le Premier ministre et par délégation :
Le secrétaire général de la défense et de la sécurité nationale,
S. Bouillon
Source Légifrance
NOR : PRMD2418954A
Le Premier ministre,
- Vu le code de la défense, notamment son article L. 2321-3 ;
- Vu la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses titres Ier et IV ;
- Vu la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, notamment son article 6 ;
- Vu le décret n°2009-834 du 7 juillet 2009 modifiée portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information » ;
- Vu la délibération no°2024-052 de la Commission nationale de l’informatique et des libertés en date du 27 juin 2024,
Art. 1er. – Dans le cadre du premier alinéa de l’article L. 2321-3 du code de la défense, le directeur général de l’Agence nationale de la sécurité des systèmes d’information est autorisé à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Base relative à l’alerte de victimes ».
Ce traitement a pour objet la collecte et le traitement des données transmises par les personnes mentionnées au premier alinéa de l’article L. 2321-3 du code de la défense à la suite d’une demande d’identification d’un utilisateur ou d’un détenteur d’un système d’information vulnérable, menacé ou attaqué. Il a pour finalités l’alerte des utilisateurs sur la vulnérabilité ou l’atteinte de leur système d’information.
Art. 2. – Les données ou catégories de données à caractère personnel enregistrées dans la « Base relative à l’alerte de victimes » sont les données relatives à des utilisateurs ou des détenteurs de systèmes d’information vulnérables, menacés ou attaqués suivantes :
1° Adresse IP ou nom de domaine ;
2° Identité ;
3° Adresse postale ;
4° Adresse électronique ;
5° Le cas échéant, numéro de téléphone.
Art. 3. – Les données à caractère personnel mentionnées à l’article 2 sont conservées deux ans, à compter de leur collecte.
Art. 4. – I. – Seuls les agents de l’Agence nationale de la sécurité des systèmes d’information, individuellement désignés et spécialement habilités, peuvent accéder à tout ou partie des données à caractère personnel mentionnées à l’article 2.
II. – Peuvent être destinataires des données mentionnées aux 1o, 4o et 5o de l’article 2, les opérateurs de communications électroniques et les personnes mentionnées au 2 du I de l'article 6 de la loi du 21 juin 2004 susvisée.
Art. 5. – Les opérations de création, consultation, modification et suppression des données à caractère personnel du présent traitement, effectuées par les agents de l’Agence nationale de la sécurité des systèmes d’information, font l’objet d’un enregistrement comprenant l’identification de l’auteur, la date, l’heure et la nature de l’opération effectuée et sont conservées pendant un an.
Art. 6. – Les droits à l’information et d’opposition prévus respectivement aux articles 116 et 117 de la loi du 6 janvier 1978 susvisée ne s’appliquent pas au présent traitement.
Les droits d’accès, de rectification et à l’effacement s’exercent de manière indirecte auprès de la Commission nationale de l’informatique et des libertés, dans les conditions prévues à l’article 118 de la loi du 6 janvier 1978 susvisée.
Art. 7. – Le directeur général de l’Agence nationale de la sécurité des systèmes d’information est chargé de l’exécution du présent arrêté, qui sera publié au Journal officiel de la République française.
Fait le 15 juillet 2024.
Pour le Premier ministre et par délégation :
Le secrétaire général de la défense et de la sécurité nationale,
S. Bouillon
Source Légifrance