Du nouveau pour le traitement automatisé des données à caractère personnel
Un arrêté et un décret, publiés les 15 et 19 juillet 2024, autorisent l’Agence nationale de sécurité des systèmes d’information (Anssi) à collecter et traiter certaines données à caractère personnel. Explications.
En vertu de l’article L. 2321-3 du code de la défense, pour les besoins de la sécurité des systèmes d’information des autorités publiques, des opérateurs d’importance vitale et des opérateurs de services essentiels, les agents de l’autorité nationale de sécurité des systèmes d’information habilités par le Premier ministre, peuvent obtenir des opérateurs de communications électroniques et des fournisseurs de « services d’hébergement », l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information vulnérables, menacés ou attaqués afin de les alerter sur la vulnérabilité ou l’atteinte de leur système d’information.
Une base relative à l’alerte des victimes
Dans ce cadre, un arrêté du 15 juillet 2024 autorise le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Base relative à l’alerte de victimes ».
Ce traitement a pour objet la collecte et le traitement des données transmises par les personnes précitées à la suite d’une demande d’identification d’un utilisateur ou d’un détenteur d’un système d’information vulnérable, menacé ou attaqué. Il vise à alerter les utilisateurs sur la vulnérabilité ou l’atteinte de leur système d’information.
Il définit :
- les données ou catégories de données à caractère personnel enregistrées dans la base ;
- la durée de leur conservation, fixée à deux ans à compter de leur collecte ;
- les personnes pouvant accéder à tout ou partie des données à caractère personnel et celles pouvant en être destinataires ;
- les modalités d’exercice des droits à l’information et d’opposition.
Données opérationnelles de cyberdéfense
Le décret n°2024-847 du 19 juillet autorise le directeur général de l’Anssi à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Données opérationnelles de cyberdéfense ».
Ce traitement a pour finalités :
- l’évaluation et l’amélioration du niveau de sécurité des systèmes d’information ainsi que son suivi dans le temps ;
- la supervision et l’analyse des événements affectant ou susceptibles d’affecter la sécurité des systèmes d’information ainsi que son suivi dans le temps ;
- la qualification, le traitement, l’analyse et le suivi dans le temps des incidents de sécurité affectant les systèmes d’information ;
- la prévention et l’analyse des activités malveillantes affectant ou susceptibles d’affecter la sécurité des systèmes d’information.
Il précise :
- les catégories de données à caractère personnel pouvant être enregistrées dans le traitement ;
- les personnes autorisées à accéder à tout ou partie des données à caractère personnel et informations précitées et celles en étant destinataires ;
- la durée de conservation de ces données ;
- les modalités d’exercice des droits à l’information et des droits d’opposition.
Ces dispositions sont entrées en vigueur le 20 juillet 2024.
Manon Janvier
Consultante au service Assistance réglementaire de CNPP Conseil & Formation
Les plus lus…
Entreprise française implantée dans plus de 90 pays, International SOS est spécialisée dans la gestion des risques en santé…
-
Les usines et sites industriels évoluent, à travers la modernisation des équipements et des processus. Face à ces avancées, la…
-
Le baromètre Allianz 2025 a été publié le mercredi 15 janvier 2025. De nouveaux risques notables préoccupent désormais les…
Assurer la sécurité du périmètre des bâtiments est un défi, mais c'est encore plus vrai pour les sites complexes…
-
Experte en risques psychosociaux et conditions de travail, Nina Tarhouny s’est penchée sur l’introduction de l’intelligence artificielle (IA) en…
Sept bus à hydrogène ont été détruits par les flammes dans la nuit du 1er au 2 janvier dans un…
