Signalements de vulnérabilités par des éditeurs de logiciel

L’Arrêté du 18 juin 2024 a mise en place un traitement automatisé de données à caractère personnel dénommé « Suivi des signalements de vulnérabilités par des éditeurs de logiciel »

Ce traitement a pour objet la collecte et le traitement des données transmises par les éditeurs de logiciels mentionnés au sixième alinéa de l’article L. 2321-4-1 du code de la défense, aux fins de :

1° Suivre et gérer les notifications de vulnérabilités significatives affectant un de leurs produits ou les notifications d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits ;

2° En cas d’inaction de l’éditeur, à la suite d’une mise en demeure de l’Agence nationale de la sécurité des systèmes d’information, informer les utilisateurs de ce produit ou rendre publics la vulnérabilité ou l’incident ainsi que l’injonction adressée à l’éditeur de logiciel.Liens relatifs 

Les catégories de données à caractère personnel et informations enregistrées dans le présent traitement sont les suivantes :

1° Raison sociale et adresse postale de l’éditeur de logiciel concerné ;
2° Nom, prénom du dirigeant de l’éditeur de logiciel concerné ;
3° Nom, prénom, adresse de messagerie électronique et numéro de téléphone du point de contact au sein de l’éditeur de logiciel concerné pour la gestion de la vulnérabilité ou de l’incident, transmis dans le cadre du signalement ;
4° Données transmises relatives à la vulnérabilité ou à l’incident ;
5° Données nécessaires au traitement de l’information aux utilisateurs, si l’Agence nationale de la sécurité des systèmes d’information y procède et notamment les nom, prénom, adresse de messagerie électronique, adresse postale et numéro de téléphone du point de contact des utilisateurs du produit affecté par la vulnérabilité ou l’incident.