Du nouveau pour le traitement automatisé des données à caractère personnel

26 juillet 20243 min

Un arrêté et un décret, publiés les 15 et 19 juillet 2024, autorisent l’Agence nationale de sécurité des systèmes d’information (Anssi) à collecter et traiter certaines données à caractère personnel. Explications.

Ceci est une légende Alt

En vertu de l’article L. 2321-3 du code de la défense, pour les besoins de la sécurité des systèmes d’information des autorités publiques, des opérateurs d’importance vitale et des opérateurs de services essentiels, les agents de l’autorité nationale de sécurité des systèmes d’information habilités par le Premier ministre, peuvent obtenir des opérateurs de communications électroniques et des fournisseurs de « services d’hébergement », l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information vulnérables, menacés ou attaqués afin de les alerter sur la vulnérabilité ou l’atteinte de leur système d’information.

Une base relative à l’alerte des victimes

Dans ce cadre, un arrêté du 15 juillet 2024 autorise le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Base relative à l’alerte de victimes ».

Ce traitement a pour objet la collecte et le traitement des données transmises par les personnes précitées à la suite d’une demande d’identification d’un utilisateur ou d’un détenteur d’un système d’information vulnérable, menacé ou attaqué. Il vise à alerter les utilisateurs sur la vulnérabilité ou l’atteinte de leur système d’information.

Il définit :

  • les données ou catégories de données à caractère personnel enregistrées dans la base ;
  • la durée de leur conservation, fixée à deux ans à compter de leur collecte ;
  • les personnes pouvant accéder à tout ou partie des données à caractère personnel et celles pouvant en être destinataires ;
  • les modalités d’exercice des droits à l’information et d’opposition.

Données opérationnelles de cyberdéfense

Le décret n°2024-847 du 19 juillet autorise le directeur général de l’Anssi à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Données opérationnelles de cyberdéfense ».

Ce traitement a pour finalités :

  • l’évaluation et l’amélioration du niveau de sécurité des systèmes d’information ainsi que son suivi dans le temps ;
  • la supervision et l’analyse des événements affectant ou susceptibles d’affecter la sécurité des systèmes d’information ainsi que son suivi dans le temps ;
  • la qualification, le traitement, l’analyse et le suivi dans le temps des incidents de sécurité affectant les systèmes d’information ;
  • la prévention et l’analyse des activités malveillantes affectant ou susceptibles d’affecter la sécurité des systèmes d’information.

Il précise :

  • les catégories de données à caractère personnel pouvant être enregistrées dans le traitement ;
  • les personnes autorisées à accéder à tout ou partie des données à caractère personnel et informations précitées et celles en étant destinataires ;
  • la durée de conservation de ces données ;
  • les modalités d’exercice des droits à l’information et des droits d’opposition.

Ces dispositions sont entrées en vigueur le 20 juillet 2024.

Partagez cet article !

Manon Janvier

Consultante au service Assistance réglementaire de CNPP Conseil & Formation

Les plus lus…

Inscrivez-vous
à notre
newsletter

Recevez toutes les actualités et informations sûreté, incendie et sécurité toutes les semaines.

Je m’inscris

À lire également