Arrêté du 18 juin 2024 portant création d’un traitement automatisé de données à caractère personnel dénommé « Suivi des signalements de vulnérabilités effectués dans le cadre de l’article L. 2321-4 du code de la défense »

JO du 25 juin 2024

Ce texte crée un traitement automatisé de données à caractère personnel dénommé « Suivi des signalements de vulnérabilités effectués dans le cadre de l’article L. 2321-4 du code de la défense », sous la responsabilité du directeur général de l’Agence nationale de la sécurité des systèmes d’information.
Ce traitement a pour objet la collecte et le traitement des données communiquées par les personnes qui transmettent à l’Agence nationale de la sécurité des systèmes d’information, dans le cadre de l’article L. 2321-4 du code de la défense, des informations sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données.
Il a pour finalités :
– de caractériser le risque ou la menace au regard des informations transmises ;
– si le risque ou la menace le justifie, d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information affecté par la vulnérabilité.
Il définit :
– les catégories de données à caractère personnel et informations collectées dans le traitement ;
– la durée de leur conservation (fixée à trois ans à compter de la fin du traitement de la vulnérabilité) ;
– les personnes autorisées à accéder, à raison de leurs attributions, à tout ou partie de ces données.