Conseil d’Etat, 18 juin 2024, N° 20240625

·

·

, ,
Conseil d’Etat, 18 juin 2024, N° 20240625
Type de juridiction : Conseil d’Etat Juridiction : Conseil d’Etat Thématique : Suivi des signalements de vulnérabilités à l’ANSSI

Résumé

L’Arrêté du 18 juin 2024 institue un traitement automatisé des données personnelles, intitulé « Suivi des signalements de vulnérabilités » à l’ANSSI. Ce dispositif enregistre l’identité des personnes signalant des failles de sécurité, ainsi que des informations sur les conditions de transmission et les systèmes concernés. La confidentialité de l’identité des dénonciateurs est garantie, et l’obligation de signalement au procureur de la République ne s’applique pas aux personnes de bonne foi. L’autorité peut effectuer des opérations techniques nécessaires pour évaluer les risques et alerter les responsables des systèmes vulnérables.

L’Arrêté du 18 juin 2024 a mis en place un traitement automatisé de données à caractère personnel dénommé « Suivi des signalements de vulnérabilités effectués dans le cadre de l’article L. 2321-4 du code de la défense »

Les personnes qui signalent des failles de sécurité à l’ANSSI sont référencées dans un fichier dédié.

Les catégories de données à caractère personnel et informations collectées dans le présent traitement sont les suivantes :
1° Identité de la personne à l’origine du signalement de la vulnérabilité (par exemple : nom, prénom, alias) ;
2° Données liées aux conditions de transmission de la vulnérabilité (par exemple : numéro de téléphone ou adresse de courrier électronique) ;
3° Données liées à l’hébergeur, l’opérateur ou le responsable du système d’information ou du produit vulnérable, transmises dans le cadre du signalement ;
4° Données nécessaires au traitement du signalement auprès de l’hébergeur, de l’opérateur ou du responsable du système d’information ou du produit vulnérable (par exemple : adresse de courrier électronique, numéro de téléphone, adresse postale).

Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données (« Le procureur de la République reçoit les plaintes et les dénonciations et apprécie la suite à leur donner conformément aux dispositions de l’article 40-1. Toute autorité constituée, tout officier public ou fonctionnaire qui, dans l’exercice de ses fonctions, acquiert la connaissance d’un crime ou d’un délit est tenu d’en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs »)

L’autorité préserve la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée.

L’autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

  • Bienvenue, je suis votre assistant juridique
Rédaction en cours .... ...
Chat Icon