Arrêté du 15 juillet 2024 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé « Base relative à l’alerte de victimes »

JO du 19 juillet 2024

En vertu de l’article L. 2321-3 du code de la défense, pour les besoins de la sécurité des systèmes d’information des autorités publiques, des opérateurs d’importance vitale et des opérateurs de services essentiels, les agents de l’autorité nationale de sécurité des systèmes d’information habilités par le Premier ministre, peuvent obtenir des opérateurs de communications électroniques et des fournisseurs de « services d’hébergement », l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information vulnérables, menacés ou attaqués afin de les alerter sur la vulnérabilité ou l’atteinte de leur système d’information.
Dans ce cadre, ce texte autorise le directeur général de l’Agence nationale de la sécurité des systèmes d’information à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Base relative à l’alerte de victimes ».
Ce traitement a pour objet la collecte et le traitement des données transmises par les personnes précitées à la suite d’une demande d’identification d’un utilisateur ou d’un détenteur d’un système d’information vulnérable, menacé ou attaqué. Il vise à alerter les utilisateurs sur la vulnérabilité ou l’atteinte de leur système d’information.
Il définit :
– les données ou catégories de données à caractère personnel enregistrées dans la base ;
– la durée de leur conservation, fixée à deux ans à compter de leur collecte ;
– les personnes pouvant accéder à tout ou partie des données à caractère personnel et celles pouvant en être destinataires ;
– les modalités d’exercice des droits à l’information et d’opposition.