Du nouveau pour le traitement automatisé des données à caractère personnel
Un arrêté et un décret, publiés les 15 et 19 juillet 2024, autorisent l’Agence nationale de sécurité des systèmes d’information (Anssi) à collecter et traiter certaines données à caractère personnel. Explications.
En vertu de l’article L. 2321-3 du code de la défense, pour les besoins de la sécurité des systèmes d’information des autorités publiques, des opérateurs d’importance vitale et des opérateurs de services essentiels, les agents de l’autorité nationale de sécurité des systèmes d’information habilités par le Premier ministre, peuvent obtenir des opérateurs de communications électroniques et des fournisseurs de « services d’hébergement », l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information vulnérables, menacés ou attaqués afin de les alerter sur la vulnérabilité ou l’atteinte de leur système d’information.
Une base relative à l’alerte des victimes
Dans ce cadre, un arrêté du 15 juillet 2024 autorise le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Base relative à l’alerte de victimes ».
Ce traitement a pour objet la collecte et le traitement des données transmises par les personnes précitées à la suite d’une demande d’identification d’un utilisateur ou d’un détenteur d’un système d’information vulnérable, menacé ou attaqué. Il vise à alerter les utilisateurs sur la vulnérabilité ou l’atteinte de leur système d’information.
Il définit :
- les données ou catégories de données à caractère personnel enregistrées dans la base ;
- la durée de leur conservation, fixée à deux ans à compter de leur collecte ;
- les personnes pouvant accéder à tout ou partie des données à caractère personnel et celles pouvant en être destinataires ;
- les modalités d’exercice des droits à l’information et d’opposition.
Données opérationnelles de cyberdéfense
Le décret n°2024-847 du 19 juillet autorise le directeur général de l’Anssi à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Données opérationnelles de cyberdéfense ».
Ce traitement a pour finalités :
- l’évaluation et l’amélioration du niveau de sécurité des systèmes d’information ainsi que son suivi dans le temps ;
- la supervision et l’analyse des événements affectant ou susceptibles d’affecter la sécurité des systèmes d’information ainsi que son suivi dans le temps ;
- la qualification, le traitement, l’analyse et le suivi dans le temps des incidents de sécurité affectant les systèmes d’information ;
- la prévention et l’analyse des activités malveillantes affectant ou susceptibles d’affecter la sécurité des systèmes d’information.
Il précise :
- les catégories de données à caractère personnel pouvant être enregistrées dans le traitement ;
- les personnes autorisées à accéder à tout ou partie des données à caractère personnel et informations précitées et celles en étant destinataires ;
- la durée de conservation de ces données ;
- les modalités d’exercice des droits à l’information et des droits d’opposition.
Ces dispositions sont entrées en vigueur le 20 juillet 2024.
Manon Janvier
Consultante au service Assistance réglementaire de CNPP Conseil & Formation
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…