5. Cybersécurité 
5.3. Sécurité informatique et de l'information Systèmes d'information des opérateurs d'importance vitale (OIV)
5.3. Sécurité informatique et de l'information Systèmes d'information des opérateurs d'importance vitale (OIV)
Décret n° 2024-847 du 19 juillet 2024 relatif au traitement automatisé de données à caractère personnel dénommé « Données opérationnelles de cyberdéfense »
| Date de signature : | 19/07/2024 | Statut du texte : | En vigueur |
| Date de publication : | 20/07/2024 | Emetteur : | Premier ministre |
| Consolidée le : | Source : | JO du 20 juillet 2024 | |
| Date d'entrée en vigueur : | 20/07/2024 |
Décret n° 2024-847 du 19 juillet 2024 relatif au traitement automatisé de données à caractère personnel dénommé « Données opérationnelles de cyberdéfense »
NOR : PRMD2416738D
Publics concernés : autorité nationale de sécurité des systèmes d’information, Agence nationale de la sécurité des systèmes d’information (ANSSI), autorités publiques, opérateurs publics et privés mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense et à l’article 5 de la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.
Objet : création d’un traitement automatisé de données à caractère personnel dénommé « Données opérationnelles de cyberdéfense ».
Entrée en vigueur : le texte entre en vigueur immédiatement.
Notice : le décret vise à autoriser l’Agence nationale de sécurité des systèmes d’information à mettre en œuvre un traitement automatisé de données à caractère personnel dans le cadre de ses missions prévues aux articles L. 2321-1 et suivants du code de la défense ainsi que dans le décret n°2009-834 du 7 juillet 2009 modifiée portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information ».
Références : le décret peut être consulté sur le site Légifrance (https://www.legifrance.gouv.fr).
Le Premier ministre,
Décrète :
Art. 1er. – I. – Le directeur général de l’Agence nationale de la sécurité des systèmes d’information est autorisé à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé : « Données opérationnelles de cyberdéfense ».
II. ‒ Ce traitement a pour finalités :
1° L’évaluation et l’amélioration du niveau de sécurité des systèmes d’information ainsi que son suivi dans le temps ;
2° La supervision et l’analyse des événements affectant ou susceptibles d’affecter la sécurité des systèmes d’information ainsi que son suivi dans le temps ;
3° La qualification, le traitement, l’analyse et le suivi dans le temps des incidents de sécurité affectant les systèmes d’information ;
4° La prévention et l’analyse des activités malveillantes affectant ou susceptibles d’affecter la sécurité des systèmes d’information.
Art. 2. – I. – Peuvent être enregistrées dans le traitement mentionné au I de l’article 1er les catégories de données à caractère personnel suivantes :
1° Au titre de l’évaluation et de l’amélioration du niveau de sécurité des systèmes d’information, dans le périmètre de systèmes d’information défini entre l’Agence nationale de la sécurité des systèmes d’information et les bénéficiaires de ses services et dans la stricte mesure de cette finalité :
II. – Les données intéressant la sûreté de l’Etat et la défense, de façon isolée ou groupée, font l’objet d’une identification dans le traitement.
Art. 3. – Conformément aux dispositions du III de l’article 6 de la loi du 6 janvier 1978 susvisée, sont autorisés, pour les seules fins et dans le strict respect des conditions définies au présent décret, la collecte, la conservation et le traitement de données mentionnées au I du même article.
Art. 4. – I. – Sont autorisés à accéder à tout ou partie des données à caractère personnel et informations mentionnées à l’article 2, dans la limite de leurs besoins et à raison de leurs attributions, les agents de l’Agence nationale de la sécurité des systèmes d’information.
II. – Au titre de l’évaluation et de l’amélioration du niveau de sécurité des systèmes d’information, sont destinataires des données à caractère personnel et informations mentionnées au 1° de l’article 2, à raison de leurs attributions, les commanditaires des audits.
III. – Au titre de la supervision et de l’analyse des événements affectant ou susceptibles d’affecter la sécurité des systèmes d’information, dans la limite de leurs besoins et de leurs attributions respectifs, sont destinataires de tout ou partie des données à caractère personnel et informations mentionnées au 2° de l’article 2, les agents de l’Etat, de l’autorité publique, le personnel de l’opérateur d’importance vitale ou celui de l’opérateur de service essentiel, les personnels de leurs prestataires ou sous-traitants qui sont les interlocuteurs du service de supervision de l’Agence nationale de la sécurité des systèmes d’information dans la chaîne de traitement des incidents.
IV. – Au titre de la qualification, du traitement et de l’analyse d’un incident de sécurité affectant les systèmes d’information, sont destinataires de tout ou partie des données à caractère personnel et informations mentionnées au 3° de l’article 2 les entités contribuant au traitement de l’incident de sécurité si le bénéficiaire a donné son accord.
V. – Les données relatives à des incidents informatiques traités ou ayant vocation à être traités en coopération avec des partenaires de l’Agence nationale de la sécurité des systèmes d’information et directement utiles à la prévention ou à la caractérisation des menaces ou relatives aux victimes potentielles, sont :
2° Les partenaires européens de l’Agence nationale de la sécurité des systèmes d’information, notamment le réseau des centres de réponse aux incidents de sécurité informatique, et internationaux, dans le domaine de la cybersécurité.
VI. ‒ Les données à caractère personnel et informations intéressant la sûreté de l’Etat et la défense, identifiées de façon isolée ou groupée peuvent être transmises aux mêmes catégories de destinataires.
Art. 5. – I. – Les données à caractère personnel collectées au titre des finalités mentionnées aux 1°, à 3° du II de l’article 1er peuvent être conservées dix ans à compter de leur collecte par l’Agence nationale de la sécurité des systèmes d’information.
II. – Les données à caractère personnel collectées au titre de la finalité mentionnée au 4° du II de l’article 1er sont conservées dans les conditions suivantes :
1° Les données à caractère personnel collectées sur le fondement de l’article L. 2321-2-1 du code de la défense, qualifiées par l’Agence nationale de la sécurité des systèmes d’information comme étant directement utiles à la prévention et à la caractérisation des menaces et celles permettant d’identifier des victimes, sont conservées deux ans à compter de cette collecte.
Les données qui ne sont pas qualifiées comme étant directement utiles à la prévention et à la caractérisation des menaces sont détruites dans un délai de vingt-quatre heures à compter de leur qualification ;
2° Les données à caractère personnel collectées sur le fondement de l’article L. 2321-2-3 du code de la défense, qualifiées par l’Agence nationale de la sécurité des systèmes d’information comme étant directement utiles à la caractérisation des menaces et celles permettant d’identifier des victimes, sont conservées cinq ans à compter de cette collecte.
Les données qui ne sont pas qualifiées comme étant directement utiles à la caractérisation des menaces sont détruites dans un délai de vingt-quatre heures à compter de leur qualification ;
3° Les données à caractère personnel collectées sur le fondement du deuxième alinéa de l’article L. 2321-3 du code de la défense, sont conservées cinq ans à compter de leur collecte par l’Agence nationale de la sécurité des systèmes d’information ;
4° Les données à caractère personnel mentionnées au e du 4° du I de l’article 2 sont conservées au maximum dix ans à compter de leur collecte.
Art. 6. – Les opérations de création, consultation, modification et suppression des données à caractère personnel du présent traitement, effectuées par les agents de l’Agence nationale de la sécurité des systèmes d’information, font l’objet d’un enregistrement comprenant l’identification de l’auteur, la date, l’heure et la nature de l’opération, à l’exclusion de ces données elles-mêmes. Ces informations sont conservées pendant un an.
Art. 7. – I. – Les droits à l’information et d’opposition prévus respectivement aux articles 12 à 14 et 21 du règlement (UE) 2016/679 du 27 avril 2016 susvisé ne s’appliquent pas au présent traitement, conformément à l’article 23 du même règlement.
Les droits d’accès, de rectification et à l’effacement s’exercent directement auprès de l’Agence nationale de la sécurité des systèmes d’information, à l’attention de contact RGPD, 51, boulevard de La-Tour-Maubourg, 75700 Paris 07 SP.
II. – Concernant les données intéressant la sûreté de l’Etat et la défense, les droits à l’information et d’opposition prévus respectivement aux articles 116 et 117 de la loi du 6 janvier 1978 susvisée ne s’appliquent pas au présent traitement.
Les droits d’accès, de rectification et à l’effacement s’exercent de manière indirecte auprès de la Commission nationale de l’informatique et des libertés, dans les conditions prévues à l’article 118 de la loi du 6 janvier 1978 susvisée.
Art. 8. – Le présent décret sera publié au Journal officiel de la République française et entrera en vigueur immédiatement.
Fait le 19 juillet 2024.
Gabriel Attal
Source Légifrance
NOR : PRMD2416738D
Publics concernés : autorité nationale de sécurité des systèmes d’information, Agence nationale de la sécurité des systèmes d’information (ANSSI), autorités publiques, opérateurs publics et privés mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense et à l’article 5 de la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.
Objet : création d’un traitement automatisé de données à caractère personnel dénommé « Données opérationnelles de cyberdéfense ».
Entrée en vigueur : le texte entre en vigueur immédiatement.
Notice : le décret vise à autoriser l’Agence nationale de sécurité des systèmes d’information à mettre en œuvre un traitement automatisé de données à caractère personnel dans le cadre de ses missions prévues aux articles L. 2321-1 et suivants du code de la défense ainsi que dans le décret n°2009-834 du 7 juillet 2009 modifiée portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information ».
Références : le décret peut être consulté sur le site Légifrance (https://www.legifrance.gouv.fr).
Le Premier ministre,
- Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, notamment le e du 1 de l’article 6 ;
- Vu la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n°910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148, notamment son article 11 ;
- Vu le code civil, notamment son article 1er ;
- Vu le code de la défense, notamment ses articles L. 1332-1, L. 1332-2, L. 1332-6-2, L. 2321-1 à L. 2321-3, R.* 1132-3, R. 2321-1-1 à R. 2321-1-11 et R. 1332-41-10 et R. 1332-41-11 du code de la défense ;
- Vu le code des postes et des communications électroniques, notamment son article L. 33-14 ;
- Vu la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 31 et son titre IV ;
- Vu la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité ;
- Vu le décret n°2009-834 du 7 juillet 2009 modifiée portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information », notamment ses articles 1er et 3 ;
- Vu la délibération n°2024-053 de de la Commission nationale de l’informatique et des libertés en date du 27 juin 2024 ;
- Vu l’urgence ;
Décrète :
Art. 1er. – I. – Le directeur général de l’Agence nationale de la sécurité des systèmes d’information est autorisé à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé : « Données opérationnelles de cyberdéfense ».
II. ‒ Ce traitement a pour finalités :
1° L’évaluation et l’amélioration du niveau de sécurité des systèmes d’information ainsi que son suivi dans le temps ;
2° La supervision et l’analyse des événements affectant ou susceptibles d’affecter la sécurité des systèmes d’information ainsi que son suivi dans le temps ;
3° La qualification, le traitement, l’analyse et le suivi dans le temps des incidents de sécurité affectant les systèmes d’information ;
4° La prévention et l’analyse des activités malveillantes affectant ou susceptibles d’affecter la sécurité des systèmes d’information.
Art. 2. – I. – Peuvent être enregistrées dans le traitement mentionné au I de l’article 1er les catégories de données à caractère personnel suivantes :
1° Au titre de l’évaluation et de l’amélioration du niveau de sécurité des systèmes d’information, dans le périmètre de systèmes d’information défini entre l’Agence nationale de la sécurité des systèmes d’information et les bénéficiaires de ses services et dans la stricte mesure de cette finalité :
- a) Données relatives aux personnes physiques interrogées dans le cadre des audits de sécurité ou des contrôles d’évaluation de la sécurité du système d’information :
- i) Nom, nom marital, prénoms, surnom, alias ;
- ii) Fonction ;
- iii) Adresse professionnelle ;
- iv) Adresse de courrier électronique professionnelle ;
- v) Numéro de téléphone professionnel ;
- b) Données relatives aux personnes physiques liées à un bénéficiaire d’un service d’expertise automatisé :
- i) Nom, nom marital, prénoms, surnom, alias ;
- ii) Fonction ;
- iii) Adresse de courrier électronique professionnelle ;
- iv) Numéro de téléphone professionnel ;
- c) Documents fournis par l’entité contrôlée ou auditée ;
- d) Données relatives à la configuration des équipements de l’entité contrôlée ou auditée ;
- e) Données relatives aux annuaires informatiques de l’entité contrôlée ou auditée ;
- a) Adresses IP ou url ;
- b) Données techniques d’authentification ;
- c) Données de navigation ;
- d) Données de messagerie ;
- e) Données d’activités des réseaux ou des systèmes supervisés ;
- f) Données de communications réseau reliées à une menace ;
- g) Traces d’activité sur le système ;
- a) Données relatives aux personnes physiques impliquées dans l’incident :
- i) Nom, nom marital, prénoms, surnom, alias ;
- ii) Fonction ;
- iii) Adresse de courrier électronique professionnelle ;
- iv) Numéro de téléphone professionnel ;
- b) Données relatives aux journaux de connexion du bénéficiaire ;
- c) Données relatives aux paramètres de configuration du bénéficiaire ;
- d) Données relatives aux annuaires informatiques du bénéficiaire ;
- e) Données de navigation ;
- f) Données présentes sur les systèmes compromis ou susceptibles de l’être qui sont collectées lors d’investigation numérique ;
- g) Données relatives au traitement de l’incident ;
- a) Communications électroniques liées aux activités de l’attaquant en application de l’article L. 2321-2-1 du code de la défense ;
- b) Données système liées à l’attaquant en application de l’article L. 2321-2-1 du code de la défense ;
- c) Communications électroniques à destination d’un nom de domaine redirigé vers un serveur sécurisé de l’Agence nationale de la sécurité des systèmes d’information en application de l’article L. 2321-2-3 du code de la défense ;
- d) Informations transmises par les opérateurs de communications électroniques mentionnées aux articles R. 9-12-3 et R. 10-15 du code des postes et des communications électroniques ;
- e) Fichiers utiles à la prévention et la caractérisation de la menace, soumis dans le cadre de services opérés par l’Agence nationale de la sécurité des systèmes d’information.
II. – Les données intéressant la sûreté de l’Etat et la défense, de façon isolée ou groupée, font l’objet d’une identification dans le traitement.
Art. 3. – Conformément aux dispositions du III de l’article 6 de la loi du 6 janvier 1978 susvisée, sont autorisés, pour les seules fins et dans le strict respect des conditions définies au présent décret, la collecte, la conservation et le traitement de données mentionnées au I du même article.
Art. 4. – I. – Sont autorisés à accéder à tout ou partie des données à caractère personnel et informations mentionnées à l’article 2, dans la limite de leurs besoins et à raison de leurs attributions, les agents de l’Agence nationale de la sécurité des systèmes d’information.
II. – Au titre de l’évaluation et de l’amélioration du niveau de sécurité des systèmes d’information, sont destinataires des données à caractère personnel et informations mentionnées au 1° de l’article 2, à raison de leurs attributions, les commanditaires des audits.
III. – Au titre de la supervision et de l’analyse des événements affectant ou susceptibles d’affecter la sécurité des systèmes d’information, dans la limite de leurs besoins et de leurs attributions respectifs, sont destinataires de tout ou partie des données à caractère personnel et informations mentionnées au 2° de l’article 2, les agents de l’Etat, de l’autorité publique, le personnel de l’opérateur d’importance vitale ou celui de l’opérateur de service essentiel, les personnels de leurs prestataires ou sous-traitants qui sont les interlocuteurs du service de supervision de l’Agence nationale de la sécurité des systèmes d’information dans la chaîne de traitement des incidents.
IV. – Au titre de la qualification, du traitement et de l’analyse d’un incident de sécurité affectant les systèmes d’information, sont destinataires de tout ou partie des données à caractère personnel et informations mentionnées au 3° de l’article 2 les entités contribuant au traitement de l’incident de sécurité si le bénéficiaire a donné son accord.
V. – Les données relatives à des incidents informatiques traités ou ayant vocation à être traités en coopération avec des partenaires de l’Agence nationale de la sécurité des systèmes d’information et directement utiles à la prévention ou à la caractérisation des menaces ou relatives aux victimes potentielles, sont :
- a) Les adresses IP, url ou identifiants, directement ou indirectement identifiants ;
- b) Les adresses de courrier électronique ;
- c) Les noms, noms maritaux, prénoms, surnoms, alias. Les destinataires de ces données sont :
2° Les partenaires européens de l’Agence nationale de la sécurité des systèmes d’information, notamment le réseau des centres de réponse aux incidents de sécurité informatique, et internationaux, dans le domaine de la cybersécurité.
VI. ‒ Les données à caractère personnel et informations intéressant la sûreté de l’Etat et la défense, identifiées de façon isolée ou groupée peuvent être transmises aux mêmes catégories de destinataires.
Art. 5. – I. – Les données à caractère personnel collectées au titre des finalités mentionnées aux 1°, à 3° du II de l’article 1er peuvent être conservées dix ans à compter de leur collecte par l’Agence nationale de la sécurité des systèmes d’information.
II. – Les données à caractère personnel collectées au titre de la finalité mentionnée au 4° du II de l’article 1er sont conservées dans les conditions suivantes :
1° Les données à caractère personnel collectées sur le fondement de l’article L. 2321-2-1 du code de la défense, qualifiées par l’Agence nationale de la sécurité des systèmes d’information comme étant directement utiles à la prévention et à la caractérisation des menaces et celles permettant d’identifier des victimes, sont conservées deux ans à compter de cette collecte.
Les données qui ne sont pas qualifiées comme étant directement utiles à la prévention et à la caractérisation des menaces sont détruites dans un délai de vingt-quatre heures à compter de leur qualification ;
2° Les données à caractère personnel collectées sur le fondement de l’article L. 2321-2-3 du code de la défense, qualifiées par l’Agence nationale de la sécurité des systèmes d’information comme étant directement utiles à la caractérisation des menaces et celles permettant d’identifier des victimes, sont conservées cinq ans à compter de cette collecte.
Les données qui ne sont pas qualifiées comme étant directement utiles à la caractérisation des menaces sont détruites dans un délai de vingt-quatre heures à compter de leur qualification ;
3° Les données à caractère personnel collectées sur le fondement du deuxième alinéa de l’article L. 2321-3 du code de la défense, sont conservées cinq ans à compter de leur collecte par l’Agence nationale de la sécurité des systèmes d’information ;
4° Les données à caractère personnel mentionnées au e du 4° du I de l’article 2 sont conservées au maximum dix ans à compter de leur collecte.
Art. 6. – Les opérations de création, consultation, modification et suppression des données à caractère personnel du présent traitement, effectuées par les agents de l’Agence nationale de la sécurité des systèmes d’information, font l’objet d’un enregistrement comprenant l’identification de l’auteur, la date, l’heure et la nature de l’opération, à l’exclusion de ces données elles-mêmes. Ces informations sont conservées pendant un an.
Art. 7. – I. – Les droits à l’information et d’opposition prévus respectivement aux articles 12 à 14 et 21 du règlement (UE) 2016/679 du 27 avril 2016 susvisé ne s’appliquent pas au présent traitement, conformément à l’article 23 du même règlement.
Les droits d’accès, de rectification et à l’effacement s’exercent directement auprès de l’Agence nationale de la sécurité des systèmes d’information, à l’attention de contact RGPD, 51, boulevard de La-Tour-Maubourg, 75700 Paris 07 SP.
II. – Concernant les données intéressant la sûreté de l’Etat et la défense, les droits à l’information et d’opposition prévus respectivement aux articles 116 et 117 de la loi du 6 janvier 1978 susvisée ne s’appliquent pas au présent traitement.
Les droits d’accès, de rectification et à l’effacement s’exercent de manière indirecte auprès de la Commission nationale de l’informatique et des libertés, dans les conditions prévues à l’article 118 de la loi du 6 janvier 1978 susvisée.
Art. 8. – Le présent décret sera publié au Journal officiel de la République française et entrera en vigueur immédiatement.
Fait le 19 juillet 2024.
Gabriel Attal
Source Légifrance