Suivi des signalements de vulnérabilités à l’ANSSI

L’Arrêté du 18 juin 2024 a mis en place un traitement automatisé de données à caractère personnel dénommé « Suivi des signalements de vulnérabilités effectués dans le cadre de l’article L. 2321-4 du code de la défense »

Les personnes qui signalent des failles de sécurité à l’ANSSI sont référencées dans un fichier dédié.

Les catégories de données à caractère personnel et informations collectées dans le présent traitement sont les suivantes :
1° Identité de la personne à l’origine du signalement de la vulnérabilité (par exemple : nom, prénom, alias) ;
2° Données liées aux conditions de transmission de la vulnérabilité (par exemple : numéro de téléphone ou adresse de courrier électronique) ;
3° Données liées à l’hébergeur, l’opérateur ou le responsable du système d’information ou du produit vulnérable, transmises dans le cadre du signalement ;
4° Données nécessaires au traitement du signalement auprès de l’hébergeur, de l’opérateur ou du responsable du système d’information ou du produit vulnérable (par exemple : adresse de courrier électronique, numéro de téléphone, adresse postale).

Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données (« Le procureur de la République reçoit les plaintes et les dénonciations et apprécie la suite à leur donner conformément aux dispositions de l’article 40-1. Toute autorité constituée, tout officier public ou fonctionnaire qui, dans l’exercice de ses fonctions, acquiert la connaissance d’un crime ou d’un délit est tenu d’en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs »)

L’autorité préserve la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée. 

L’autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information.