Notifications des éditeurs en cas de vulnérabilité significative ou d’incident informatique compromettant la sécurité de leurs systèmes d'information et susceptible d'affecter significativement un de leurs produits
En vigueur à partir du 26 juin 2024 Dans le cadre de l’application de l’article L. 2321-4-1 du code de la défense, l'éditeur (ci-après l'« Editeur ») peut être amené à transmettre à l'Agence nationale de la sécurité des systèmes d'information (ci-après l'« ANSSI ») des données à caractère personnel. L'ANSSI, en tant que responsable de traitement, s'engage à ce que la collecte et le traitement des données à caractère personnel de l'Editeur soit effectués de manière licite, loyale et transparente, conformément au Règlement (UE) général sur la protection des données (« RGPD ») et à la Loi informatique et libertés de 1978 modifiée (« LIL »).1. Objet
La Politique de confidentialité définit les règles applicables à la collecte et au traitement des données à caractère personnel de l'Editeur dans le cadre de sa notification en cas de vulnérabilité ou d’incident. L'ANSSI est libre de modifier, à tout moment, la Politique de confidentialité, afin notamment de prendre en compte toute évolution législative, réglementaire, jurisprudentielle et technique.
2. Identité et coordonnées du responsable de traitement
Le responsable des traitements des données à caractère personnel que l'Editeur transmet lors de son inscription sur le Site ou lors de son utilisation est l'ANSSI (51 boulevard de la Tour-Maubourg, 75700 Paris 07 SP).
3. Fondement juridique du traitement
Ce traitement a pour objet la collecte et le traitement des données transmises par les éditeurs de logiciels définis au sixième alinéa de l’article L. 2321-4-1 du code de la défense, aux fins de :
- suivre et gérer les notifications de vulnérabilités significatives affectant un de leurs produits ou les notifications d'incident informatique compromettant la sécurité de leurs systèmes d'information et susceptible d'affecter significativement un de leurs produits ;
- en cas d’inaction de l’Editeur, suite à mise en demeure de l’Agence nationale de la sécurité des systèmes d’information, informer les utilisateurs de ce produit ou rendre publics la vulnérabilité ou l’incident ainsi que l’injonction adressée à l’éditeur de logiciel. Le fondement juridique des traitements se trouve à l'article 6.e) du RGPD, à savoir le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement
4. Données à caractère personnel collectées
Les données ou catégories de données à caractère personnel que l'Editeur communique à l'ANSSI sont les suivantes :
- Raison sociale et adresse postale de l'éditeur de logiciel concerné ;
- Nom, prénom du dirigeant de l'éditeur de logiciel concerné ;
- Nom, prénom, adresse de messagerie électronique et numéro de téléphone du point de contact au sein de l'éditeur de logiciel concerné pour la gestion de la vulnérabilité ou de l'incident, transmis dans le cadre du signalement ;
- Données transmises relatives à la vulnérabilité ou à l'incident ;
- Données nécessaires au traitement de l'information aux utilisateurs, si l'Agence nationale de la sécurité des systèmes d'information y procède et notamment les nom, prénom, adresse de messagerie électronique, adresse postale et numéro de téléphone du point de contact des utilisateurs du produit affecté par la vulnérabilité ou l'incident.
L’Editeur s’engage à ne pas communiquer de données à caractère personnel sensibles au sens de l’article 9 du RGPD(*) ni de données à caractère personnel concernant des tiers autres que les données mentionnées au 5°.
5. Finalités du traitement
Ces données ne sont collectées que pour répondre à la seule finalité de gestion et de suivi de la déclaration de vulnérabilité d’un Editeur affectant un de ses produits ou de l’incident informatique compromettant la sécurité de son système d’information et susceptible d’affecter un de ses produits.
6. Durée de conservation des données à caractère personnel que l'Editeur a communiquées
Les données à caractère personnel sont conservées trois ans à compter de la clôture du traitement de la vulnérabilité ou de l’incident.
7. Destinataires des données à caractère personnel
Les destinataires des données à caractère personnel transmises par l'Editeur sont :
- le personnel de l'ANSSI impliqué dans la gestion du suivi de la vulnérabilité ou de l’incident
- le cas échéant, les utilisateurs d’un produit affecté par la vulnérabilité ou l’incident ayant été notifié, uniquement pour les données mentionnées au 1° et au 2° de l’article 4.
8. Sécurité des données à caractère personnel
L'ANSSI met en œuvre toutes les mesures techniques et organisationnelles afin d'assurer la sécurité et la conformité des traitements de données à caractère personnel, ainsi que la confidentialité de ces données.
9. Droits des personnes dont les données sont collectées
Conformément à la réglementation en vigueur en matière de protection des données à caractère personnel, la personne dont les données sont collectées dispose des droits suivants :
- droit d'accès (article 15 du RGPD), de rectification, de mise à jour et de complétude de ses données (article 16 du RGPD) ;
- droit d'effacement de ses données dans les conditions prévues à l'article 17 du RGPD.
- droit à la limitation du traitement de ses données (article 18 du RGPD).
Le droit d’opposition prévu à l’article 56 de la loi du 6 janvier 1978 ne s’applique pas au traitement.
La personne dont les données sont collectées peut exercer ses droits en contactant l'ANSSI de plusieurs façons :
- en envoyant un courriel à l’ANSSI à l’adresse suivante : contact.rgpd@sgdsn.gouv.fr
- en envoyant un courriel au Délégué à la protection des données à l’adresse suivante : dpd@pm.gouv.fr
- en envoyant un courrier à L’ANSSI à l’adresse suivante : Agence nationale de la sécurité des systèmes d’information A l’attention de contact RGPD ANSSI 51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP
- en envoyant un courrier au Délégué à la protection des données à l’adresse suivante : Service du Premier ministre A l’attention du délégué à la protection des données (DPD) 56 rue de Varenne 75700 PARIS
Toute demande d’exercice de droits doit être accompagnée de la photocopie d’un justificatif d’identité. Dans ce cas la personne dont les données sont collectées doit préciser quelles sont les données concernées par sa demande et justifier de son identité (fournir une copie d'une pièce d'identité). Si la personne dont les données sont collectées estime après avoir contacté l'ANSSI que les droits sur ses données n'ont pas été respectés, elle peut introduire une réclamation auprès de la CNIL. Voir le site de la CNIL pour plus d'informations sur les droits de l'Editeur.
(*) Les données à caractère personnel sensibles au sens de l’article 9 du RGPD sont celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques, les données biométriques permettant d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.