Signalements de vulnérabilités par des éditeurs de logiciel

·

·

Signalements de vulnérabilités par des éditeurs de logiciel
L’essentiel : L’Arrêté du 18 juin 2024 institue un traitement automatisé des données personnelles, intitulé « Suivi des signalements de vulnérabilités par des éditeurs de logiciel ». Ce dispositif vise à collecter et traiter les informations fournies par les éditeurs, conformément à l’article L. 2321-4-1 du code de la défense. Il a pour objectifs de suivre les notifications de vulnérabilités significatives et d’informer les utilisateurs en cas d’inaction de l’éditeur après une mise en demeure. Les données collectées incluent la raison sociale, les coordonnées des dirigeants et des points de contact, ainsi que des informations sur les vulnérabilités signalées.

L’Arrêté du 18 juin 2024 a mise en place un traitement automatisé de données à caractère personnel dénommé « Suivi des signalements de vulnérabilités par des éditeurs de logiciel »

Ce traitement a pour objet la collecte et le traitement des données transmises par les éditeurs de logiciels mentionnés au sixième alinéa de l’article L. 2321-4-1 du code de la défense, aux fins de :

1° Suivre et gérer les notifications de vulnérabilités significatives affectant un de leurs produits ou les notifications d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits ;

2° En cas d’inaction de l’éditeur, à la suite d’une mise en demeure de l’Agence nationale de la sécurité des systèmes d’information, informer les utilisateurs de ce produit ou rendre publics la vulnérabilité ou l’incident ainsi que l’injonction adressée à l’éditeur de logiciel.Liens relatifs 

Les catégories de données à caractère personnel et informations enregistrées dans le présent traitement sont les suivantes :

1° Raison sociale et adresse postale de l’éditeur de logiciel concerné ;
2° Nom, prénom du dirigeant de l’éditeur de logiciel concerné ;
3° Nom, prénom, adresse de messagerie électronique et numéro de téléphone du point de contact au sein de l’éditeur de logiciel concerné pour la gestion de la vulnérabilité ou de l’incident, transmis dans le cadre du signalement ;
4° Données transmises relatives à la vulnérabilité ou à l’incident ;
5° Données nécessaires au traitement de l’information aux utilisateurs, si l’Agence nationale de la sécurité des systèmes d’information y procède et notamment les nom, prénom, adresse de messagerie électronique, adresse postale et numéro de téléphone du point de contact des utilisateurs du produit affecté par la vulnérabilité ou l’incident.
Q/R juridiques soulevées :

Quel est l’objet du traitement automatisé de données instauré par l’Arrêté du 18 juin 2024 ?

Le traitement automatisé de données dénommé « Suivi des signalements de vulnérabilités par des éditeurs de logiciel » a pour objet principal la collecte et le traitement des données transmises par les éditeurs de logiciels. Ces données sont spécifiquement liées aux notifications de vulnérabilités significatives affectant leurs produits ou aux incidents informatiques compromettant la sécurité de leurs systèmes d’information. L’objectif est de suivre et gérer ces notifications afin d’assurer une meilleure sécurité des produits concernés.

Quelles sont les actions entreprises en cas d’inaction de l’éditeur de logiciel ?

En cas d’inaction de l’éditeur de logiciel, après une mise en demeure de l’Agence nationale de la sécurité des systèmes d’information, plusieurs actions peuvent être entreprises. L’Agence a la possibilité d’informer les utilisateurs du produit concerné par la vulnérabilité ou l’incident. De plus, elle peut rendre publiques les informations relatives à la vulnérabilité ou à l’incident, ainsi que l’injonction adressée à l’éditeur de logiciel. Cela vise à garantir la transparence et la sécurité des utilisateurs.

Quelles catégories de données à caractère personnel sont enregistrées dans ce traitement ?

Les catégories de données à caractère personnel enregistrées dans le traitement incluent plusieurs éléments essentiels. Tout d’abord, la raison sociale et l’adresse postale de l’éditeur de logiciel concerné sont collectées. Ensuite, le nom et le prénom du dirigeant de l’éditeur sont également enregistrés. De plus, les informations de contact, telles que le nom, le prénom, l’adresse de messagerie électronique et le numéro de téléphone du point de contact au sein de l’éditeur, sont recueillies pour la gestion des vulnérabilités ou des incidents.

Quelles données peuvent être nécessaires pour informer les utilisateurs ?

Pour informer les utilisateurs d’un produit affecté par une vulnérabilité ou un incident, certaines données peuvent être nécessaires. Cela inclut le nom, le prénom, l’adresse de messagerie électronique, l’adresse postale et le numéro de téléphone du point de contact des utilisateurs concernés. Ces informations sont cruciales pour assurer une communication efficace et rapide entre l’Agence nationale de la sécurité des systèmes d’information et les utilisateurs. Cela permet de garantir que les utilisateurs soient informés des risques potentiels liés à leurs produits.

Votre avis sur ce point juridique ? Une actualité ? Une recommandation ?

Merci pour votre retour ! Partagez votre point de vue, une info ou une ressource utile.


Rédaction en cours .... ...
Chat Icon